As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Batch
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade aplicáveis AWS Batch, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem**: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, inclusive a sensibilidade de seus dados, os requisitos da sua empresa, leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS Batch. Os tópicos a seguir mostram como configurar para atender AWS Batch aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS Batch recursos.
**Topics**
+ [Identity and Access Management para AWS Batch](security-iam.md)
+ [AWS Batch Políticas, funções e permissões do IAM](IAM_policies.md)
+ [AWS Batch Função de execução do IAM](execution-IAM-role.md)
+ [Criar uma nuvem privada virtual](create-public-private-vpc.md)
+ [Use um endpoint de interface para acessar AWS Batch](vpc-interface-endpoints.md)
+ [Validação de conformidade para AWS Batch](compliance.md)
+ [Segurança da infraestrutura em AWS Batch](infrastructure-security.md)
+ [Prevenção do problema "confused deputy" entre serviços](cross-service-confused-deputy-prevention.md)
+ [Registrando chamadas de AWS Batch API com AWS CloudTrail](logging-using-cloudtrail.md)
+ [Solucionar problemas do IAM AWS Batch](security_iam_troubleshoot.md)
# Identity and Access Management para AWS Batch
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS Batch os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS Batch funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS Batch](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para AWS Batch](security-iam-awsmanpol.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solucionar problemas do IAM AWS Batch](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS Batch funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS Batch](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS Batch funciona com o IAM
Antes de usar o IAM para gerenciar o acesso AWS Batch, saiba com quais recursos do IAM estão disponíveis para uso AWS Batch.
**Recursos do IAM que você pode usar com AWS Batch**
| Recurso do IAM | AWS Batch apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| Políticas baseadas em recurso | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| ACLs | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como AWS Batch e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para AWS Batch
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para AWS Batch
Para ver exemplos de políticas AWS Batch baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Batch](security_iam_id-based-policy-examples.md)
## Ações políticas para AWS Batch
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de AWS Batch ações, consulte [Ações definidas por AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions) na *Referência de autorização de serviço*.
As ações de política AWS Batch usam o seguinte prefixo antes da ação:
```
batch
```
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
```
"Action": [
"batch:action1",
"batch:action2"
]
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "batch:Describe*"
```
Para ver exemplos de políticas AWS Batch baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Batch](security_iam_id-based-policy-examples.md)
## Recursos políticos para AWS Batch
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de AWS Batch recursos e seus ARNs, consulte [Recursos definidos por AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-resources-for-iam-policies) na *Referência de autorização de serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Chaves de condição de política para AWS Batch
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de AWS Batch condição, consulte [Chaves de condição AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Controle de acesso baseado em atributos (ABAC) com AWS Batch
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Use credenciais temporárias com AWS Batch
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões principais entre serviços para AWS Batch
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para AWS Batch
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper AWS Batch a funcionalidade. Edite perfis de serviço somente quando o AWS Batch fornecer orientação para fazê-lo.
## Funções vinculadas a serviços para AWS Batch
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para AWS Batch
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do AWS Batch . Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por AWS Batch, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html) na *Referência de autorização de serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o AWS Batch console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Batch recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e passe para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o AWS Batch console
Para acessar o AWS Batch console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Batch recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o AWS Batch console, anexe também a política AWS Batch `ConsoleAccess` ou a política `ReadOnly` AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gerenciadas para AWS Batch
Você pode usar políticas AWS gerenciadas para simplificar o gerenciamento do acesso à identidade da sua equipe e dos recursos provisionados AWS . AWS as políticas gerenciadas abrangem uma variedade de casos de uso comuns, estão disponíveis por padrão em sua AWS conta e são mantidas e atualizadas em seu nome. Você não pode alterar as permissões nas políticas AWS gerenciadas. Se o requisito for maior flexibilidade, você também pode optar por criar políticas gerenciadas pelo cliente do IAM. Dessa forma, você pode fornecer a sua equipe recursos provisionados apenas com as permissões exatas de que ela precisa.
Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas em seu nome. Periodicamente, AWS os serviços adicionam permissões adicionais a uma política AWS gerenciada. AWS as políticas gerenciadas provavelmente são atualizadas quando o lançamento ou operação de um novo recurso é disponibilizado. Essas atualizações afetam automaticamente todas as identidades (usuários, grupos e perfis) em que a política está anexada. No entanto, eles não removem as permissões nem interrompem as permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: **BatchServiceRolePolicy**
A política **BatchServiceRolePolicy**gerenciada do IAM é usada pela função [`AWSServiceRoleForBatch`](using-service-linked-roles.md)vinculada ao serviço. Isso permite AWS Batch realizar ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS Batch](using-service-linked-roles.md).
Essa política permite AWS Batch concluir as seguintes ações em recursos específicos:
+ `autoscaling`— Permite AWS Batch criar e gerenciar recursos do Amazon EC2 Auto Scaling. AWS Batch cria e gerencia grupos do Amazon EC2 Auto Scaling para a maioria dos ambientes computacionais.
+ `ec2`— Permite AWS Batch controlar o ciclo de vida das instâncias do Amazon EC2, bem como criar e gerenciar modelos e tags de lançamento. AWS Batch cria e gerencia solicitações do EC2 Spot Fleet para alguns ambientes computacionais EC2 Spot.
+ `ecs`- Permite AWS Batch criar e gerenciar clusters, definições de tarefas e tarefas do Amazon ECS para execução de trabalhos.
+ `eks`- Permite AWS Batch descrever o recurso de cluster Amazon EKS para validações.
+ `iam`- Permite AWS Batch validar e passar funções fornecidas pelo proprietário para Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Permite AWS Batch criar e gerenciar grupos de registros e fluxos de registros para AWS Batch trabalhos.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS política gerenciada: **AWSBatchServiceRolePolicyForSageMaker**
[`AWSServiceRoleForAWSBatchWithSagemaker`](using-service-linked-roles-batch-sagemaker.md)permite AWS Batch realizar ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS Batch](using-service-linked-roles.md).
Essa política permite AWS Batch concluir as seguintes ações em recursos específicos:
+ `sagemaker`— Permite AWS Batch gerenciar trabalhos de treinamento de SageMaker IA e outros recursos de SageMaker IA.
+ `iam:PassRole`— Permite AWS Batch passar funções de execução definidas pelo cliente para a SageMaker IA para execução de tarefas. A restrição de recursos permite passar funções para serviços de SageMaker IA.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS política gerenciada: **AWSBatchServiceRole**política
A política de permissões de função nomeada **AWSBatchServiceRole** AWS Batch permite concluir as seguintes ações em recursos específicos:
A política **AWSBatchServiceRole**gerenciada do IAM geralmente é usada por uma função chamada **AWSBatchServiceRole**e inclui as seguintes permissões. Ao seguir o aviso de segurança padrão de concessão de privilégios mínimos, a política gerenciada **AWSBatchServiceRole** pode ser usada como um guia. Se qualquer permissão concedida na política gerenciada não for necessária para o seu caso de uso, crie uma política personalizada e adicione apenas as permissões necessárias. Essa política e função AWS Batch gerenciadas podem ser usadas com a maioria dos tipos de ambiente computacional, mas o uso de funções vinculadas a serviços é preferível para uma experiência gerenciada menos propensa a erros, com melhor escopo e melhor definição.
+ `autoscaling`— Permite AWS Batch criar e gerenciar recursos do Amazon EC2 Auto Scaling. AWS Batch cria e gerencia grupos do Amazon EC2 Auto Scaling para a maioria dos ambientes computacionais.
+ `ec2`— Permite AWS Batch gerenciar o ciclo de vida das instâncias do Amazon EC2, bem como criar e gerenciar modelos e tags de lançamento. AWS Batch cria e gerencia solicitações do EC2 Spot Fleet para alguns ambientes computacionais EC2 Spot.
+ `ecs`- Permite AWS Batch criar e gerenciar clusters, definições de tarefas e tarefas do Amazon ECS para execução de trabalhos.
+ `iam`- Permite AWS Batch validar e passar funções fornecidas pelo proprietário para Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Permite AWS Batch criar e gerenciar grupos de registros e fluxos de registros para AWS Batch trabalhos.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS política gerenciada: **AWSBatchFullAccess**
A **AWSBatchFullAccess**política concede AWS Batch às ações acesso total aos AWS Batch recursos. Também concede acesso para descrever e listar ações para serviços Amazon EC2, Amazon ECS, Amazon EKS e CloudWatch IAM. Isso é para que as identidades do IAM, sejam usuários ou funções, possam visualizar os recursos AWS Batch gerenciados que foram criados em seu nome. Por fim, essa política também permite que perfis selecionados do IAM sejam passadas para esses serviços.
