As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Permissões do IAM necessárias para o Elastic Beanstalk acessar segredos e parâmetros
Você deve conceder as permissões necessárias às instâncias do EC2 do seu ambiente para buscar os segredos e os parâmetros do AWS Systems Manager Parameter AWS Secrets Manager Store. Permissões são fornecidas às instâncias do EC2 por meio de um [perfil de instância do EC2](iam-instanceprofile.md).
As seções a seguir listam as permissões específicas que você precisa adicionar a um perfil de instância do EC2, dependendo do serviço usado. Siga as etapas fornecidas em [Atualizar a política de permissões para um perfil](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-permissions.html) no *Guia do usuário do IAM* para adicionar essas permissões.
**Permissões do IAM para a plataforma Docker gerenciada pelo ECS**
A plataforma Docker gerenciada pelo ECS exige permissões adicionais do IAM além das fornecidas neste tópico. Para obter mais informações sobre todas as permissões necessárias para que seu ambiente de plataforma Docker gerenciado pelo ECS ofereça suporte à integração das variáveis de ambiente do Elastic Beanstalk com segredos, consulte [Formato do ARN do perfil de execução](create_deploy_docker_v2config.md#create_deploy_docker_v2config_executionRoleArn_format).
**Topics**
+ [Permissões IAM necessárias para o Secrets Manager](#AWSHowTo.secrets.IAM-permissions.secrets-manager)
+ [Permissões do IAM necessárias Systems Manager Parameter Store](#AWSHowTo.secrets.IAM-permissions.ssm-paramter-store)
## Permissões IAM necessárias para o Secrets Manager
As permissões a seguir concedem acesso para buscar segredos criptografados na AWS Secrets Manager loja:
+ gerente de segredos: GetSecretValue
+ kms:Decrypt
A permissão para descriptografar um só AWS KMS key é necessária se seu segredo usar uma chave gerenciada pelo cliente em vez da chave padrão. A adição do ARN da chave personalizada adiciona a permissão para descriptografar a chave gerenciada pelo cliente.
**Example política com permissões de chaves do Secrets Manager e do KMS**
****
```
{
"Version": "{{2012-10-17}}",
"Statement": [
{
"Effect": "{{Allow}}",
"Action": [
"{{secretsmanager:GetSecretValue}}",
"{{kms:Decrypt}}"
],
"Resource": [
"{{arn:aws:secretsmanager:us-east-1:{{111122223333}}:secret:my-secret}}",
"{{arn:aws:kms:us-east-1:{{111122223333}}:key/my-key}}"
]
}
]
}
```
## Permissões do IAM necessárias Systems Manager Parameter Store
As permissões a seguir concedem acesso para buscar parâmetros criptografados do AWS Systems Manager Parameter Store:
+ sms: GetParameter
+ kms:Decrypt
A permissão para descriptografar um AWS KMS key é necessária somente para tipos de `SecureString` parâmetros que usam uma chave gerenciada pelo cliente em vez de uma chave padrão. A adição do ARN da chave personalizada adiciona a permissão para descriptografar a chave gerenciada pelo cliente. Os tipos de parâmetros regulares que não são criptografados `String` e `StringList` não precisam de um AWS KMS key.
**Example política com Systems Manager e AWS KMS principais permissões**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "{{Allow}}",
"Action": [
"{{ssm:GetParameter}}",
"{{kms:Decrypt}}"
],
"Resource": [
"{{arn:aws:ssm:us-east-1:{{111122223333}}:parameter/my-parameter}}",
"{{arn:aws:kms:us-east-1:{{111122223333}}:key/my-key}}"
]
}
]
}
```