As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Batch Políticas, funções e permissões do IAM
Por padrão, os usuários não têm permissão para criar ou modificar AWS Batch recursos ou realizar tarefas usando a AWS Batch API, o AWS Batch console ou AWS CLI o. Para permitir que usuários realizem essas ações, crie políticas do IAM que concedam permissão aos usuários para recursos e operações API específicas. Em seguida, anexe as políticas aos usuários ou grupos que exijam tais permissões.
Quando você anexa uma política a um usuário ou grupo de usuários, a política concede ou nega as permissões para tarefas específicas em recursos específicos. Para mais informações, consulte [Permissões e Políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) no *Guia de Usuário do IAM*. Para mais informações sobre como gerenciar e criar políticas personalizadas do IAM, consulte [Gerenciamento de Políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch faz chamadas para outras pessoas Serviços da AWS em seu nome. Como resultado, AWS Batch deve se autenticar usando suas credenciais. Mais especificamente, AWS Batch autentica criando uma função e uma política do IAM que fornecem essas permissões. Em seguida, associa o perfil aos seus ambientes de computação quando criados. Para obter mais informações[Perfil de instância do Amazon ECS](instance_IAM_role.md), consulte [Funções do IAM, Uso de funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) [vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no Guia do usuário do *IAM*.
**Topics**
+ [Estrutura da política do IAM](iam-policy-structure.md)
+ [Recurso: exemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md)
+ [Recurso: política AWS Batch gerenciada](batch_managed_policies.md)
# Estrutura da política do IAM
Os tópicos a seguir explicam a estrutura de uma política do IAM.
**Topics**
+ [Sintaxe da política](#policy-syntax)
+ [Ações de API para AWS Batch](#UsingWithbatch_Actions)
+ [Nomes de recursos da Amazon para AWS Batch](#batch_ARN_Format)
+ [Confirmar se os usuários têm as permissões necessárias](#check-required-permissions)
## Sintaxe da política
A política do IAM é um documento JSON que consiste em uma ou mais declarações. Cada instrução é estruturada da maneira a seguir.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Há quatro elementos principais que compõem uma declaração:
+ **Efeito:** o *efeito* pode ser `Allow` ou `Deny`. Por padrão, os usuários não têm permissão para usar recursos e ações de API. Então, todas as solicitações são negadas. Um permitir explícito substitui o padrão. Uma negar explícito substitui todas as permissões.
+ **Ação**: a *ação* é a ação de API específica para a qual você está concedendo ou negando permissão. Para obter instruções sobre como especificar a *ação*, consulte [Ações de API para AWS Batch](#UsingWithbatch_Actions).
+ **Recurso**: o recurso afetado pela ação. Com algumas ações de API do AWS Batch é possível incluir recursos específicos na política que podem ser criados ou modificados pela ação. Para especificar um recurso na declaração, use o respectivo nome de recurso da Amazon (ARN). Para obter mais informações, consulte [Permissões em nível de recurso suportadas para ações de API AWS Batch](batch-supported-iam-actions-resources.md) e [Nomes de recursos da Amazon para AWS Batch](#batch_ARN_Format). Se a operação da AWS Batch API atualmente não oferecer suporte a permissões em nível de recurso, inclua um caractere curinga (\$1) para especificar que todos os recursos podem ser afetados pela ação.
+ **Condição**: condições são opcionais. Elas podem ser usadas para controlar quando a política está em vigor.
Para obter mais informações sobre exemplos de declarações de política do IAM para AWS Batch, consulte[Recurso: exemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md).
## Ações de API para AWS Batch
Em uma declaração de política do IAM, é possível especificar qualquer ação de API de qualquer serviço que dê suporte ao IAM. Para AWS Batch, use o seguinte prefixo com o nome da ação da API: `batch:` (por exemplo, `batch:SubmitJob` e`batch:CreateComputeEnvironment`).