Você pode anexar **AWSBatchFullAccess**às suas entidades do IAM. AWS Batch também anexa essa política a uma função de serviço que permite AWS Batch realizar ações em seu nome.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS Batch atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Batch desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS Batch documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| ****[ AWSBatchServiceRolePolicyForSageMaker](using-service-linked-roles-batch-sagemaker.md)****política adicionada | Foi adicionada uma nova política AWS gerenciada para a função ** AWSBatchServiceRolePolicyForSageMaker**vinculada ao serviço que permite gerenciar AWS Batch a SageMaker IA em seu nome. | 31 de julho de 2025 |
| ****[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)****política atualizada | Atualização para adicionar suporte à descrição do histórico de solicitações da Frota Spot e de atividades do Amazon EC2 Auto Scaling . | 5 de dezembro de 2023 |
| ****[AWSBatchServiceRole](#security-iam-awsmanpol-AWSBatchServiceRolePolicy)****política adicionada | Atualizado para adicionar declarações IDs, conceder AWS Batch permissões para `ec2:DescribeSpotFleetRequestHistory` `autoscaling:DescribeScalingActivities` e. | 5 de dezembro de 2023 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política atualizada | Atualizada para adicionar suporte à descrição de clusters do Amazon EKS. | 20 de outubro de 2022 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**política atualizada | Atualizada para adicionar suporte a listagem e descrição de clusters do Amazon EKS. | 20 de outubro de 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política atualizada | Atualizada para suportar grupos de reserva de capacidade do Amazon EC2 gerenciados por AWS Resource Groups. Para obter mais informações, consulte [Trabalhar com grupos de reserva de capacidade](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html), no *Guia do usuário do Amazon EC2*. | 18 de maio de 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**e **[AWSBatchServiceRole](using-service-linked-roles.md)**políticas atualizadas | Atualizado para adicionar suporte para descrever o status das instâncias AWS Batch gerenciadas no Amazon EC2 para que as instâncias não íntegras sejam substituídas. | 6 de dezembro de 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política atualizada | Atualizada para adicionar suporte para grupos de posicionamento, reserva de capacidade, GPU elástica e recursos do Elastic Inference no Amazon EC2. | 26 de março de 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política adicionada | Com a política **BatchServiceRolePolicy**gerenciada para a função **AWSServiceRoleForBatch**vinculada ao serviço, você pode usar uma função vinculada ao serviço gerenciada por. AWS Batch Com essa política, você não precisa manter sua própria função para uso em ambientes de computação. | 10 de março de 2021 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**- adicionar permissão para adicionar uma função vinculada ao serviço | Adicione permissões do IAM para permitir que a função **AWSServiceRoleForBatch**vinculada ao serviço seja adicionada à conta. | 10 de março de 2021 |
| AWS Batch começou a rastrear alterações | AWS Batch começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 10 de março de 2021 |
# AWS Batch Políticas, funções e permissões do IAM
Por padrão, os usuários não têm permissão para criar ou modificar AWS Batch recursos ou realizar tarefas usando a AWS Batch API, o AWS Batch console ou AWS CLI o. Para permitir que usuários realizem essas ações, crie políticas do IAM que concedam permissão aos usuários para recursos e operações API específicas. Em seguida, anexe as políticas aos usuários ou grupos que exijam tais permissões.
Quando você anexa uma política a um usuário ou grupo de usuários, a política concede ou nega as permissões para tarefas específicas em recursos específicos. Para mais informações, consulte [Permissões e Políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) no *Guia de Usuário do IAM*. Para mais informações sobre como gerenciar e criar políticas personalizadas do IAM, consulte [Gerenciamento de Políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch faz chamadas para outras pessoas Serviços da AWS em seu nome. Como resultado, AWS Batch deve se autenticar usando suas credenciais. Mais especificamente, AWS Batch autentica criando uma função e uma política do IAM que fornecem essas permissões. Em seguida, associa o perfil aos seus ambientes de computação quando criados. Para obter mais informações[Perfil de instância do Amazon ECS](instance_IAM_role.md), consulte [Funções do IAM, Uso de funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) [vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no Guia do usuário do *IAM*.
**Topics**
+ [Estrutura da política do IAM](iam-policy-structure.md)
+ [Recurso: exemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md)
+ [Recurso: política AWS Batch gerenciada](batch_managed_policies.md)
# Estrutura da política do IAM
Os tópicos a seguir explicam a estrutura de uma política do IAM.
**Topics**
+ [Sintaxe da política](#policy-syntax)
+ [Ações de API para AWS Batch](#UsingWithbatch_Actions)
+ [Nomes de recursos da Amazon para AWS Batch](#batch_ARN_Format)
+ [Confirmar se os usuários têm as permissões necessárias](#check-required-permissions)
## Sintaxe da política
A política do IAM é um documento JSON que consiste em uma ou mais declarações. Cada instrução é estruturada da maneira a seguir.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Há quatro elementos principais que compõem uma declaração:
+ **Efeito:** o *efeito* pode ser `Allow` ou `Deny`. Por padrão, os usuários não têm permissão para usar recursos e ações de API. Então, todas as solicitações são negadas. Um permitir explícito substitui o padrão. Uma negar explícito substitui todas as permissões.
+ **Ação**: a *ação* é a ação de API específica para a qual você está concedendo ou negando permissão. Para obter instruções sobre como especificar a *ação*, consulte [Ações de API para AWS Batch](#UsingWithbatch_Actions).
+ **Recurso**: o recurso afetado pela ação. Com algumas ações de API do AWS Batch é possível incluir recursos específicos na política que podem ser criados ou modificados pela ação. Para especificar um recurso na declaração, use o respectivo nome de recurso da Amazon (ARN). Para obter mais informações, consulte [Permissões em nível de recurso suportadas para ações de API AWS Batch](batch-supported-iam-actions-resources.md) e [Nomes de recursos da Amazon para AWS Batch](#batch_ARN_Format). Se a operação da AWS Batch API atualmente não oferecer suporte a permissões em nível de recurso, inclua um caractere curinga (\$1) para especificar que todos os recursos podem ser afetados pela ação.
+ **Condição**: condições são opcionais. Elas podem ser usadas para controlar quando a política está em vigor.
Para obter mais informações sobre exemplos de declarações de política do IAM para AWS Batch, consulte[Recurso: exemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md).
## Ações de API para AWS Batch
Em uma declaração de política do IAM, é possível especificar qualquer ação de API de qualquer serviço que dê suporte ao IAM. Para AWS Batch, use o seguinte prefixo com o nome da ação da API: `batch:` (por exemplo, `batch:SubmitJob` e`batch:CreateComputeEnvironment`).
Para especificar várias ações em uma única declaração, separe cada ação com uma vírgula.
```
"Action": ["batch:action1", "batch:action2"]
```
Você também pode especificar várias ações incluindo um curinga (\$1). Por exemplo, é possível especificar todas as ações com um nome começando com a palavra "Describe".
```
"Action": "batch:Describe*"
```
Para especificar todas as ações AWS Batch da API, inclua um caractere curinga (\$1).
```
"Action": "batch:*"
```
Para ver uma lista de AWS Batch ações, consulte [Ações](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) na *Referência AWS Batch da API*.
## Nomes de recursos da Amazon para AWS Batch
Cada declaração de política do IAM se aplica aos recursos que você especifica usando seus Amazon Resource Names (ARNs).
Um nome do recurso da Amazon (ARN) tem a seguinte sintaxe geral:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*service*
O serviço (por exemplo, `batch`).
*region*
O Região da AWS para o recurso (por exemplo,`us-east-2`).
*account*
O Conta da AWS ID, sem hífens (por exemplo,`123456789012`).
*resourceType*
O tipo de recurso (por exemplo, `compute-environment`).
*resourcePath*
Um caminho que identifica o recurso. É possível usar um curinga (\$1) nos caminhos.
AWS Batch Atualmente, as operações de API oferecem suporte a permissões em nível de recurso em várias operações de API. Para obter mais informações, consulte [Permissões em nível de recurso suportadas para ações de API AWS Batch](batch-supported-iam-actions-resources.md). Para especificar todos os recursos, ou se uma ação de API específica não for compatível ARNs, inclua um caractere curinga (\$1) no `Resource` elemento.
