As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon FSx para Lustre
A segurança na nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de data centers e arquiteturas de rede criados para atender aos requisitos das empresas com as maiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem**: a AWS é responsável pela proteção da infraestrutura que executa serviços da AWS na nuvem da Amazon Web Services. A AWS também fornece serviços que podem ser usados com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao Amazon FSx for Lustre, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem**: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon FSx for Lustre. Os tópicos a seguir mostram como configurar o Amazon FSx para atender aos seus objetivos de segurança e compatibilidade. Saiba também como usar outros serviços da Amazon que ajudam você a monitorar e proteger os recursos do Amazon FSx for Lustre.
A seguir, você poderá encontrar uma descrição das considerações de segurança para trabalhar com o Amazon FSx.
**Topics**
+ [Proteção de dados no Amazon FSx for Lustre](data-protection.md)
+ [Gerenciamento de identidade e acesso para Amazon FSx for Lustre](security-iam.md)
+ [Controle de acesso ao sistema de arquivos com a Amazon VPC](limit-access-security-groups.md)
+ [ACLs de rede da Amazon VPC](limit-access-acl.md)
+ [Validação de conformidade para o Amazon FSx para Lustre](fsx-lustre-compliance.md)
+ [Amazon FSx para Lustre e endpoints da VPC de interface (AWS PrivateLink)](fsx-vpc-endpoints.md)
# Proteção de dados no Amazon FSx for Lustre
O AWS [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon FSx for Lustre. Conforme descrito nesse modelo, AWS é responsável por proteger a infraestrutura global que executa todas as Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui trabalhar com a Amazon FSx ou outros Serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
**Topics**
+ [Criptografia de dados no Amazon FSx for Lustre](encryption-fsxl.md)
+ [Privacidade do tráfego entre redes](internetwork-privacy.md)
# Criptografia de dados no Amazon FSx for Lustre
O Amazon FSx for Lustre oferece suporte a duas formas de criptografia para sistemas de arquivos: a criptografia de dados em repouso e a criptografia em trânsito. A criptografia de dados em repouso é habilitada automaticamente ao criar um sistema de arquivos do Amazon FSx. A criptografia de dados em trânsito é automaticamente habilitada quando você acessa um sistema de arquivos do Amazon FSx usando [instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) que oferecem suporte a esse recurso.
## Quando usar a criptografia
Se a sua organização estiver sujeita a políticas corporativas ou regulatórias que requerem criptografia de dados e de metadados em repouso, recomendamos criar um sistema de arquivos criptografado e montar o sistema de arquivos usando a criptografia de dados em trânsito.
Para obter mais informações sobre como criar um sistema de arquivos criptografado em repouso usando o console, consulte [Criar seu sistema de arquivos do Amazon FSx for Lustre](getting-started.md#getting-started-step1).
**Topics**
+ [Quando usar a criptografia](#whenencrypt)
+ [Criptografar dados em repouso](encryption-at-rest.md)
+ [Criptografia de dados em trânsito](encryption-in-transit-fsxl.md)
# Criptografar dados em repouso
A criptografia de dados em repouso é habilitada automaticamente quando você cria um sistema de arquivos do Amazon FSx for Lustre por meio do Console de gerenciamento da AWS, da AWS CLI ou programaticamente usando a API do Amazon FSx ou um dos AWS SDKs. Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a uma determinada aplicação, workload ou ambiente. Se você criar um sistema de arquivos Persistent, poderá especificar a chave do AWS KMS para criptografar os dados. Se você criar um sistema de arquivos transitório, os dados serão criptografados usando chaves gerenciadas pelo Amazon FSx. Para obter mais informações sobre como criar um sistema de arquivos criptografado em repouso usando o console, consulte [Criar seu sistema de arquivos do Amazon FSx for Lustre](getting-started.md#getting-started-step1).
**nota**
A infraestrutura de gerenciamento de chaves da AWS usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).
Para obter mais informações sobre como o FSx para Lustre usa o AWS KMS, consulte [Como o Amazon FSx for Lustre usa o AWS KMS](#FSXKMS).
