As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conceder aos usuários e grupos AWS gerenciados do Microsoft AD acesso a AWS recursos com funções do IAM
Concessão de acesso a recursos da AWS

AWS Directory Service fornece a capacidade de dar aos usuários e grupos AWS gerenciados do Microsoft AD acesso a AWS serviços e recursos, como acesso ao console do Amazon EC2. Semelhante à concessão aos usuários do IAM acesso para gerenciar diretórios conforme descrito em[Políticas baseadas em identidade (políticas do IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased), para que os usuários do seu diretório tenham acesso a outros AWS recursos, como o Amazon EC2, você deve atribuir funções e políticas do IAM a esses usuários e grupos. Para obter mais informações, consulte [Funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) no *Guia do usuário do IAM*.

Para obter informações sobre como conceder aos usuários acesso ao Console de gerenciamento da AWS, consulte[Habilitando Console de gerenciamento da AWS o acesso com credenciais AWS gerenciadas do Microsoft AD](ms_ad_management_console_access.md).

**Topics**
+ [

# Criação de um perfil do IAM
](create_role.md)
+ [

# Como editar a relação de confiança para um perfil do IAM existente
](edit_trust.md)
+ [

# Atribuição de usuários ou grupos a um perfil do IAM existente
](assign_role.md)
+ [

# Visualizar usuários e grupos atribuídos a um perfil
](view_role_details.md)
+ [

# Remoção de um usuário ou grupo de um perfil do IAM
](remove_role_users.md)
+ [

# Usando políticas AWS gerenciadas com Directory Service
](ms_ad_managed_policies.md)

# Criação de um perfil do IAM
Criar um perfil

Se precisar criar uma nova função do IAM para uso com Directory Service, você deve criá-la usando o console do IAM. Depois que a função for criada, você deverá configurar uma relação de confiança com essa função antes de poder vê-la no Directory Service console. Para obter mais informações, consulte [Como editar a relação de confiança para um perfil do IAM existente](edit_trust.md).

**nota**  
O usuário que executa essa tarefa deve ter permissão para executar as seguintes ações do IAM Para obter mais informações, consulte [Políticas baseadas em identidade (políticas do IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased).  
objetivo: PassRole
objetivo: GetRole
objetivo: CreateRole
objetivo: PutRolePolicy

**Para criar um novo perfil no console do IAM**

1. No painel de navegação do console do IAM, escolha **Perfis**. Para obter mais informações, consulte [Criar um perfil (Console de gerenciamento da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*. 

1. Selecione **Criar perfil**.

1. Em **Choose the service that will use this role (Selecionar o serviço que usará esta função)**, selecione **Directory Service (Serviço de diretório)** e **Next: Permissions (Próximo: Permissões)**.

1. Marque a caixa de seleção ao lado da política (por exemplo, **Amazon EC2 FullAccess**) que você deseja aplicar aos usuários do seu diretório e escolha **Avançar**.

1. Se necessário, adicione uma tag à função e selecione **Next (Próximo)**.

1. Forneça um **Role name (Nome de função)** e uma **Description (Descrição)** opcional e selecione **Create role (Criar função)**.

**Exemplo: criar uma função para habilitar o acesso ao Console de gerenciamento da AWS **

A lista de verificação a seguir fornece um exemplo das tarefas que você deve concluir para criar uma nova função do IAM que dará aos usuários específicos do AWS Managed Microsoft AD acesso ao console do Amazon EC2.

1. Crie uma função com o console do IAM usando o procedimento anterior. Quando for solicitada uma política, escolha **Amazon EC2 FullAccess**.

1. Use as etapas em [Como editar a relação de confiança para um perfil do IAM existente](edit_trust.md) para editar a função que você acabou de criar e adicione as informações necessárias da relação de confiança ao documento de política. Essa etapa é necessária para que a função fique visível imediatamente após você habilitar o acesso à Console de gerenciamento da AWS na próxima etapa.

1. Siga as etapas em [Habilitando Console de gerenciamento da AWS o acesso com credenciais AWS gerenciadas do Microsoft AD](ms_ad_management_console_access.md) para configurar o acesso geral ao Console de gerenciamento da AWS.