```
"Resource": "*"
```
## Confirmar se os usuários têm as permissões necessárias
Antes de colocar uma política do IAM em vigor, verifique se ela concede aos usuários as permissões para usar as ações e recursos de API específicos de que eles precisam.
Para fazer isso, primeiro, crie um usuário do para fins de teste e anexe a política do IAM ao usuário de teste. Em seguia, faça uma solicitação como o usuário de teste. Você pode fazer solicitações de teste no console ou com a AWS CLI.
**nota**
Você também pode testar as políticas usando o [Simulador de políticas do IAM](https://policysim.aws.amazon.com/home/index.jsp?#). Para obter mais informações sobre o simulador de políticas, consulte [Como trabalhar com o simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) no *Guia do usuário do IAM*.
Caso a política não conceda ao usuário as permissões que você esperava ou caso ela seja muito permissiva, você pode ajustar a política conforme necessário. Teste novamente até obter os resultados desejados.
**Importante**
Pode levar alguns minutos para que as alterações de política sejam propagadas até entrarem em vigor. Por isso, recomendamos que você aguarde pelo menos cinco minutos antes de testar as atualizações da política.
Caso uma verificação de autorização falhe, a solicitação retorna uma mensagem codificada com informações de diagnóstico. É possível decodificar a mensagem usando a ação `DecodeAuthorizationMessage`. Para obter mais informações, consulte [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)na *Referência AWS Security Token Service da API* e [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)na *Referência de AWS CLI Comandos*.
# Recurso: exemplos de políticas para AWS Batch
Você pode criar políticas do IAM específicas para restringir chamadas e recursos a que os usuários em sua conta têm acesso. Em seguida, você pode anexar tais políticas aos usuários.
Ao anexar uma política a um usuário ou grupo de usuários, ela concede ou nega aos usuários permissão para realizar tarefas específicas em recursos específicos. Para mais informações, consulte [Permissões e Políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) no *Guia de Usuário do IAM*. Para instruções sobre como gerenciar e criar políticas do IAM personalizadas, consulte [Gerenciando Políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Os exemplos a seguir mostram declarações de política que você pode usar para controlar as permissões que os usuários têm para o AWS Batch.
**Topics**
+ [Acesso somente leitura.](iam-example-read-only.md)
+ [Recurso: restringir usuário, imagem, privilégio, perfil](iam-example-job-def.md)
+ [Restringir envio de trabalhos](iam-example-restrict-job-submission.md)
+ [Restringir a uma fila de trabalhos](iam-example-restrict-job-queue.md)
+ [Ação Negar quando todas as conndições correspondem a strings](iam-example-job-def-deny-all-image-logdriver.md)
+ [Recurso: Negar ação quando qualquer chave de condição corresponder às strings](iam-example-job-def-deny-any-image-logdriver.md)
+ [Use a chave de condição `batch:ShareIdentifier`](iam-example-share-identifier.md)
+ [Gerencie recursos de SageMaker IA com AWS Batch](iam-example-full-access-service-environment.md)
+ [Restringir o envio de trabalhos por tags de recursos](iam-example-restrict-job-submission-by-tags.md)
# Recurso: Acesso somente para leitura para AWS Batch
A política a seguir concede aos usuários permissões para usar todas as ações AWS Batch da API com um nome que começa com `Describe` `List` e.
Os usuários não podem executar nenhuma ação nesses recursos ou criar novos recursos, a menos que outra declaração conceda permissão para eles fazerem isso. Por padrão, eles não têm permissão para usar ações de API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Recurso: Restringir ao usuário POSIX, imagem do Docker, nível de privilégio e perfil no envio do trabalho
A política a seguir permite que um usuário POSIX gerencie seu próprio conjunto de definições de tarefas restritos.
Use a primeira e a segunda declarações para registrar e cancelar o registro de qualquer nome de definição de tarefa cujo nome esteja prefixado com. *JobDefA\$1*
A primeira afirmação também usa chaves de contexto condicional para restringir o usuário de POSIX, status de privilegiado e valores de imagem de contêiner dentro das `containerProperties` de uma definição de tarefa. Para obter mais informações, consulte [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) na *Referência de APIs do AWS Batch *. Neste exemplo, as definições de tarefas só podem ser registradas quando o usuário POSIX está definido como `nobody`. O sinalizador privilegiado está definido como `false`. Por exemplo, a imagem é definida como `myImage` em um repositório do Amazon ECR.
**Importante**
O docker resolve o parâmetro `user` para o `uid` desse usuário de dentro da imagem do contêiner. Na maioria dos casos, isso é encontrado no arquivo `/etc/passwd` dentro da imagem do contêiner. Essa resolução de nomes pode ser evitada usando valores diretos de `uid` tanto na definição de tarefa quanto nas políticas do IAM associadas. Tanto as operações de API do AWS Batch quanto as chaves condicionais do `batch:User` do IAM suportam valores numéricos.
Use a terceira afirmação para restringir a apenas uma função específica a uma definição de trabalho.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Recurso: Restringir ao prefixo de definição de trabalho no envio de trabalho
Use a política a seguir para enviar trabalhos para qualquer fila de trabalhos com qualquer nome de definição de trabalho que comece com*JobDefA*.
**Importante**
Para o escopo de acesso em nível de recurso para envio de tarefa, você deve fornecer os tipos de recursos de definição de tarefa e fila de tarefas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Recurso: restringir a uma fila de trabalho
Use a política a seguir para enviar trabalhos para uma fila de trabalhos específica nomeada **queue1** com qualquer nome de definição de trabalho.
**Importante**
Para o escopo de acesso em nível de recurso para envio de tarefa, você deve fornecer os tipos de recursos de definição de tarefa e fila de tarefas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Ação Negar quando todas as conndições correspondem a strings
A política a seguir nega acesso à operação da [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando a chave de condição `batch:Image` (ID da imagem do contêiner) é "*string1*" e a chave de condição `batch:LogDriver` (driver de registro do contêiner) é "”*string2*. AWS Batch avalia as chaves de condição em cada contêiner. Quando um trabalho abrange vários contêineres, como um trabalho paralelo de vários nós, é possível que os contêineres tenham configurações diferentes. Se várias chaves de condição forem avaliadas em uma declaração, elas serão combinadas usando a lógica `AND`. Portanto, se alguma das várias chaves de condição não corresponder a um contêiner, o efeito `Deny` não será aplicado a esse contêiner. Em vez disso, um contêiner diferente no mesmo trabalho pode ser negado.
Para obter a lista de chaves de condição para AWS Batch, consulte [Chaves de condição para AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) na *Referência de autorização de serviço*. Com exceção de `batch:ShareIdentifier`, todas as chaves de condição do `batch` podem ser usadas dessa forma. A chave de condição `batch:ShareIdentifier` é definida para um trabalho, não para uma definição de trabalho.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Recurso: Negar ação quando qualquer chave de condição corresponder às strings
A política a seguir nega acesso à operação da [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando a chave de condição `batch:Image` (ID da imagem do contêiner) é "*string1*" ou a chave de condição `batch:LogDriver` (driver de registro do contêiner) é "”*string2*. Quando um trabalho abrange vários contêineres, como um trabalho paralelo de vários nós, é possível que os contêineres tenham configurações diferentes. Se várias chaves de condição forem avaliadas em uma declaração, elas serão combinadas usando a lógica `AND`. Portanto, se alguma das várias chaves de condição não corresponder a um contêiner, o efeito `Deny` não será aplicado a esse contêiner. Em vez disso, um contêiner diferente no mesmo trabalho pode ser negado.
Para obter a lista de chaves de condição para AWS Batch, consulte [Chaves de condição para AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) na *Referência de autorização de serviço*. Com exceção de `batch:ShareIdentifier`, todas as chaves de condição do `batch` podem ser usadas dessa forma. (A chave de condição `batch:ShareIdentifier` é definida para um trabalho, não para uma definição de trabalho.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Recurso: usar a chave de condição `batch:ShareIdentifier`
Use a política a seguir para enviar trabalhos que usam a definição de trabalho `jobDefA` para a fila de trabalhos `jobqueue1` com o identificador de compartilhamento `lowCpu`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Gerencie recursos de SageMaker IA com AWS Batch
Essa política permite AWS Batch gerenciar recursos de SageMaker IA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Recurso: restrinja o envio de trabalhos por meio de tags de recursos na definição de trabalhos e na fila de trabalhos
Use a política a seguir para enviar trabalhos somente quando a fila de trabalhos tiver a tag `Environment=dev` e a definição do trabalho tiver a tag`Project=calc`. Essa política demonstra como usar tags de recursos para controlar o acesso aos AWS Batch recursos durante o envio de trabalhos.
