As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exemplo de políticas do IAM para AWS Artifact AWS regiões comerciais
Você pode criar políticas de permissões que concedam permissões ao usuários do IAM. Você pode conceder aos usuários acesso a AWS Artifact relatórios e a capacidade de aceitar e baixar contratos em nome de uma única conta ou organização.
Os Exemplo de políticas a seguir mostram as permissões que você pode atribuir aos usuários do IAM com base no nível de acesso de que eles precisam.
Essas políticas são aplicáveis em AWS [regiões](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#region) comerciais. Para políticas aplicáveis a AWS GovCloud (US) Regions, consulte [Exemplos de políticas do IAM AWS Artifact em AWS GovCloud (US) Regions](https://docs.aws.amazon.com/artifact/latest/ug/example-govcloud-iam-policies.html)
+ [Exemplos de políticas para gerenciar AWS relatórios com permissões refinadas](#example-policy-manage-aws-reports-with-finegrained-permissions)
+ [Exemplo de políticas para gerenciar relatórios de terceiros](#example-policy-manage-third-party-reports)
+ [Exemplo de políticas para gerenciar contratos](#example-policy-manage-agreements)
+ [Exemplos de políticas para integração com AWS Organizations](#example-policy-integrate-with-organizations)
+ [Exemplo de políticas para gerenciar contratos para a conta de gerenciamento](#example-policy-agreements-master)
+ [Exemplo de políticas para gerenciar contratos da organização](#example-policy-organizational-agreements)
+ [Exemplo de políticas para gerenciar notificações](#example-policy-notifications)
**Example Exemplos de políticas para gerenciar AWS relatórios por meio de permissões refinadas**
Você deve considerar o uso da [política AWSArtifact ReportsReadOnlyAccess gerenciada](security-iam-awsmanpol.html) em vez de definir sua própria política.
A política a seguir concede permissão para baixar todos os AWS relatórios por meio de permissões refinadas.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*"
}
]
}
```
A política a seguir concede permissão para baixar somente os relatórios AWS SOC, PCI e ISO por meio de permissões refinadas.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"artifact:ReportSeries": [
"SOC",
"PCI",
"ISO"
],
"artifact:ReportCategory": [
"Certifications and Attestations"
]
}
}
}
]
}
```
**Example Exemplo de políticas para gerenciar relatórios de terceiros**
Você deve considerar o uso da [política AWSArtifact ReportsReadOnlyAccess gerenciada](security-iam-awsmanpol.html) em vez de definir sua própria política.
Os relatórios de terceiros são indicados pelo recurso do IAM. `report`
A política a seguir concede permissão para todas as funcionalidades de relatórios de terceiros.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
A política a seguir concede permissão para fazer download de relatórios de terceiros.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
A política a seguir concede permissão para listar relatórios de terceiros.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
}
]
}
```
A política a seguir concede permissão para visualizar os detalhes de um relatório de terceiros para todas as versões.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:*"
]
}
]
}
```
A política a seguir concede permissão para visualizar os detalhes de um relatório de terceiros para uma versão específica.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:1"
]
}
]
}
```
**dica**
Você deve considerar usar a [AWSArtifactAgreementsReadOnlyAccess política AWSArtifact AgreementsFullAccess gerenciada](security-iam-awsmanpol.html) em vez de definir sua própria política.
**Example Exemplo de políticas para gerenciar contratos**
A política a seguir concede permissão para fazer download de todos os contratos.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
A política a seguir concede permissão para aceitar todos os contratos.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
}
]
}
```
A política a seguir concede permissão para rescindir todos os contratos.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
A política a seguir concede permissões para visualizar e executar contratos em nível de conta.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
**Example Exemplos de políticas para integração com AWS Organizations**
A política a seguir concede permissão para criar a função do IAM que AWS Artifact usa para integração com AWS Organizations. A conta de gerenciamento da sua organização deve ter essas permissões para começar a usar os Contratos da organização.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
}
]
}
```
A política a seguir concede permissão para conceder AWS Artifact as permissões de uso AWS Organizations. A conta de gerenciamento da sua organização deve ter essas permissões para começar a usar os Contratos da organização.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example Exemplo de políticas para gerenciar contratos para a conta de gerenciamento**
A política a seguir concede permissões para gerenciar contratos para a conta de gerenciamento.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
},
{
"Sid": "EnableServiceTrust",
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example Exemplo de políticas para gerenciar contratos da organização**
A política a seguir concede permissões para gerenciar contratos da organização. Outro usuário com as permissões necessárias deve configurar os contratos da organização.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
A política a seguir concede permissões para exibir contratos da organização.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
**Example Exemplo de políticas para gerenciar notificações**
A política a seguir concede permissões completas para usar AWS Artifact notificações.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:DeleteEventRule",
"notifications:DeleteNotificationConfiguration",
"notifications:DisassociateChannel",
"notifications:GetEventRule",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:DeleteEmailContact",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts",
"notifications-contacts:SendActivationCode"
],
"Resource": [
"*"
]
}
]
}
```
A política a seguir concede permissão para listar todas as configurações.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
A política a seguir concede permissão para criar uma configuração.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:SendActivationCode",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:ListEventRules",
"notifications:ListNotificationHubs",
"notifications:TagResource",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
A política a seguir concede permissão para editar uma configuração.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:DisassociateChannel",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
A política a seguir concede permissão para excluir uma configuração.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeleteNotificationConfiguration",
"notifications:ListEventRules"
],
"Resource": [
"*"
]
}
]
}
```
A política a seguir concede permissão para exibir informações de uma configuração.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
A política a seguir concede permissão para registrar ou cancelar o registro de hubs de notificação.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeregisterNotificationHub",
"notifications:RegisterNotificationHub"
],
"Resource": [
"*"
]
}
]
}
```