Para especificar várias ações em uma única declaração, separe cada ação com uma vírgula.
```
"Action": ["batch:action1", "batch:action2"]
```
Você também pode especificar várias ações incluindo um curinga (\$1). Por exemplo, é possível especificar todas as ações com um nome começando com a palavra "Describe".
```
"Action": "batch:Describe*"
```
Para especificar todas as ações AWS Batch da API, inclua um caractere curinga (\$1).
```
"Action": "batch:*"
```
Para ver uma lista de AWS Batch ações, consulte [Ações](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) na *Referência AWS Batch da API*.
## Nomes de recursos da Amazon para AWS Batch
Cada declaração de política do IAM se aplica aos recursos que você especifica usando seus Amazon Resource Names (ARNs).
Um nome do recurso da Amazon (ARN) tem a seguinte sintaxe geral:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*service*
O serviço (por exemplo, `batch`).
*region*
O Região da AWS para o recurso (por exemplo,`us-east-2`).
*account*
O Conta da AWS ID, sem hífens (por exemplo,`123456789012`).
*resourceType*
O tipo de recurso (por exemplo, `compute-environment`).
*resourcePath*
Um caminho que identifica o recurso. É possível usar um curinga (\$1) nos caminhos.
AWS Batch Atualmente, as operações de API oferecem suporte a permissões em nível de recurso em várias operações de API. Para obter mais informações, consulte [Permissões em nível de recurso suportadas para ações de API AWS Batch](batch-supported-iam-actions-resources.md). Para especificar todos os recursos, ou se uma ação de API específica não for compatível ARNs, inclua um caractere curinga (\$1) no `Resource` elemento.
```
"Resource": "*"
```
## Confirmar se os usuários têm as permissões necessárias
Antes de colocar uma política do IAM em vigor, verifique se ela concede aos usuários as permissões para usar as ações e recursos de API específicos de que eles precisam.
Para fazer isso, primeiro, crie um usuário do para fins de teste e anexe a política do IAM ao usuário de teste. Em seguia, faça uma solicitação como o usuário de teste. Você pode fazer solicitações de teste no console ou com a AWS CLI.
**nota**
Você também pode testar as políticas usando o [Simulador de políticas do IAM](https://policysim.aws.amazon.com/home/index.jsp?#). Para obter mais informações sobre o simulador de políticas, consulte [Como trabalhar com o simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) no *Guia do usuário do IAM*.
Caso a política não conceda ao usuário as permissões que você esperava ou caso ela seja muito permissiva, você pode ajustar a política conforme necessário. Teste novamente até obter os resultados desejados.
**Importante**
Pode levar alguns minutos para que as alterações de política sejam propagadas até entrarem em vigor. Por isso, recomendamos que você aguarde pelo menos cinco minutos antes de testar as atualizações da política.
Caso uma verificação de autorização falhe, a solicitação retorna uma mensagem codificada com informações de diagnóstico. É possível decodificar a mensagem usando a ação `DecodeAuthorizationMessage`. Para obter mais informações, consulte [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)na *Referência AWS Security Token Service da API* e [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)na *Referência de AWS CLI Comandos*.
# Recurso: exemplos de políticas para AWS Batch
Você pode criar políticas do IAM específicas para restringir chamadas e recursos a que os usuários em sua conta têm acesso. Em seguida, você pode anexar tais políticas aos usuários.
Ao anexar uma política a um usuário ou grupo de usuários, ela concede ou nega aos usuários permissão para realizar tarefas específicas em recursos específicos. Para mais informações, consulte [Permissões e Políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) no *Guia de Usuário do IAM*. Para instruções sobre como gerenciar e criar políticas do IAM personalizadas, consulte [Gerenciando Políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Os exemplos a seguir mostram declarações de política que você pode usar para controlar as permissões que os usuários têm para o AWS Batch.