**Importante**
Ao enviar trabalhos com políticas que avaliam tags de recursos de definição de trabalho, você deve enviar trabalhos usando o formato de revisão de definição de trabalho (`job-definition:revision`). Se você enviar trabalhos sem especificar uma revisão, as tags de definição de trabalho não serão avaliadas, potencialmente ignorando os controles de acesso pretendidos. O `*:*` padrão no ARN do recurso exige que os envios incluam uma revisão, garantindo que as políticas de tags sejam sempre aplicadas de forma eficaz.
Essa política usa duas declarações separadas porque aplica condições de tag diferentes a tipos de recursos diferentes. Para o escopo de acesso em nível de recurso para envio de tarefa, você deve fornecer os tipos de recursos de definição de tarefa e fila de tarefas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Recurso: política AWS Batch gerenciada
AWS Batch fornece uma política gerenciada que você pode anexar aos usuários. Essa política fornece permissão para usar AWS Batch recursos e operações de API. Você pode aplicar essa política diretamente ou usá-la como ponto de partida para criar suas próprias políticas. Para mais informações sobre cada uma das operações API mencionadas nessas políticas, consulte [Ações](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) em *Referência API AWS Batch *.
## AWSBatchFullAccess
Essa política permite acesso total do administrador AWS Batch a.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
# AWS Batch Função de execução do IAM
A função de execução concede ao contêiner e aos AWS Fargate agentes do Amazon ECS permissão para fazer chamadas de AWS API em seu nome.
**nota**
O papel de execução é compatível pela versão do atendente 1.16.0 do atendente de contêiner do Amazon ECS e superior.
É necessário informar o perfil de execução do IAM dependendo dos requisitos da sua tarefa. Você pode ter vários papéis de execução para diferentes objetivos e associações de serviço em sua conta.
**nota**
Para obter mais informações sobre a função da instância do Amazon ECS, consulte [Perfil de instância do Amazon ECS](instance_IAM_role.md). Para obter informações sobre perfis de serviço, consulte [Como AWS Batch funciona com o IAM](security_iam_service-with-iam.md).
O Amazon ECS fornece a política gerenciada `AmazonECSTaskExecutionRolePolicy`. Esta politica contém as permissões obrigatórias para os casos de uso comuns descritos acima. Talvez seja necessário adicionar políticas em linha ao seu perfil de execução de trabalhos para os casos de uso especiais resumidos abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Permissões em nível de recurso suportadas para ações de API AWS Batch
O termo *permissões em nível de recurso* se refere à capacidade de especificar os recursos nos quais os usuários podem realizar ações. AWS Batch tem suporte parcial para permissões em nível de recurso. Para algumas AWS Batch ações, você pode controlar quando os usuários podem usar essas ações com base nas condições que devem ser atendidas. Você também pode controlar com base nos recursos específicos que os usuários podem usar. Por exemplo, você pode conceder permissões aos usuários para enviar tarefas, mas somente para uma determinada fila de tarefas e apenas com uma determinada definição de tarefa.
Para obter detalhes sobre ações e tipos de recursos definidos pelo AWS Batch, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte Actions, Resources, and Condition Keys for [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)the *Service Authorization Reference*.
# Tutorial: criar o perfil de execução do IAM
Se a sua conta ainda não tiver um perfil de execução do IAM, use as etapas a seguir para criar o perfil.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Escolha **Criar Perfil**.
1. Em **Tipo de Entidade Confiável**, escolha** AWS service (Serviço da AWS)**.
1. Em **Serviço ou Caso de uso**, escolha **Elastic Container Service**. Então escolha **Tarefa de serviço do Elastic Container** novamente.
1. Escolha **Próximo**.
1. Para **políticas de permissões**, pesquise por **Amazon ECSTask ExecutionRolePolicy**.
1. Escolha a caixa de seleção à esquerda da ECSTask ExecutionRolePolicy política da **Amazon** e, em seguida, escolha **Avançar**.
1. Em **Nome do perfil**, insira `ecsTaskExecutionRole` e então, escolha **Criar perfil**.
# Tutorial: verificar a perfil de execução do IAM
Use o procedimento a seguir para verificar se a sua conta já tem o perfil de execução do IAM e anexar a política gerenciada do IAM, caso necessário.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Pesquise `ecsTaskExecutionRole` na lista de perfis. Se você não conseguir encontrar a função, consulte [Tutorial: criar o perfil de execução do IAM](create-execution-role.md). Se a função existir, escolha-a para visualizar as políticas anexadas.
1. Na guia **Permissões**, verifique se a política ECSTask ExecutionRolePolicy gerenciada da **Amazon** está vinculada à função. Se a política estiver anexada, isso significa que seu perfil de execução está configurado corretamente. Caso contrário, siga as etapas secundárias abaixo para anexar a política.
1. Escolha **Adicionar Permissões** e depois escolha **Anexar Políticas**.
1. Pesquise pela **Amazon ECSTask ExecutionRolePolicy**.
1. Marque a caixa à esquerda da ECSTask ExecutionRolePolicy política da **Amazon** e escolha **Anexar políticas**.
1. Escolha **Relações de Confiança**.
1. Verifique se a relação de confiança contém a seguinte política. Se a relação de confiança corresponder à política abaixo, a função será configurada corretamente. Se a relação de confiança não corresponder, escolha **Editar Política de Confiança**, insira o seguinte e escolha **Atualizar Política**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Usando funções vinculadas a serviços para AWS Batch
AWS Batch usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Batch As funções vinculadas ao serviço são predefinidas AWS Batch e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
AWS Batch usa duas funções vinculadas a serviços diferentes:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Para AWS Batch operações, incluindo ambientes computacionais.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Para gerenciamento de cargas de trabalho e filas de SageMaker IA.
**Topics**
+ [Usando funções para AWS Batch](using-service-linked-roles-batch-general.md)
+ [Usando funções para AWS Batch com SageMaker IA](using-service-linked-roles-batch-sagemaker.md)
# Usando funções para AWS Batch
AWS Batch usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Batch As funções vinculadas ao serviço são predefinidas AWS Batch e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Batch porque você não precisa adicionar manualmente as permissões necessárias. AWS Batch define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Batch pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
**nota**
Siga um destes procedimentos para especificar uma função de serviço para um ambiente AWS Batch computacional.
Use uma string vazia para o perfil de serviço. Isso permite AWS Batch criar a função de serviço.
Especifique o perfil de serviço no seguinte formato: `arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Para obter mais informações, consulte [Nome do perfil ou ARN incorreto](invalid_compute_environment.md#invalid_service_role_arn) o Guia AWS Batch do usuário.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Batch recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para AWS Batch
AWS Batch usa a função vinculada ao serviço chamada **AWSServiceRoleForBatch**— Permite AWS Batch criar e gerenciar AWS recursos em seu nome.
A função AWSService RoleForBatch vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `batch.amazonaws.com`
A política de permissões de função nomeada [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy) AWS Batch permite concluir as seguintes ações nos recursos especificados:
+ `autoscaling`— Permite AWS Batch criar e gerenciar recursos do Amazon EC2 Auto Scaling. AWS Batch cria e gerencia grupos do Amazon EC2 Auto Scaling para a maioria dos ambientes computacionais.
+ `ec2`— Permite AWS Batch controlar o ciclo de vida das instâncias do Amazon EC2, bem como criar e gerenciar modelos e tags de lançamento. AWS Batch cria e gerencia solicitações do EC2 Spot Fleet para alguns ambientes computacionais EC2 Spot.
+ `ecs`- Permite AWS Batch criar e gerenciar clusters, definições de tarefas e tarefas do Amazon ECS para execução de trabalhos.
+ `eks`- Permite AWS Batch descrever o recurso de cluster Amazon EKS para validações.