## Como funciona a criptografia em repouso
Em um sistema de arquivos criptografado, os dados e metadados são criptografados automaticamente antes de serem gravados no sistema de arquivos. De maneira semelhante, à medida que os dados e metadados são lidos, eles são automaticamente descriptografados antes de serem apresentados à aplicação. Esses processos são tratados de maneira transparente pelo Amazon FSx for Lustre. Portanto, não é necessário modificar suas aplicações.
O Amazon FSx for Lustre usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados em repouso do sistema de arquivos. Para obter mais informações, consulte [Conceitos básicos de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) no *Guia do desenvolvedor do AWS Key Management Service*.
## Como o Amazon FSx for Lustre usa o AWS KMS
O Amazon FSx for Lustre criptografa os dados automaticamente antes que eles sejam gravados no sistema de arquivos e os decriptografa automaticamente conforme eles são lidos. Os dados são criptografados usando uma cifra de bloco XTS-AES-256. Todos os sistemas de arquivos transitórios do FSx para Lustre são criptografados em repouso com chaves gerenciadas pela AWS KMS. O Amazon FSx for Lustre tem integração com o AWS KMS para gerenciamento de chaves. As chaves usadas para criptografar sistemas de arquivos transitórios em repouso são exclusivas por sistema de arquivos e são destruídas após a exclusão do sistema de arquivos. Para sistemas de arquivos persistentes, você escolhe a chave do KMS usada para criptografar e descriptografar dados. Você especifica qual chave será usada ao criar um sistema de arquivos Persistent. É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:
+ **Chave gerenciada pela AWS para o Amazon FSx**: essa é a chave do KMS padrão. Você não recebe cobranças pela criação e pelo armazenamento de uma chave do KMS, mas existem cobranças de uso. Para obter mais informações, consulte [Preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Chave gerenciada pelo cliente**: essa é a chave do KMS mais flexível para usar, pois é possível configurar suas políticas de chaves e concessões para diversos usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte [Criar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service*.
Se você usar uma chave gerenciada pelo cliente como a chave do KMS para descriptografia e criptografia de dados de arquivos, poderá habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, é possível escolher quando desabilitar, habilitar novamente, excluir ou revogar o acesso à chave gerenciada pelo cliente a qualquer momento.
**Importante**
O Amazon FSx aceita somente chaves do KMS com criptografia simétrica. Não é possível usar chaves do KMS assimétricas com o Amazon FSx.
### Políticas de chave do Amazon FSx para o AWS KMS
Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte [Using key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service*.A lista a seguir descreve todas as permissões relacionadas ao AWS KMS com suporte no Amazon FSx para sistemas de arquivos criptografados em repouso:
+ **kms:Encrypt**: (opcional) criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt** - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto não criptografado que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms:ReEncrypt**: (Opcional) criptografa dados no lado do servidor com uma nova chave do KMS, sem a necessidade de expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms:GenerateDataKeyWithoutPlaintext**: (obrigatório) retorna uma chave de criptografia de dados criptografada em uma chave do KMS. Essa permissão está incluída na política de chave padrão, em **kms:GenerateDataKey\$1**.
+ **kms:CreateGrant** - (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e em que condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte [Using grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service.*. Essa permissão está incluída na política de chaves padrão.
+ **kms:DescribeKey**: (obrigatório) fornece informações detalhadas sobre a chave do KMS especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms:ListAliases**: (opcional) lista todos os aliases de chaves na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista para selecionar a chave do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.
# Criptografia de dados em trânsito
Os sistemas de arquivos Scratch 2 e persistent podem criptografar automaticamente os dados em trânsito quando o sistema de arquivos for acessado de instâncias do Amazon EC2 compatíveis com criptografia em trânsito e também para todas as comunicações entre hosts no sistema de arquivos. Para saber quais instâncias do EC2 oferecem suporte à criptografia em trânsito, consulte [Criptografia em trânsito](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) no *Guia do usuário do Amazon EC2*.
