As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciar acesso a recursos
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção aborda o uso do IAM no contexto do AWS Control Tower. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de *políticas baseadas em recursos*.
**nota**
O AWS Control Tower é compatível apenas com as políticas baseadas em identidade (políticas do IAM).
**Topics**
+ [Sobre políticas baseadas em identidade (políticas do IAM)](#access-control-manage-access-intro-iam-policies)
+ [Criar perfil e atribuir permissões](assign-permissions.md)
+ [Políticas baseadas em recursos](#access-control-manage-access-intro-resource-policies)
## Sobre políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões um usuário ou grupo em sua conta**: para conceder a um usuário permissões para criar um recurso do AWS Control Tower, como configurar uma zona de pouso, você pode anexar uma política de permissões a um usuário ou grupo a qual o usuário pertence.
+ **Anexar uma política de permissões a uma função**: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, um administrador de uma AWS conta (*Conta* A) pode criar uma função que concede permissões entre contas a outra AWS conta (*Conta B*), ou o administrador pode criar uma função que conceda permissões a outro AWS serviço.
1. O administrador da Conta A cria um perfil do IAM e anexa uma política de permissões ao perfil que concede permissões para gerenciar recursos na Conta A.
1. O administrador da Conta A associa uma política de confiança ao perfil. A política identifica a conta B como a entidade principal que pode assumir a função.
1. Como entidade principal, o administrador da Conta B pode dar permissão a qualquer usuário da Conta B para assumir o perfil. Ao assumir o perfil, os usuários na Conta B podem criar ou obter acesso aos recursos na Conta A.
1. Para conceder a um AWS serviço a capacidade (permissões) de assumir a função, o principal que você especifica na política de confiança pode ser um AWS serviço.
## Políticas baseadas em recursos
Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O AWS Control Tower não é compatível com políticas baseadas em recurso.