+ `iam`- Permite AWS Batch validar e passar funções fornecidas pelo proprietário para Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Permite AWS Batch criar e gerenciar grupos de registros e fluxos de registros para AWS Batch trabalhos.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Batch
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um ambiente computacional na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Batch cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Se você estava usando o AWS Batch serviço antes de 10 de março de 2021, quando ele começou a oferecer suporte a funções vinculadas ao serviço, AWS Batch criou a AWSService RoleForBatch função em sua conta. Para saber mais, consulte [Uma nova função apareceu no meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um ambiente computacional, AWS Batch cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para AWS Batch
AWS Batch não permite que você edite a função AWSService RoleForBatch vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
**Para permitir que uma entidade do IAM edite a descrição da função AWSService RoleForBatch vinculada ao serviço**
Adicione a seguinte instrução a política de permissões. Isso permite que que uma entidade do IAM edite a descrição de uma função vinculada ao serviço.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Excluindo uma função vinculada ao serviço para AWS Batch
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja ativamente monitorada ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
**Para permitir que uma entidade do IAM exclua a função AWSService RoleForBatch vinculada ao serviço**
Adicione a seguinte instrução a política de permissões. Isso permite que a entidade do IAM delete a função vinculada ao serviço.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar se a função não tem sessões ativas e excluir todos os ambientes AWS Batch computacionais que usam a função em todas as AWS regiões em uma única partição.
**Para verificar se a função vinculada ao serviço tem uma sessão ativa**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Funções** e, em seguida, o AWSService RoleForBatch nome (não a caixa de seleção).
1. Na página **Resumo**, escolha **Consultor de Acesso** e analise as atividades recentes para a função vinculada ao serviço.
**nota**
Se você não sabe se AWS Batch está usando a AWSService RoleForBatch função, você pode tentar excluir a função. Se o serviço estiver usando a função, haverá falha ao excluir a função. Você pode visualizar as regiões nas quais a função estiver sendo usada. Se a função estiver sendo usada, você deve aguardar a sessão final antes de excluir a função. Você não pode revogar a sessão de uma função vinculada ao serviço.
**Para remover AWS Batch recursos usados pela função vinculada ao AWSService RoleForBatch serviço**
Você deve excluir todos os ambientes AWS Batch computacionais que usam a AWSService RoleForBatch função em todas as AWS regiões antes de excluir a AWSService RoleForBatch função.
1. Abra o AWS Batch console em [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Na barra de navegação, selecione a Região a ser usada.
1. No painel de navegação, escolha **Ambientes de computação**.
1. Selecione o ambiente de computação.
1. Escolha **Desabilitar**. Espere até que o **Estado** mude para **DESATIVADO**.
1. Selecione o ambiente de computação.
1. Escolha **Deletar**. Confirme que você deseja excluir o ambiente de computação escolhendo **Excluir o ambiente computacional**.
1. Repita as etapas 1 a 7 para todos os ambientes de computação usando a função vinculada ao serviço em todas as regiões.
### Excluir uma função vinculada ao serviço no IAM (Console)
Você pode usar o console do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis**. Em seguida, marque a caixa de seleção ao lado AWSServiceRoleForBatch, não o nome ou a linha em si.
1. Escolha **Excluir perfil**.
1. Na caixa de diálogo de confirmação, revise os dados do último acesso ao serviço mostrando quando cada uma das perfis selecionadas acessou pela última vez um AWS service (Serviço da AWS). Isso ajuda você a confirmar se a função está ativo no momento. Se quiser prosseguir, escolha **Sim, Excluir** para enviar a função vinculada ao serviço para exclusão.
1. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão do perfil vinculado ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a exclusão da tarefa pode obter êxito ser reprovada.
+ Se a tarefa for bem-sucedida, a função será removida da lista e uma notificação de sucesso será exibida na parte superior da página.
+ Se a tarefa obtiver êxito, você poderá escolher **Visualizar Detalhes** ou **Visualizar Recursos** a partir das notificações para saber por que a exclusão falhou. Se a exclusão falhou porque a função está usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos.
+ Se a tarefa falhar e a notificação não incluir uma lista de recursos, o serviço pode não retornar essas informações. Para saber como limpar os recursos para esse serviço, consulte [Serviços da AWS que Funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o serviço na tabela e escolha o link **Sim** para visualizar a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (AWS CLI)
Você pode usar os comandos do IAM do AWS Command Line Interface para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculado ao serviço (CLI)**
1. Como uma função vinculada ao serviço não pode ser excluída se estiver sendo usada ou tiver recursos associados, você deve enviar uma solicitação de exclusão. Essa solicitação pode ser negada se essas condições não forem atendidas. Você deve capturar o `deletion-task-id` da resposta para verificar o status da tarefa de exclusão. Insira o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Use o seguinte comando para verificar o status da tarefa de exclusão:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles. Ou talvez não relate qualquer recurso. Saiba como limpar os recursos de um serviço que não reporta qualquer recurso consultando [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (API da AWS)
Você pode usar a API do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (API)**
1. Para enviar uma solicitação de exclusão de um roll vinculada ao serviço, chame [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Na solicitação, especifique o nome da AWSService RoleForBatch função.
Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `DeletionTaskId` da resposta para verificar o status da tarefa de exclusão.
1. Para verificar o status da exclusão, chame [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Na solicitação, especifique o `DeletionTaskId`.
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos. Saiba como limpar os recursos de um serviço que não relata qualquer recurso consultando[Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
## Regiões suportadas para funções vinculadas a AWS Batch serviços
AWS Batch suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints do AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Usando funções para AWS Batch com SageMaker IA
AWS Batch usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Batch As funções vinculadas ao serviço são predefinidas AWS Batch e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Batch porque você não precisa adicionar manualmente as permissões necessárias. AWS Batch define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Batch pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Batch recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para AWS Batch
AWS Batch usa a função vinculada ao serviço chamada **AWSServiceRoleForAWSBatchWithSagemaker**— Permite AWS Batch enfileirar e gerenciar trabalhos de SageMaker treinamento em seu nome.
A função AWSService RoleFor AWSBatch WithSagemaker vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `sagemaker-queuing.batch.amazonaws.com`
A política de permissões de função AWS Batch permite concluir as seguintes ações nos recursos especificados:
+ `sagemaker`— Permite AWS Batch gerenciar trabalhos de SageMaker treinamento, transformar trabalhos e outros recursos de SageMaker IA.
+ `iam:PassRole`— Permite AWS Batch passar funções de execução definidas pelo cliente para a SageMaker IA para execução de tarefas. A restrição de recursos permite passar funções para serviços de SageMaker IA.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Batch
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um ambiente de serviço usando `CreateServiceEnvironment` na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Batch cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um ambiente de serviço usando`CreateServiceEnvironment`, AWS Batch cria a função vinculada ao serviço para você novamente.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Editando uma função vinculada ao serviço para AWS Batch
AWS Batch não permite que você edite a função AWSService RoleFor AWSBatch WithSagemaker vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Batch
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja ativamente monitorada ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar se a função não tem sessões ativas e excluir todos os ambientes de serviço que usam a função em todas as AWS regiões em uma única partição.
**Para verificar se a função vinculada ao serviço tem uma sessão ativa**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Funções** e, em seguida, o AWSService RoleFor AWSBatch WithSagemaker nome (não a caixa de seleção).
1. Na página **Resumo**, escolha **Consultor de Acesso** e analise as atividades recentes para a função vinculada ao serviço.
**nota**
Se você não sabe se AWS Batch está usando a AWSService RoleFor AWSBatch WithSagemaker função, tente excluir a função. Se o serviço estiver usando a função, haverá falha ao excluir a função. Você pode visualizar as regiões nas quais a função estiver sendo usada. Se a função estiver sendo usada, você deve aguardar a sessão final antes de excluir a função. Você não pode revogar a sessão de uma função vinculada ao serviço.
**Para remover AWS Batch recursos usados pela função vinculada ao AWSService RoleFor AWSBatch WithSagemaker serviço**
Você deve dissociar todas as filas de trabalhos de todos os ambientes de serviço e, em seguida, excluir todos os ambientes de serviço que usam a AWSService RoleFor AWSBatch WithSagemaker função em todas as AWS regiões antes de excluir a função. AWSService RoleFor AWSBatch WithSagemaker
1. Abra o AWS Batch console em [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Na barra de navegação, selecione a Região a ser usada.
1. No painel de navegação, escolha **Ambientes** e, então, **Ambientes de serviço**.
1. Selecione todos os **Ambientes de serviço**.
1. Escolha **Desabilitar**. Espere até que o **Estado** mude para **DESATIVADO**.
1. Selecione o ambiente de serviço.
1. Escolha **Excluir**. Confirme que você deseja excluir o ambiente de serviço escolhendo **Excluir o ambiente de serviço**.