Para obter uma lista das Regiões da AWS nas quais o Amazon FSx para Lustre está disponível, consulte [Disponibilidade do tipo de implantação](using-fsx-lustre.md#persistent-deployment-regions).
# Privacidade do tráfego entre redes
Este tópico descreve como o Amazon FSx protege conexões do serviço para outros locais.
## Tráfego entre o Amazon FSx e os clientes on-premises
Você tem duas opções de conectividade entre sua rede privada e a AWS:
+ Uma conexão do AWS Site-to-Site VPN. Para obter mais informações, consulte [O que é o AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Uma conexão AWS Direct Connect. Para ter mais informações, consulte [O que é o AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
É possível acessar o FSx para Lustre pela rede com a finalidade de acessar operações de API publicadas pela AWS para executar tarefas administrativas e portas do Lustre para interagir com o sistema de arquivos.
### Criptografia do tráfego da API
Para acessar as operações de API publicadas pela AWS, os clientes devem oferecer suporte para a versão 1.2 ou para versões posteriores da Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos. Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Como alternativa, é possível usar o [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) para gerar credenciais de segurança temporárias para assinar solicitações.
### Criptografia do tráfego de dados
A criptografia de dados em trânsito é habilitada usando instâncias do EC2 com suporte que acessam os sistemas de arquivos na Nuvem AWS. Para obter mais informações, consulte [Criptografia de dados em trânsito](encryption-in-transit-fsxl.md). O FSx para Lustre não oferece criptografia nativa em trânsito entre clientes on-premises e sistemas de arquivos.
# Gerenciamento de identidade e acesso para Amazon FSx for Lustre
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos da Amazon FSx . O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon FSx for Lustre funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para o Amazon FSx for Lustre](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para o Amazon FSx for Lustre](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso ao Amazon FSx for Lustre](security_iam_troubleshoot.md)
+ [Usando tags com a Amazon FSx](using-tags-fsx.md)
+ [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso ao Amazon FSx for Lustre](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon FSx for Lustre funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para o Amazon FSx for Lustre](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon FSx for Lustre funciona com o IAM
Antes de usar o IAM para gerenciar o acesso à Amazon FSx, saiba quais recursos do IAM estão disponíveis para uso com a Amazon FSx.
**Recursos do IAM que você pode usar com o Amazon FSx for Lustre**
| Recurso do IAM | FSx Suporte da Amazon |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como a Amazon FSx e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para a Amazon FSx
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para a Amazon FSx
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para o Amazon FSx for Lustre](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos na Amazon FSx
**Compatibilidade com políticas baseadas em recursos:** não
## Ações políticas para a Amazon FSx
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de FSx ações da Amazon, consulte [Ações definidas pela Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) na *Referência de autorização de serviço*.
As ações políticas na Amazon FSx usam o seguinte prefixo antes da ação:
```
fsx
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para o Amazon FSx for Lustre](security_iam_id-based-policy-examples.md)
## Recursos de políticas para a Amazon FSx
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de FSx recursos da Amazon e seus ARNs, consulte [Recursos definidos pelo Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) na *Referência de autorização de serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas FSx pela Amazon for](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) Lustre.
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para o Amazon FSx for Lustre](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para a Amazon FSx
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista das chaves de FSx condição da Amazon, consulte [Chaves de condição do Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pela Amazon FSx for Lustre.](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions)
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para o Amazon FSx for Lustre](security_iam_id-based-policy-examples.md)
## Listas de controle de acesso (ACLs) na Amazon FSx
**Suportes ACLs:** Não
## Controle de acesso baseado em atributos (ABAC) com a Amazon FSx
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre a marcação de FSx recursos da Amazon, consulte[Marcar seus recursos do Amazon FSx para Lustre](tag-resources.md).
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Usando tags para controlar o acesso aos seus FSx recursos da Amazon](using-tags-fsx.md#restrict-fsx-access-tags).
## Usando credenciais temporárias com a Amazon FSx
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para a Amazon FSx
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para a Amazon FSx
**Compatível com perfis de serviço:** não
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper a FSx funcionalidade da Amazon. Edite as funções de serviço somente quando a Amazon FSx fornecer orientação para fazer isso.