1. Siga as etapas em [Atribuição de usuários ou grupos a um perfil do IAM existente](assign_role.md) para adicionar os usuários que precisam de acesso total aos recursos do EC2 à nova função.

# Como editar a relação de confiança para um perfil do IAM existente
Editar a relação de confiança para um perfil existente

Você pode atribuir suas funções existentes do IAM aos seus Directory Service usuários e grupos. Para fazer isso, no entanto, a função deve ter uma relação de confiança com Directory Service. Quando você usa Directory Service para criar uma função usando o procedimento em[Criação de um perfil do IAM](create_role.md), essa relação de confiança é definida automaticamente.

**nota**  
Basta estabelecer essa relação de confiança para os perfis do IAM que não são criados pelo Directory Service.

**Para estabelecer uma relação de confiança para uma função existente do IAM para Directory Service**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, em **Gerenciamento de acesso**, escolha **Perfis**.

   O console exibe as funções de sua conta.

1. Escolha o nome da função que deseja modificar e, uma vez na página do perfil, selecione a guia **Relações de confiança**.

1. Selecione **Edit trust policy** (Editar política de confiança).

1. Em **Editar política de confiança**, cole o conteúdo a seguir e selecione **Atualizar política**.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ds.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

Também é possível atualizar este documento de política usando a AWS CLI. Para obter mais informações, consulte [update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html) na *Referência de comandos da AWS CLI *.

# Atribuição de usuários ou grupos a um perfil do IAM existente
Atribuir usuários ou grupos a um perfil existente

Você pode atribuir uma função do IAM existente a um usuário ou grupo AWS gerenciado do Microsoft AD. Para fazer isso, certifique-se de ter concluído as etapas a seguir.

**Pré-requisitos**
+ [Crie um Microsoft AD AWS gerenciado](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Crie um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) ou [um grupo do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Crie uma função](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) que tenha uma relação de confiança com Directory Service. Em perfis do IAM existentes, você precisará [editar a relação de confiança de um perfil existente](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).

**Importante**  
O acesso para usuários AWS gerenciados do Microsoft AD em grupos aninhados em seu diretório não é suportado. Os membros de grupo pai têm acesso ao console, mas os membros de grupos filho não têm.

**Para atribuir usuários ou grupos AWS gerenciados do Microsoft AD a uma função existente do IAM**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), em **Active Directory**, escolha **Diretórios**.

1. Na página **Directories (Diretórios)**, escolha o ID do diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:

   1. Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Gerenciamento de aplicações**.

   1. Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja fazer suas atribuições e, em seguida, escolha a guia **Gerenciamento de aplicações**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).

1. Role para baixo até a seção **Console de gerenciamento da AWS**, escolha **Ações** e **Habilitar**.

1. Na seção **Delegar acesso ao console**, escolha o nome do perfil do IAM para o perfil do IAM existente ao qual você deseja atribuir usuários.

1. Na página **Selected role (Função selecionada)**, em **Manage users and groups for this role (Gerenciar usuários e grupos para esta função)**, escolha **Add (Adicionar)**.

1. Na página **Adicionar usuários e grupos à função**, em **Selecionar floresta do Active Directory**, escolha a floresta do AWS Microsoft Managed AD (esta floresta) ou a floresta on-premises (floresta confiável), a que contiver as contas que precisam de acesso ao Console de gerenciamento da AWS. Para obter mais informações sobre como configurar uma floresta confiável, consulte [Tutorial: Crie uma relação de confiança entre seu Microsoft AD AWS gerenciado e seu domínio autogerenciado do Active Directory](ms_ad_tutorial_setup_trust.md).

1. Em **Specify which users or groups to add (Especificar quais usuários ou grupos adicionar)**, selecione **Find by user (Localizar por usuário)** ou **Find by group (Localizar por grupo)** e digite o nome do usuário ou do grupo. Na lista de correspondências possíveis, escolha o usuário ou o grupo que você deseja adicionar.

1. Escolha **Add (Adicionar)** para concluir a atribuição dos usuários e grupos à função.

# Visualizar usuários e grupos atribuídos a um perfil


Para visualizar os usuários e grupos AWS gerenciados do Microsoft AD atribuídos a uma função do IAM, execute as etapas a seguir.