1. Repita as etapas 1 a 7 para todos os ambientes de serviço usando o perfil vinculado ao serviço em todas as regiões.
### Excluir uma função vinculada ao serviço no IAM (Console)
Você pode usar o console do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis**. Em seguida, marque a caixa de seleção ao lado AWSService RoleFor AWSBatchWithSagemaker, não o nome ou a linha em si.
1. Escolha **Excluir perfil**.
1. Na caixa de diálogo de confirmação, revise os dados do último acesso ao serviço mostrando quando cada uma das perfis selecionadas acessou pela última vez um AWS service (Serviço da AWS). Isso ajuda você a confirmar se a função está ativo no momento. Se quiser prosseguir, escolha **Sim, Excluir** para enviar a função vinculada ao serviço para exclusão.
1. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão do perfil vinculado ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a exclusão da tarefa pode obter êxito ser reprovada.
+ Se a tarefa for bem-sucedida, a função será removida da lista e uma notificação de sucesso será exibida na parte superior da página.
+ Se a tarefa obtiver êxito, você poderá escolher **Visualizar Detalhes** ou **Visualizar Recursos** a partir das notificações para saber por que a exclusão falhou. Se a exclusão falhou porque a função está usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos.
+ Se a tarefa falhar e a notificação não incluir uma lista de recursos, o serviço pode não retornar essas informações. Para saber como limpar os recursos para esse serviço, consulte [Serviços da AWS que Funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o serviço na tabela e escolha o link **Sim** para visualizar a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (AWS CLI)
Você pode usar os comandos do IAM do AWS Command Line Interface para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculado ao serviço (CLI)**
1. Como uma função vinculada ao serviço não pode ser excluída se estiver sendo usada ou tiver recursos associados, você deve enviar uma solicitação de exclusão. Essa solicitação pode ser negada se essas condições não forem atendidas. Você deve capturar o `deletion-task-id` da resposta para verificar o status da tarefa de exclusão. Insira o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Use o seguinte comando para verificar o status da tarefa de exclusão:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles. Ou talvez não relate qualquer recurso. Saiba como limpar os recursos de um serviço que não reporta qualquer recurso consultando [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (API da AWS)
Você pode usar a API do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (API)**
1. Para enviar uma solicitação de exclusão de um roll vinculada ao serviço, chame [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Na solicitação, especifique o nome da AWSService RoleFor AWSBatch WithSagemaker função.
Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `DeletionTaskId` da resposta para verificar o status da tarefa de exclusão.
1. Para verificar o status da exclusão, chame [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Na solicitação, especifique o `DeletionTaskId`.
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos. Saiba como limpar os recursos de um serviço que não relata qualquer recurso consultando[Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
## Regiões suportadas para funções vinculadas a AWS Batch serviços
AWS Batch suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints do AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Perfil de instância do Amazon ECS
AWS Batch os ambientes computacionais são preenchidos com instâncias de contêiner do Amazon ECS. Eles executam o atendente de contêiner do Amazon ECS localmente. O agente de contêineres do Amazon ECS faz chamadas para várias operações de AWS API em seu nome. Portanto, as instâncias de contêiner que executam o atendente exigem uma política e um perfil do IAM para esses serviços para reconhecerem que o atendente pertence a você. Você deve criar um perfil do IAM e um perfil de instância para as instâncias de contêiner poderem usar quando iniciadas. Do contrário, você não poderá criar um ambiente de computação e iniciar instâncias de contêiner nele. Esse requisito se aplica a instâncias de contêiner iniciadas com ou sem o AMI otimizado Amazon ECS, fornecido pela Amazon. Para obter mais informações, consulte [Perfil de instância do Amazon ECS](#instance_IAM_role) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
**Topics**
+ [Verificar o perfil de instância do Amazon ECS de sua conta](batch-check-ecsinstancerole.md)
# Verificar o perfil de instância do Amazon ECS de sua conta
A função e o perfil de instância Amazon ECS são criados automaticamente para você durante a primeira execução do console. No entanto, é possível seguir essas etapas para verificar se a sua conta já possui a função e perfil de instância do Amazon ECS. As etapas a seguir também abordam como anexar a política do IAM gerenciada.
**Tutorial: verificar `ecsInstanceRole` no campo de console do IAM**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Procure na lista de perfis por `ecsInstanceRole`. Caso o perfil não exista, use os seguintes passos para criá-lo.
1. Escolha **Criar Perfil**.
1. Em **Tipo de Entidade Confiável**, escolha **AWS service (Serviço da AWS)**.
1. Em **Ocasiões de Uso Comuns**, escolha**EC2**.
1. Escolha **Próximo**.
1. Para **políticas de permissões**, pesquise **Amazon EC2 ContainerServicefor EC2 Role**.
1. Escolha a caixa de seleção ao lado de **Amazon EC2 ContainerServicefor EC2 Role** e, em seguida, escolha **Avançar**.
1. Em **Nome do Perfil**, digite `ecsInstanceRole` e selecione **Criar Perfil**.
**nota**
Se você usar o Console de gerenciamento da AWS para criar uma função para o Amazon EC2, o console cria um perfil de instância com o mesmo nome da função.
Como alternativa, você pode usar o AWS CLI para criar a função `ecsInstanceRole` do IAM. O exemplo a seguir cria uma função do IAM com uma política de confiança e uma política AWS gerenciada.
**Tutorial: criar um perfil do IAM e um de instância (AWS CLI)**
1. Crie a seguinte política de confiança e salve-a em um arquivo de texto chamado `ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Use o comando [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) para criar o perfil `ecsInstanceRole`. Especifique a localização do arquivo da política de confiança no parâmetro `assume-role-policy-document`.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Use o [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)comando para criar um perfil de instância chamado`ecsInstanceRole`.
**nota**
Você precisa criar funções e perfis de instância como ações separadas na AWS API AWS CLI e.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
O seguinte é um exemplo de resposta.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Use o comando [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) para adicionar a `ecsInstanceRole` função ao perfil da `ecsInstanceRole` instância.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Use o [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)comando para anexar a política `AmazonEC2ContainerServiceforEC2Role` AWS gerenciada à `ecsInstanceRole` função.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Perfil de frota spot Amazon EC2
Caso crie um ambiente de computação gerenciado que faça uso de instâncias de frota spot Amazon EC2, você deve criar a política de `AmazonEC2SpotFleetTaggingRole`. Esta política concede à frota spot permissão para iniciar, marcar e encerrar instâncias em seu nome. Especifique a função em sua solicitação de frota Spot. Você também deve ter as funções **AWSServiceRoleForEC2spot** e **AWSServiceRoleForEC2SpotFleet**vinculadas ao serviço para Amazon EC2 Spot e Spot Fleet. Use as instruções a seguir para criar estes perfis. Para obter mais informações, consulte Como [usar funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Criar uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no Guia do usuário do *IAM*.
**Topics**
+ [Crie funções de frota spot do Amazon EC2 no Console de gerenciamento da AWS](spot-fleet-roles-console.md)
+ [Crie funções de frota spot do Amazon EC2 com o AWS CLI](spot-fleet-roles-cli.md)
# Crie funções de frota spot do Amazon EC2 no Console de gerenciamento da AWS
**Para criar o perfil do IAM `AmazonEC2SpotFleetTaggingRole` vinculado ao serviço para frota spot Amazon EC2**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Em **Gerenciamento de Acesso**, escolha **Perfis**,
1. Em **Perfis**, escolha **Criar Perfil**.
1. De **Selecionar Entidade Confiável** para **Tipo de Entidade Confiável**, escolha **AWS service (Serviço da AWS)**.
1. Para **casos de uso para outros Serviços da AWS**, escolha **EC2 e, em seguida, escolha EC2** **- Spot Fleet** Tagging.
1. Escolha **Próximo**.
1. De **Políticas de permissões** para **Nome da Política**, verifique `AmazonEC2SpotFleetTaggingRole`.
1. Escolha **Próximo**.
1. Em **Nomear, Revisar e Criar**:
1. Em **Nome do Perfil**, insira um nome para identificar o perfil.
1. Em **Descrição**, insira uma breve explicação para a política.
1. (Opcional) Para **Passo 1: Selecionar Entidades Confiáveis**, escolha **Editar** para modificar o código.
1. (Opcional) Para **Passo 2: Adicionar Permissões**, escolha **Editar** para modificar o código.
1. (Opcional) Em **Adicionar Marcações**, escolha **Adicionar Marcação** para adicionar marcações ao recurso.