## Funções vinculadas a serviços para a Amazon FSx
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter mais informações sobre como criar e gerenciar funções FSx vinculadas a serviços da Amazon, consulte. [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md)
# Exemplos de políticas baseadas em identidade para o Amazon FSx for Lustre
Por padrão, usuários e funções não têm permissão para criar ou modificar FSx recursos da Amazon. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pela Amazon FSx, incluindo o formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição do Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) na *Referência de Autorização de Serviço*. ARNs
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o FSx console da Amazon](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir FSx recursos da Amazon em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o FSx console da Amazon
Para acessar o console do Amazon FSx for Lustre, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os FSx recursos da Amazon em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o FSx console da Amazon, anexe também a política `AmazonFSxConsoleReadOnlyAccess` AWS gerenciada às entidades. Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Você pode ver as `AmazonFSxConsoleReadOnlyAccess` e outras políticas de serviços FSx gerenciados da Amazon em[AWS políticas gerenciadas para o Amazon FSx for Lustre](security-iam-awsmanpol.md).
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gerenciadas para o Amazon FSx for Lustre
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## Amazon FSx ServiceRolePolicy
Permite que FSx a Amazon gerencie AWS recursos em seu nome. Para saber mais, consulte [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md).
## AWS política gerenciada: Amazon FSx DeleteServiceLinkedRoleAccess
Não é possível anexar a `AmazonFSxDeleteServiceLinkedRoleAccess` às entidades do IAM. Essa política está vinculada a um serviço e só é usada com o perfil vinculado a esse serviço. Você não pode anexar, desanexar, modificar ou excluir essa política. Para obter mais informações, consulte [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md).
Essa política concede permissões administrativas que permitem FSx à Amazon excluir sua função vinculada ao serviço para acesso ao Amazon S3, usada somente FSx pelo Amazon for Lustre.
**Detalhes das permissões**
Essa política inclui permissões `iam` para permitir que FSx a Amazon visualize, exclua e visualize o status de exclusão das funções vinculadas ao FSx serviço para acesso ao Amazon S3.
Para ver as permissões dessa política, consulte a [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx FullAccess
Você pode anexar FSx FullAccess a Amazon às suas entidades do IAM. A Amazon FSx também atribui essa política a uma função de serviço que permite FSx à Amazon realizar ações em seu nome.
Fornece acesso total à Amazon FSx e acesso aos AWS serviços relacionados.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores tenham acesso total para realizar todas as FSx ações da Amazon, exceto a. `BypassSnaplockEnterpriseRetention`
+ `ds`— Permite que os diretores visualizem informações sobre os Directory Service diretórios.
+ `ec2`
+ Permite que as entidades principais criem tags sob as condições especificadas.
+ Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ `iam`— Permite que os princípios criem uma função vinculada ao FSx serviço da Amazon em nome do usuário. Isso é necessário para que a Amazon FSx possa gerenciar AWS recursos em nome do usuário.
+ `firehose`: permite que as entidades principais gravem registros em um Amazon Data Firehose. Isso é necessário FSx para que os usuários possam monitorar o acesso ao sistema de arquivos do Windows File Server enviando registros de acesso de auditoria para o Firehose.
+ `logs`: permite que as entidades principais criem grupos de logs, fluxos de logs e gravem eventos nos fluxos de logs. Isso é necessário FSx para que os usuários possam monitorar o acesso ao sistema de arquivos do Windows File Server enviando registros de acesso de auditoria para o CloudWatch Logs.
Para ver as permissões dessa política, consulte a [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ConsoleFullAccess
É possível anexar a política `AmazonFSxConsoleFullAccess` às suas identidades do IAM.
Esta política concede permissões administrativas que permitem acesso total à Amazon FSx e acesso a AWS serviços relacionados por meio do Console de gerenciamento da AWS.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores realizem todas as ações no console FSx de gerenciamento da Amazon, exceto`BypassSnaplockEnterpriseRetention`.
+ `cloudwatch`— Permite que os diretores visualizem CloudWatch alarmes e métricas no console de FSx gerenciamento da Amazon.