**Topics**
+ [Acesso somente leitura.](iam-example-read-only.md)
+ [Recurso: restringir usuário, imagem, privilégio, perfil](iam-example-job-def.md)
+ [Restringir envio de trabalhos](iam-example-restrict-job-submission.md)
+ [Restringir a uma fila de trabalhos](iam-example-restrict-job-queue.md)
+ [Ação Negar quando todas as conndições correspondem a strings](iam-example-job-def-deny-all-image-logdriver.md)
+ [Recurso: Negar ação quando qualquer chave de condição corresponder às strings](iam-example-job-def-deny-any-image-logdriver.md)
+ [Use a chave de condição `batch:ShareIdentifier`](iam-example-share-identifier.md)
+ [Gerencie recursos de SageMaker IA com AWS Batch](iam-example-full-access-service-environment.md)
+ [Restringir o envio de trabalhos por tags de recursos](iam-example-restrict-job-submission-by-tags.md)
# Recurso: Acesso somente para leitura para AWS Batch
A política a seguir concede aos usuários permissões para usar todas as ações AWS Batch da API com um nome que começa com `Describe` `List` e.
Os usuários não podem executar nenhuma ação nesses recursos ou criar novos recursos, a menos que outra declaração conceda permissão para eles fazerem isso. Por padrão, eles não têm permissão para usar ações de API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Recurso: Restringir ao usuário POSIX, imagem do Docker, nível de privilégio e perfil no envio do trabalho
A política a seguir permite que um usuário POSIX gerencie seu próprio conjunto de definições de tarefas restritos.
Use a primeira e a segunda declarações para registrar e cancelar o registro de qualquer nome de definição de tarefa cujo nome esteja prefixado com. *JobDefA\$1*
A primeira afirmação também usa chaves de contexto condicional para restringir o usuário de POSIX, status de privilegiado e valores de imagem de contêiner dentro das `containerProperties` de uma definição de tarefa. Para obter mais informações, consulte [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) na *Referência de APIs do AWS Batch *. Neste exemplo, as definições de tarefas só podem ser registradas quando o usuário POSIX está definido como `nobody`. O sinalizador privilegiado está definido como `false`. Por exemplo, a imagem é definida como `myImage` em um repositório do Amazon ECR.
**Importante**
O docker resolve o parâmetro `user` para o `uid` desse usuário de dentro da imagem do contêiner. Na maioria dos casos, isso é encontrado no arquivo `/etc/passwd` dentro da imagem do contêiner. Essa resolução de nomes pode ser evitada usando valores diretos de `uid` tanto na definição de tarefa quanto nas políticas do IAM associadas. Tanto as operações de API do AWS Batch quanto as chaves condicionais do `batch:User` do IAM suportam valores numéricos.
Use a terceira afirmação para restringir a apenas uma função específica a uma definição de trabalho.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Recurso: Restringir ao prefixo de definição de trabalho no envio de trabalho
Use a política a seguir para enviar trabalhos para qualquer fila de trabalhos com qualquer nome de definição de trabalho que comece com*JobDefA*.
**Importante**
Para o escopo de acesso em nível de recurso para envio de tarefa, você deve fornecer os tipos de recursos de definição de tarefa e fila de tarefas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Recurso: restringir a uma fila de trabalho
Use a política a seguir para enviar trabalhos para uma fila de trabalhos específica nomeada **queue1** com qualquer nome de definição de trabalho.
**Importante**
Para o escopo de acesso em nível de recurso para envio de tarefa, você deve fornecer os tipos de recursos de definição de tarefa e fila de tarefas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Ação Negar quando todas as conndições correspondem a strings
A política a seguir nega acesso à operação da [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando a chave de condição `batch:Image` (ID da imagem do contêiner) é "*string1*" e a chave de condição `batch:LogDriver` (driver de registro do contêiner) é "”*string2*. AWS Batch avalia as chaves de condição em cada contêiner. Quando um trabalho abrange vários contêineres, como um trabalho paralelo de vários nós, é possível que os contêineres tenham configurações diferentes. Se várias chaves de condição forem avaliadas em uma declaração, elas serão combinadas usando a lógica `AND`. Portanto, se alguma das várias chaves de condição não corresponder a um contêiner, o efeito `Deny` não será aplicado a esse contêiner. Em vez disso, um contêiner diferente no mesmo trabalho pode ser negado.