1. Escolha **Criar Perfil**.
**nota**
No passado, havia duas políticas gerenciadas para o perfil de frota spot Amazon EC2.
**Amazon EC2 SpotFleetRole**: essa é a política gerenciada original para a função Spot Fleet. No entanto, não recomendamos mais que você o use com AWS Batch. Essa política não oferece suporte à marcação de Instância Spot em ambientes de computação, necessário para utilização do perfil vinculado ao serviço `AWSServiceRoleForBatch`. Caso já tenha criado um perfil de frota spot com essa política, aplique a nova política recomendada ao perfil. Para obter mais informações, consulte [Instâncias spot sem tags na criação](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: essa função fornece todas as permissões necessárias para marcar instâncias spot do Amazon EC2. Use essa função para permitir a marcação de Instâncias Spot em seus ambientes AWS Batch computacionais.
# Crie funções de frota spot do Amazon EC2 com o AWS CLI
**Para criar a função do **Amazon EC2 SpotFleetTaggingRole** IAM para seus ambientes computacionais Spot Fleet**
1. Execute o seguinte comando com o AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Para anexar a política de IAM EC2 SpotFleetTaggingRole gerenciada pela **Amazon** **à sua EC2 SpotFleetTaggingRole função na Amazon**, execute o seguinte comando com AWS CLI o.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Para criar um perfil do IAM `AWSServiceRoleForEC2Spot` vinculado ao serviço Amazon EC2 Spot**
**nota**
Caso o perfil do IAM `AWSServiceRoleForEC2Spot` vinculado ao serviço já exista, você verá uma mensagem de erro semelhante à seguinte.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Execute o seguinte comando com o AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Para criar o perfil do IAM `AWSServiceRoleForEC2SpotFleet` vinculado ao serviço para frota spot Amazon EC2**
**nota**
Caso o perfil do IAM `AWSServiceRoleForEC2SpotFleet` vinculado ao serviço já exista, você verá uma mensagem de erro semelhante à seguinte.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Execute o seguinte comando com o AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge IAM role (Função do IAM)
A Amazon EventBridge fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos. AWS Batch os empregos estão disponíveis como EventBridge alvos. Por meio de regras simples e rapidamente configuráveis, você pode equivaler eventos e submeter trabalhos AWS Batch em resposta. Antes de enviar AWS Batch trabalhos com EventBridge regras e metas, você EventBridge deve ter permissões para executar AWS Batch trabalhos em seu nome.
**nota**
Ao criar uma regra no EventBridge console que especifica uma AWS Batch fila como destino, você pode criar essa função. Para ver uma demonstração de exemplo, consulte [Trabalhos AWS Batch como destinos do EventBridge](batch-cwe-target.md). Você pode criar a EventBridge função manualmente usando o console do IAM. Para instruções, consulte [Criando um Perfil Usando Políticas de Confiança Customizadas (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no Guia de Usuário do IAM.
A relação de confiança da sua função EventBridge do IAM deve fornecer ao diretor do `events.amazonaws.com` serviço a capacidade de assumir a função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Certifique-se de que a política anexada à sua função EventBridge do IAM permita `batch:SubmitJob` permissões em seus recursos. No exemplo a seguir, o AWS Batch fornece a política gerenciada `AWSBatchServiceEventTargetRole` para essas permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------
# Criar uma nuvem privada virtual
Os recursos de computação dos seus ambientes de computação demandam acesso a rede externa para se comunicarem com o AWS Batch e com endpoints de serviço Amazon ECS. No entanto, você pode ter tarefas que deseje executar em sub redes privadas. A criação de uma VPC com sub redes públicas e privadas concede flexibilidade para executar tarefas em uma sub rede pública ou privada.
Você pode usar a Amazon Virtual Private Cloud (Amazon VPC) para lançar AWS recursos em uma rede virtual que você define. Este tópico fornece um link para o assistente Amazon VPC e uma lista de opções para seleção.
## Crie uma VPC
Para informações sobre como criar uma Amazon VPC, consulte [Criar uma Única VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-vpc-only) no *Guia de Usuário Amazon VPC* e use a tabela a seguir para determinar quais opções selecionar.
| Opção | Valor |
| --- | --- |
| Recursos a criar | Somente VPC |
| Nome | Forneça um nome opcional para a sua VPC. |
| IPv4 Bloco CIDR | IPv4 Entrada manual CIDR O tamanho do bloco CIDR deve ter um tamanho entre /16 e /28. |
| IPv6 Bloco CIDR | Sem IPv6 bloco CIDR |
| Locação | Padrão |
Para saber mais sobre a Amazon VPC, consulte [O Que é Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) no *Guia de usuário Amazon VPC*.
## Próximas etapas
Depois de criar sua VPC, considere os seguintes próximos passos:
+ Crie grupos de segurança para seus recursos públicos e privados, caso precisem de acesso à rede de entrada. Para mais informações, consulte [Trabalhe com Grupos de Segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups) no *Guia de Usuário Amazon VPC*.
+ Crie um ambiente de computação AWS Batch gerenciado que lance recursos computacionais em sua nova VPC. Para obter mais informações, consulte [Crie um ambiente de computação](create-compute-environment.md). Se você usar o assistente de criação de ambiente computacional no AWS Batch console, poderá especificar a VPC que acabou de criar e as sub-redes públicas ou privadas nas quais deseja iniciar suas instâncias.
+ Crie uma fila de AWS Batch trabalhos mapeada para seu novo ambiente computacional. Para obter mais informações, consulte [Crie uma fila de trabalhos](create-job-queue.md).
+ Crie uma definição de tarefa para executar seus trabalhos. Para obter mais informações, consulte [Criar uma definição de tarefa de nó único](create-job-definition.md).
+ Insira uma tarefa com sua definição de tarefa para a nova fila de tarefas. Este trabalho será posicionado no ambiente de computação criado com VPC e sub redes novas. Para obter mais informações, consulte [Tutorial: enviar um trabalho](submit_job.md).
# Use um endpoint de interface para acessar AWS Batch
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. AWS Batch Você pode acessar o AWS Batch como se estivesse em sua VPC, sem o uso de gateway da internet, dispositivo NAT, conexão VPN ou conexão do Direct Connect . As instâncias na sua VPC não precisam de endereços IP públicos para acessar o AWS Batch.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao AWS Batch.
Para obter mais informações, consulte, consulte [VPC Endpoints de Interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia AWS PrivateLink *.
# Considerações para AWS Batch
*Antes de configurar um endpoint de interface para AWS Batch, revise as [propriedades e limitações do endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) no AWS PrivateLink Guia.*
AWS Batch suporta fazer chamadas para todas as suas ações de API por meio do endpoint da interface.
Antes de configurar a interface para VPC endpoints AWS Batch, esteja ciente das seguintes considerações:
+ Trabalhos usando o tipo de lançamento de recursos Fargate não exigem a interface VPC endpoints para Amazon ECS, mas você pode precisar de endpoints VPC de interface para Amazon ECR, Secrets Manager ou AWS Batch Amazon Logs descritos nos pontos a seguir. CloudWatch
+ Para executar trabalhos, você deve criar VPC endpoints de interface para o Amazon ECS. Para obter mais informações, consulte [VPC Endpoints de Interface (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
+ Para permitir que seus trabalhos extraiam imagens privadas do Amazon ECR, você deve criar VPC endpoints de interface para o Amazon ECR. Para obter mais informações, consulte [VPC Endpoints de interface (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) no *Manual do Usuário do Amazon Elastic Container Registry*.
+ Para permitir que seus trabalhos extraiam dados sigilosos do Secrets Manager, é necessário criar VPC endpoints de interface para o Secrets Manager. Para obter mais informações, consulte [Usando o Secrets Manager com Endpoints da VPC](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) no *Manual do Usuário do AWS Secrets Manager *.
+ Se sua VPC não tiver um gateway de internet e seus trabalhos usarem o driver de `awslogs` log para enviar informações de log para CloudWatch Logs, você deverá criar uma interface VPC endpoint para Logs. CloudWatch Para obter mais informações, consulte Como [usar CloudWatch registros com endpoints VPC de interface](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) no Guia do usuário do *Amazon CloudWatch Logs*.
+ Os trabalhos que usam os requisitos dos recursos do EC2 exigem que as instâncias de contêiner nas quais forem iniciadas executem a versão `1.25.1` ou superior do atendente de contêiner do Amazon ECS. Para obter mais informações, consulte [Versões do atendente de Contêiner do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-versions.html) no *Guia do Desenvolvedor do Amazon Elastic Container Service*.