+ `ds`— Permite que os diretores listem informações sobre um Directory Service diretório.
+ `ec2`
+ Permite que os diretores criem tags em tabelas de rotas, listem interfaces de rede, tabelas de rotas, grupos de segurança, sub-redes e a VPC associada a um sistema de arquivos da Amazon. FSx
+ Permite que entidades principais forneçam validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Permite que os diretores visualizem as interfaces de rede elásticas associadas a um sistema de FSx arquivos da Amazon.
+ `kms`— Permite que os diretores listem aliases para AWS Key Management Service chaves.
+ `s3`: permite que as entidades principais listem alguns ou todos os objetos em um bucket do Amazon S3 (até mil).
+ `iam`— Concede permissão para criar uma função vinculada ao serviço que permite FSx à Amazon realizar ações em nome do usuário.
Para ver as permissões dessa política, consulte a [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ConsoleReadOnlyAccess
É possível anexar a política `AmazonFSxConsoleReadOnlyAccess` às suas identidades do IAM.
Esta política concede permissões somente de leitura à Amazon FSx e aos AWS serviços relacionados para que os usuários possam visualizar informações sobre esses serviços no. Console de gerenciamento da AWS
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores visualizem informações sobre os sistemas de FSx arquivos da Amazon, incluindo todas as tags, no Amazon FSx Management Console.
+ `cloudwatch`— Permite que os diretores visualizem CloudWatch alarmes e métricas no Amazon FSx Management Console.
+ `ds`— Permite que os diretores visualizem informações sobre um Directory Service diretório no Amazon FSx Management Console.
+ `ec2`
+ Permite que os diretores visualizem interfaces de rede, grupos de segurança, sub-redes e a VPC associada a um FSx sistema de arquivos da Amazon no Amazon Management Console. FSx
+ Permite que entidades principais forneçam validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Permite que os diretores visualizem as interfaces de rede elásticas associadas a um sistema de FSx arquivos da Amazon.
+ `kms`— Permite que os diretores visualizem aliases para AWS Key Management Service chaves no Amazon FSx Management Console.
+ `log`— Permite que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server.
+ `firehose`: permite que as entidades principais descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que está fazendo a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server.
Para ver as permissões dessa política, consulte a [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ReadOnlyAccess
É possível anexar a política `AmazonFSxReadOnlyAccess` às suas identidades do IAM.
+ `fsx`— Permite que os diretores visualizem informações sobre os sistemas de FSx arquivos da Amazon, incluindo todas as tags, no Amazon FSx Management Console.
+ `ec2`: fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
Para ver as permissões dessa política, consulte a [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) no Guia de referência de políticas AWS gerenciadas.
## FSx Atualizações da Amazon para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon FSx desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS na FSx [Histórico do documento](doc-history.md) página da Amazon.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:AssignIpv6Addresses` que permite que os diretores atribuam IPv6 endereços às interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag. | 22 de julho de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:UnassignIpv6Addresses` que permite que os diretores cancelem a atribuição de IPv6 endereços das interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag. | 22 de julho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:CreateAndAttachS3AccessPoint` que permite que os diretores criem um ponto de acesso S3 e o conectem a um FSx volume. | 25 de junho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DescribeS3AccessPointAttachments` que permite aos diretores listar todos os pontos de acesso do S3 Conta da AWS em um. Região da AWS | 25 de junho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DetachAndDeleteS3AccessPoint` que permite que os diretores excluam um ponto de acesso S3. | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:CreateAndAttachS3AccessPoint` que permite que os diretores criem um ponto de acesso S3 e o conectem a um FSx volume. | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DescribeS3AccessPointAttachments` que permite aos diretores listar todos os pontos de acesso do S3 Conta da AWS em um. Região da AWS | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DetachAndDeleteS3AccessPoint` que permite que os diretores excluam um ponto de acesso S3. | 25 de junho de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:DescribeNetworkInterfaces` que permite que os diretores visualizem as interfaces de rede elásticas associadas ao sistema de arquivos. | 25 de fevereiro de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:DescribeNetworkInterfaces` que permite que os diretores visualizem as interfaces de rede elásticas associadas ao sistema de arquivos. | 07 de fevereiro de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação de dados entre regiões e entre contas FSx para sistemas de arquivos OpenZFS. | 20 de dezembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação de dados entre regiões e entre contas FSx para sistemas de arquivos OpenZFS. | 20 de dezembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação sob demanda de volumes FSx para sistemas de arquivos OpenZFS. | 26 de novembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação sob demanda de volumes FSx para sistemas de arquivos OpenZFS. | 26 de novembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem, habilitem e