O Amazon Monitron não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para recursos semelhantes ao Amazon Monitron, consulte nossa [postagem no blog](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como o Amazon Monitron funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Amazon Monitron, você deve entender quais recursos do IAM estão disponíveis para uso com a Amazon Monitron. Para obter uma visão de alto nível de como o Amazon Monitron e AWS outros serviços funcionam com o IAM, [AWS consulte Serviços que funcionam com o IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) do usuário *do IAM*.
**Topics**
+ [Políticas baseadas em identidade do Amazon Monitron](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do Amazon Monitron](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags do Amazon Monitron](#security_iam_service-with-iam-tags)
+ [Perfis do IAM no Amazon Monitron](#security_iam_service-with-iam-roles)
+ [Exemplos de políticas baseadas em identidade do Amazon Monitron](#security_iam_id-based-policy-examples)
+ [Solução de problemas de identidade e acesso do Amazon Monitron](#security_iam_troubleshoot)
## Políticas baseadas em identidade do Amazon Monitron
Para especificar ações ou recursos permitidos ou negados, além das condições sob as quais as ações são permitidas ou negadas, use as políticas baseadas em identidades do IAM. O Amazon Monitron é compatível com ações, chaves de condição e recursos específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
**Topics**
+ [Ações](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemplos](#security_iam_service-with-iam-id-based-policies-examples)
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
No Amazon Monitron, as ações de política usam o seguinte prefixo antes da ação: `monitron:`. Por exemplo, para conceder permissão a alguém para criar um projeto com a operação `CreateProject` do Amazon Monitron, inclua a ação `monitron:CreateProject` na política da pessoa. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Amazon Monitron define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
**nota**
Com a `deleteProject` operação, você deve ter as permissões (SSO) da Centro de Identidade do AWS IAM para exclusão. Sem essas permissões, a funcionalidade de exclusão ainda removerá o projeto. No entanto, isso não removerá os recursos do SSO e você poderá acabar com referências pendentes sobre o SSO.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"monitron:action1",
"monitron:action2"
]
```
Você também pode especificar várias ações usando caracteres curinga (\*). Por exemplo, para especificar todas as ações que começam com a palavra `List`, inclua a seguinte ação:
```
"Action": "monitron:List*"
```
### Recursos
O Amazon Monitron não suporta a especificação de recursos ARNs em uma política.
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O Amazon Monitron define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver uma lista de todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Amazon Monitron, consulte [Ações definidas pelo Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions) no *Guia do usuário do IAM*. Para saber com quais ações e recursos é possível usar a chave de condição, consulte [Chaves de condição para o Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys).
### Exemplos
Para visualizar exemplos de políticas baseadas em identidade do Amazon Monitron, consulte [Exemplos de políticas baseadas em identidade do Amazon Monitron](#security_iam_id-based-policy-examples).
## Políticas baseadas em recursos do Amazon Monitron
O Amazon Monitron não oferece suporte a políticas baseadas em recursos.
## Autorização baseada em tags do Amazon Monitron
É possível associar tags a determinados tipos de atributos do Amazon Monitron para autorização. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `Amazon Monitron:TagResource/${TagKey}`, `aws:RequestTag/${TagKey}` ou `aws:TagKeys` chaves de condição.
## Perfis do IAM no Amazon Monitron
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usar credenciais temporárias com o Amazon Monitron
É possível utilizar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O Amazon Monitron oferece suporte ao uso de credenciais temporárias.
### perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
O Amazon Monitron oferece suporte a funções vinculadas ao serviço.
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
O Amazon Monitron é compatível com os perfis de serviço.
## Exemplos de políticas baseadas em identidade do Amazon Monitron
Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do Amazon Monitron. Eles também não podem realizar tarefas usando Console de gerenciamento da AWS o. Um administrador do IAM deve conceder permissões aos usuários, grupos ou perfis do IAM que precisam delas. Em seguida, esses usuários, grupos ou perfis podem executar operações específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Melhores práticas de políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso do console do Amazon Monitron](#security_iam_id-based-policy-examples-console)
+ [Exemplo: Listar todos os projetos do Amazon Monitron](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Exemplo: Listar projetos do Amazon Monitron com base em tags](#security_iam_id-based-policy-examples-view-widget-tags)
### Melhores práticas de políticas
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Monitron em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
### Uso do console do Amazon Monitron
Para configurar o Amazon Monitron usando o console, conclua o processo de configuração inicial usando um usuário de alto privilégio (como um com a política da `AdministratorAccess` gerenciada anexada).
Para acessar o console do Amazon Monitron para day-to-day operações após a configuração inicial, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do Amazon Monitron em sua AWS conta e inclua um conjunto de permissões relacionadas ao IAM Identity Center. Se você criar uma política baseada em identidade que seja mais restritiva que essas permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política. Para a funcionalidade básica do Amazon Monitron Console, você precisa anexar a política gerenciada da `AmazonMonitronFullAccess`. Dependendo das circunstâncias, você também pode precisar de permissões adicionais para o serviço Organizations and SSO. Entre em contato com o AWS suporte se precisar de mais informações.
### Exemplo: Listar todos os projetos do Amazon Monitron
Este exemplo de política concede a um usuário do IAM em sua AWS conta permissão para listar todos os projetos em sua conta.
### Exemplo: Listar projetos do Amazon Monitron com base em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Amazon Monitron com base em etiquetas. Este exemplo mostra como é possível criar uma política que permite listar os projetos. No entanto, a permissão será concedida somente se a tag `location` do projeto tiver o valor do `Seattle`. Essa política também concede as permissões necessárias concluir essa ação no console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProjectsInConsole",
"Effect": "Allow",
"Action": "monitron:ListProjects",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/location": "Seattle"
}
}
}
]
}
```
------
Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
## Solução de problemas de identidade e acesso do Amazon Monitron
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com a Amazon Monitron e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Amazon Monitron](#security_iam_troubleshoot-no-permissions)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Monitron](#security_iam_troubleshoot-cross-account-access)
### Não tenho autorização para executar uma ação no Amazon Monitron
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `{{my-example-widget}}` fictício, mas não tem as permissões `monitron:{{GetWidget}}` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:{{GetWidget}} on resource: {{my-example-widget}}
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `{{my-example-widget}}` usando a ação `monitron:{{GetWidget}}`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
### Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Monitron
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Monitron é compatível com esses recursos, consulte [Como o Amazon Monitron funciona com o IAM](#security_iam_service-with-iam).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.