+ Atualmente, os endpoints da VPC não oferecem suporte a solicitações entre Regiões. Garanta a criação do seu endpoint na mesma Região onde planeja emitir as chamadas de API para o AWS Batch.
+ Os endpoints da VPC oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte [Conjuntos de Opções de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) no *Manual do Usuário da Amazon VPC*.
+ O grupo de segurança anexado ao endpoint da VPC deve permitir entrada conectada a porta 443 na sub-rede privada da VPC.
+ AWS Batch não oferece suporte a endpoints de interface VPC no seguinte: Regiões da AWS
+ Asia-Pacífico (Osaka) (`ap-northeast-3`)
+ Ásia-Pacífico (Jacarta) (`ap-southeast-3`)
# Crie um endpoint de interface para AWS Batch
Você pode criar um endpoint de interface para AWS Batch usar o console Amazon VPC ou AWS Command Line Interface o AWS CLI(). Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) no *Guia do usuário do AWS PrivateLink *.
Crie um endpoint de interface para AWS Batch usar os seguintes nomes de serviço:
+ **com.amazonaws.** *region***.lote**
+ **com.amazonaws.** *region***.batch-fips (para endpoints compatíveis com FIPS***, consulte endpoints e cotas*[)AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html)
Por exemplo:
```
com.amazonaws.us-east-2.batch
```
```
com.amazonaws.us-east-2.batch-fips
```
Na partição `aws-cn`, o formato é diferente:
```
cn.com.amazonaws.region.batch
```
Por exemplo:
```
cn.com.amazonaws.cn-northwest-1.batch
```
## Nomes DNS privados para endpoints de AWS Batch interface
Se você habilitar o DNS privado para o endpoint da interface, poderá usar nomes DNS específicos para se conectar. Fornecemos AWS Batch estas opções:
+ **lote.** *region***.amazonaws.com**
+ **lote.** *region***.api.aws**
Para terminais compatíveis com FIPS:
+ **dicas em lote.** *region***.api.aws**
+ **fips.batch.** *region***.amazonaws.com** *não é suportado*
Para obter mais informações, consulte [Acessando um Serviço por meio de um Endpoint de Interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) no *AWS PrivateLink Guia *.
# Criar uma política de endpoint para o endpoint de interface
Uma política de endpoint é um recurso do IAM que pode ser anexado ao endpoint de interface. A política de endpoint padrão permite acesso total AWS Batch por meio do endpoint da interface. Para controlar o acesso permitido ao AWS Batch pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.
Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem executar ações (Contas da AWS, usuários e perfis do IAM).
+ As ações que podem ser realizadas.
+ Os recursos nos quais as ações podem ser executadas.
Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.
**Exemplo: política de VPC endpoint para ações AWS Batch**
Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você anexa essa política ao seu endpoint de interface, ela concede acesso às AWS Batch ações listadas para todos os diretores em todos os recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"batch:SubmitJob",
"batch:ListJobs",
"batch:DescribeJobs"
],
"Resource":"*"
}
]
}
```
# Validação de conformidade para AWS Batch
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentos aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Segurança da infraestrutura em AWS Batch
Como serviço gerenciado, AWS Batch é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS Batch pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Você pode chamar essas operações de API de qualquer local de rede, mas AWS Batch oferece suporte a políticas de acesso baseadas em recursos, que podem incluir restrições com base no endereço IP de origem. Você também pode usar AWS Batch políticas para controlar o acesso de endpoints específicos da Amazon Virtual Private Cloud (Amazon VPC) ou específicos. VPCs Efetivamente, isso isola o acesso à rede a um determinado AWS Batch recurso somente da VPC específica dentro da AWS rede.
# Prevenção do problema "confused deputy" entre serviços
O problema de adjunto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir outra entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global nas políticas de recursos para limitar as permissões que AWS Batch concedem outro serviço ao recurso. Se o valor de `aws:SourceArn` não contém ID da conta, como um ARN do bucket do Amazon S3, você deve usar ambas as chaves de contexto de condição global para limitar as permissões. Se você usa ambas as chaves de contexto de condição global, e o valor `aws:SourceArn` contém o ID da conta, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar a mesma ID de conta quando na mesma declaração de política. Use `aws:SourceArn` se quiser apenas um recurso associado a acessibilidade de serviço. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
O valor de `aws:SourceArn` deve ser o recurso AWS Batch armazenado.
A maneira mais eficaz de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com caracteres curinga (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename:*:123456789012:*`
Os exemplos a seguir mostram como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto AWS Batch para evitar o confuso problema substituto.
## Exemplo: perfil para acessar apenas um ambientes de computação
A função a seguir pode ser usada apenas para acessar um ambiente computacional. O nome do trabalho deve ser especificado como `*`, porque a fila de trabalhos pode ser associada a vários ambientes de computação.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/testCE",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
## Exemplo: perfil para acessar vários ambientes de computação
A função a seguir pode ser usada apenas para acessar vários ambientes de computação. O nome do trabalho deve ser especificado como `*`, porque a fila de trabalhos pode ser associada a vários ambientes de computação.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/*",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
# Registrando chamadas de AWS Batch API com AWS CloudTrail
AWS Batch é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em AWS Batch. CloudTrail captura todas as chamadas de API AWS Batch como eventos. As chamadas capturadas incluem chamadas do AWS Batch console e chamadas de código para as operações AWS Batch da API. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para. AWS Batch Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS Batch, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Batch informações em CloudTrail](service-name-info-in-cloudtrail.md)
+ [Referência: Entendendo as entradas do arquivo de AWS Batch log](understanding-service-name-entries.md)
# AWS Batch informações em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando a atividade ocorre em AWS Batch, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para AWS Batch, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, a trilha se aplica a todas as AWS regiões. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para saber mais, consulte:
+ [Visão Geral para Criar uma Trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas as AWS Batch ações são registradas CloudTrail e documentadas na https://docs.aws.amazon.com/batch/ última APIReference publicação/ /. Por exemplo, as chamadas para as seções `[SubmitJob](https://docs.aws.amazon.com/batch/latest/APIReference/API_SubmitJob.html)`, `[ListJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_ListJobs.html)` e `[DescribeJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_DescribeJobs.html)` geram entradas nos arquivos de log do CloudTrail .
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Referência: Entendendo as entradas do arquivo de AWS Batch log
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e hora da ação, parâmetros de solicitação, e assim por diante. arquivos de log do CloudTrail não são um rastreamento de pilha ordenada das chamadas da API pública. Assim, elas não são exibidas em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `[CreateComputeEnvironment](https://docs.aws.amazon.com/batch/latest/APIReference/API_CreateComputeEnvironment.html)` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-12-20T00:48:46Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
}
}
},
"eventTime": "2017-12-20T00:48:46Z",
"eventSource": "batch.amazonaws.com",
"eventName": "CreateComputeEnvironment",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"computeResources": {
"subnets": [
"subnet-5eda8e04"
],
"tags": {
"testBatchTags": "CLI testing CE"
},
"desiredvCpus": 0,
"minvCpus": 0,
"instanceTypes": [
"optimal"
],
"securityGroupIds": [
"sg-aba9e8db"
],
"instanceRole": "ecsInstanceRole",
"maxvCpus": 128,
"type": "EC2"
},
"state": "ENABLED",
"type": "MANAGED",
"computeEnvironmentName": "Test"
},
"responseElements": {
"computeEnvironmentName": "Test",
"computeEnvironmentArn": "arn:aws:batch:us-east-1:012345678910:compute-environment/Test"
},
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```
# Solucionar problemas do IAM AWS Batch
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Batch um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em AWS Batch](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus AWS Batch recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em AWS Batch
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu o seu nome de usuário e senha.
O erro do exemplo a seguir ocorre quando o usuário `mateojackson` tenta usar o console para visualizar detalhes sobre um recurso do `my-example-widget` fictício, mas não tem as permissões fictícias do `batch:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: batch:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas e permitir o acesso ao recurso `my-example-widget` usando a ação `batch:GetWidget`. Para obter mais informações sobre como conceder permissões para passar uma função, consulte [Conceder permissões a um usuário para passar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS Batch.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no AWS Batch. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meus AWS Batch recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se é AWS Batch compatível com esses recursos, consulte[Como AWS Batch funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.