desabilitem o suporte compartilhado de VPC FSx para sistemas de arquivos ONTAP Multi-AZ. | 14 de novembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem, habilitem e desabilitem o suporte compartilhado de VPC FSx para sistemas de arquivos ONTAP Multi-AZ. | 14 de novembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon gerencie configurações de rede FSx para sistemas de arquivos OpenZFS Multi-AZ. | 9 de agosto de 2023 |
| [AWS política gerenciada: Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx modificou a `cloudwatch:PutMetricData` permissão existente para que a Amazon FSx publique CloudWatch métricas no `AWS/FSx` namespace. | 24 de julho de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx atualizou a política para remover a `fsx:*` permissão e adicionar `fsx` ações específicas. | 13 de julho de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx atualizou a política para remover a `fsx:*` permissão e adicionar `fsx` ações específicas. | 13 de julho de 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem métricas de desempenho aprimoradas e ações recomendadas FSx para sistemas de arquivos do Windows File Server no FSx console da Amazon. | 21 de setembro de 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem métricas de desempenho aprimoradas e ações recomendadas FSx para sistemas de arquivos do Windows File Server no FSx console da Amazon. | 21 de setembro de 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Iniciou a política de rastreamento | Essa política concede acesso somente para leitura a todos os FSx recursos da Amazon e a quaisquer tags associadas a eles. | 4 de fevereiro de 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Iniciou a política de rastreamento | Essa política concede permissões administrativas que permitem FSx à Amazon excluir sua função vinculada ao serviço para acesso ao Amazon S3. | 7 de janeiro de 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon gerencie as configurações de rede dos sistemas de arquivos Amazon FSx for NetApp ONTAP. | 2 de setembro de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | O Amazon FSx adicionou novas permissões para permitir que o Amazon FSx crie tags nas tabelas de rotas do EC2 para chamadas com escopo reduzido. | 2 de setembro de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon crie sistemas de arquivos Amazon FSx for NetApp ONTAP Multi-AZ. | 2 de setembro de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | O Amazon FSx adicionou novas permissões para permitir que o Amazon FSx crie tags nas tabelas de rotas do EC2 para chamadas com escopo reduzido. | 2 de setembro de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon descreva e grave nos fluxos de log do CloudWatch Logs. Isso é necessário para que os usuários possam visualizar registros de auditoria de acesso a arquivos FSx para sistemas de arquivos do Windows File Server usando CloudWatch Logs. | 8 de junho de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon descreva e grave nos fluxos de entrega do Amazon Data Firehose. Isso é necessário para que os usuários possam visualizar os registros de auditoria de acesso aos arquivos de um sistema FSx de arquivos do Windows File Server usando o Amazon Data Firehose. | 8 de junho de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam e criem grupos de CloudWatch registros de registros, fluxos de registros e gravem eventos em fluxos de registros. Isso é necessário para que os diretores possam visualizar os registros de auditoria de acesso a arquivos FSx para sistemas de arquivos do Windows File Server usando CloudWatch Logs. | 8 de junho de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam e gravem registros em um Amazon Data Firehose. Isso é necessário para que os usuários possam visualizar os registros de auditoria de acesso aos arquivos de um sistema FSx de arquivos do Windows File Server usando o Amazon Data Firehose. | 8 de junho de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam escolher um grupo de registros de CloudWatch registros existente ao configurar a auditoria de acesso a arquivos FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que fez a solicitação. Isso é necessário para que os diretores possam escolher um stream de entrega existente do Firehose ao configurar a auditoria de acesso a arquivos para FSx um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| A Amazon FSx começou a monitorar as mudanças | A Amazon FSx começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 8 de junho de 2021 |
# Solução de problemas de identidade e acesso ao Amazon FSx for Lustre
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com a Amazon FSx e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação na Amazon FSx](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas de fora da minha Conta da AWS acessem meus FSx recursos da Amazon](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação na Amazon FSx
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `fsx:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `fsx:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para a Amazon FSx.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação na Amazon FSx. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas de fora da minha Conta da AWS acessem meus FSx recursos da Amazon
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se a Amazon FSx oferece suporte a esses recursos, consulte[Como o Amazon FSx for Lustre funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Usando tags com a Amazon FSx
Você pode usar tags para controlar o acesso aos FSx recursos da Amazon e implementar o controle de acesso baseado em atributos (ABAC). Para aplicar tags aos FSx recursos da Amazon durante a criação, os usuários devem ter determinadas permissões AWS Identity and Access Management (IAM).