Para obter a lista de chaves de condição para AWS Batch, consulte [Chaves de condição para AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) na *Referência de autorização de serviço*. Com exceção de `batch:ShareIdentifier`, todas as chaves de condição do `batch` podem ser usadas dessa forma. A chave de condição `batch:ShareIdentifier` é definida para um trabalho, não para uma definição de trabalho.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Recurso: Negar ação quando qualquer chave de condição corresponder às strings
A política a seguir nega acesso à operação da [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando a chave de condição `batch:Image` (ID da imagem do contêiner) é "*string1*" ou a chave de condição `batch:LogDriver` (driver de registro do contêiner) é "”*string2*. Quando um trabalho abrange vários contêineres, como um trabalho paralelo de vários nós, é possível que os contêineres tenham configurações diferentes. Se várias chaves de condição forem avaliadas em uma declaração, elas serão combinadas usando a lógica `AND`. Portanto, se alguma das várias chaves de condição não corresponder a um contêiner, o efeito `Deny` não será aplicado a esse contêiner. Em vez disso, um contêiner diferente no mesmo trabalho pode ser negado.
Para obter a lista de chaves de condição para AWS Batch, consulte [Chaves de condição para AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) na *Referência de autorização de serviço*. Com exceção de `batch:ShareIdentifier`, todas as chaves de condição do `batch` podem ser usadas dessa forma. (A chave de condição `batch:ShareIdentifier` é definida para um trabalho, não para uma definição de trabalho.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Recurso: usar a chave de condição `batch:ShareIdentifier`
Use a política a seguir para enviar trabalhos que usam a definição de trabalho `jobDefA` para a fila de trabalhos `jobqueue1` com o identificador de compartilhamento `lowCpu`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Gerencie recursos de SageMaker IA com AWS Batch
Essa política permite AWS Batch gerenciar recursos de SageMaker IA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Recurso: restrinja o envio de trabalhos por meio de tags de recursos na definição de trabalhos e na fila de trabalhos
Use a política a seguir para enviar trabalhos somente quando a fila de trabalhos tiver a tag `Environment=dev` e a definição do trabalho tiver a tag`Project=calc`. Essa política demonstra como usar tags de recursos para controlar o acesso aos AWS Batch recursos durante o envio de trabalhos.
**Importante**
Ao enviar trabalhos com políticas que avaliam tags de recursos de definição de trabalho, você deve enviar trabalhos usando o formato de revisão de definição de trabalho (`job-definition:revision`). Se você enviar trabalhos sem especificar uma revisão, as tags de definição de trabalho não serão avaliadas, potencialmente ignorando os controles de acesso pretendidos. O `*:*` padrão no ARN do recurso exige que os envios incluam uma revisão, garantindo que as políticas de tags sejam sempre aplicadas de forma eficaz.
Essa política usa duas declarações separadas porque aplica condições de tag diferentes a tipos de recursos diferentes. Para o escopo de acesso em nível de recurso para envio de tarefa, você deve fornecer os tipos de recursos de definição de tarefa e fila de tarefas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Recurso: política AWS Batch gerenciada
AWS Batch fornece uma política gerenciada que você pode anexar aos usuários. Essa política fornece permissão para usar AWS Batch recursos e operações de API. Você pode aplicar essa política diretamente ou usá-la como ponto de partida para criar suas próprias políticas. Para mais informações sobre cada uma das operações API mencionadas nessas políticas, consulte [Ações](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) em *Referência API AWS Batch *.
## AWSBatchFullAccess
Essa política permite acesso total do administrador AWS Batch a.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).