**Pré-requisitos**
+ [Crie um Microsoft AD AWS gerenciado](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Crie um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) ou [um grupo do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Crie uma função](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) que tenha uma relação de confiança com Directory Service. Em perfis do IAM existentes, você precisará [editar a relação de confiança de um perfil existente](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).
+ [Assign your users or groups to an existing IAM role](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html).

**Para visualizar usuários e grupos AWS gerenciados do Microsoft AD atribuídos a uma função do IAM**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), em **Active Directory**, escolha **Diretórios**.

1. Na página **Directories (Diretórios)**, escolha o ID do diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:

   1. Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja visualizar suas atribuições e, em seguida, escolha a guia **Gerenciamento de aplicações**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).

   1. Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Gerenciamento de aplicações**.

1. Role para baixo até a seção **Console de gerenciamento da AWS**. O **Status** deve ser **Habilitado**. Caso contrário, escolha **Ações** e **Habilitar**. Para obter mais informações, consulte [Habilitando Console de gerenciamento da AWS o acesso com credenciais AWS gerenciadas do Microsoft AD](ms_ad_management_console_access.md).
**nota**  
Você não verá nenhum grupo ou usuário se o Console de gerenciamento da AWS estiver desativado.

1. Na seção **Delegar acesso ao console**, selecione o hiperlink do perfil do IAM que deseja exibir. Como alternativa, você pode selecionar **Exibir política no IAM** para exibir a política do IAM no console do IAM. 

1. Na página **Perfil selecionado**, em **Gerenciar usuários e grupos para este perfil**, é possível exibir os usuários e os grupos atribuídos ao perfil do IAM.

# Remoção de um usuário ou grupo de um perfil do IAM
Remover um usuário ou grupo de um perfil

Para remover um usuário ou grupo AWS gerenciado do Microsoft AD de uma função do IAM, execute as etapas a seguir.

**Para remover um usuário ou grupo de um perfil do IAM**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios**.

1. Na página **Directories (Diretórios)**, escolha o ID do diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:

   1. Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja remover suas atribuições e, em seguida, escolha a guia **Gerenciamento de aplicações**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).

   1. Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Gerenciamento de aplicações**.

1. Na seção **Console de gerenciamento da AWS**, escolha o perfil do IAM da qual você deseja remover usuários e grupos. 

1. Na página **Selected role (Função selecionada)**, em **Manage users and groups for this role (Gerenciar usuários e grupos para esta função)**, selecione os usuários ou grupos dos quais remover a função e escolha **Remove (Remover)**. A função é removida dos usuários e grupos especificados, mas a função não é removida de sua conta.
**nota**  
Se você quiser excluir um perfil, consulte [Excluir perfis ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html).

# Usando políticas AWS gerenciadas com Directory Service
Usando políticas AWS gerenciadas

Directory Service fornece as seguintes políticas AWS gerenciadas para dar aos seus usuários e grupos acesso a AWS serviços e recursos, como acesso ao EC2 console da Amazon. Você deve fazer login no Console de gerenciamento da AWS para poder visualizar essas políticas. 
+ [Acesso somente leitura](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [Acesso de usuário avançado](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service acesso total](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service acesso somente para leitura](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS Acesso total aos dados do Directory Service](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS Acesso somente para leitura aos Dados do Directory Service](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Acesso total ao Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Acesso somente leitura ao Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Acesso EC2 total à Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Acesso somente para EC2 leitura da Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Acesso total ao Amazon VPC](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Acesso somente leitura ao Amazon VPC](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Acesso total ao Amazon RDS](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Acesso somente leitura ao Amazon RDS](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Acesso total ao Amazon DynamoDB](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Acesso somente leitura ao Amazon DynamoDB](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Acesso total ao Amazon S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Acesso somente leitura ao Amazon S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail acesso total](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail acesso somente para leitura](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Acesso CloudWatch total à Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Acesso somente para CloudWatch leitura da Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Acesso total ao Amazon CloudWatch Logs](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Acesso somente para leitura do Amazon CloudWatch Logs](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)

Para obter mais informações sobre como criar suas próprias políticas, consulte [Exemplos de políticas para administração de AWS recursos](https://docs.aws.amazon.com/console/iam/example-policies) no *Guia do usuário do IAM*.