## Conceder permissão para marcar recursos durante a criação
Com algumas ações da API FSx Amazon for Lustre que criam recursos, você pode especificar tags ao criar o recurso. É possível usar essas tags de recurso para implementar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
Para que os usuários marquem recursos na criação, eles devem ter permissão para usar a ação que cria o recurso, como `fsx:CreateFileSystem`. Se tags forem especificadas na ação de criação do recurso, o IAM executará autorização adicional na ação `fsx:TagResource` para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação `fsx:TagResource`.
O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e apliquem tags a eles durante a criação em um sistema específico Conta da AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*"
]
}
]
}
```
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
A ação `fsx:TagResource` só será avaliada se as tags forem aplicadas durante a ação de criação do recurso. Portanto, um usuário que tiver permissões para criar um recurso (supondo que não existam condições de tag) não precisará de permissão para usar a ação `fsx:TagResource` se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação `fsx:TagResource`.
Para obter mais informações sobre a marcação de FSx recursos da Amazon, consulte[Marcar seus recursos do Amazon FSx para Lustre](tag-resources.md). Para obter mais informações sobre o uso de tags para controlar o acesso aos recursos do Amazon FSx for Lustre, consulte[Usando tags para controlar o acesso aos seus FSx recursos da Amazon](#restrict-fsx-access-tags).
## Usando tags para controlar o acesso aos seus FSx recursos da Amazon
Para controlar o acesso aos FSx recursos e ações da Amazon, você pode usar políticas do IAM com base em tags. É possível conceder o controle de duas formas:
+ Você pode controlar o acesso aos FSx recursos da Amazon com base nas tags desses recursos.
+ Controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como [controlar o acesso usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a marcação de FSx recursos da Amazon no momento da criação, consulte[Conceder permissão para marcar recursos durante a criação](#supported-iam-actions-tagging). Para obter mais informações sobre como marcar recursos, consulte [Marcar seus recursos do Amazon FSx para Lustre](tag-resources.md).
### Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou função pode realizar em um FSx recurso da Amazon, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par chave-valor da tag no recurso.
**Example Exemplo de política: crie um sistema de arquivos fornecendo uma tag específica**
Essa política permite que o usuário só crie um sistema de arquivos quando marcá-lo com um par de chave/valor de tag específico; neste exemplo, `key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Exemplo de política: só crie backups nos sistemas de arquivos com uma tag específica**
Essa política permite que os usuários só criem backups em sistemas de arquivos marcados com o par de chave/valor `key=Department, value=Finance`, e o backup será criado com a tag `Deparment=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: crie um sistema de arquivos com uma tag específica usando backups com uma tag específica**
Essa política permite que os usuários só criem sistemas de arquivos marcados com `Department=Finance` por meio de backups marcados com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: excluir sistemas de arquivos com tags específicas**
Essa política só permite que o usuário exclua sistemas de arquivos marcados com `Department=Finance`. Se um backup final for criado, ele deverá ser marcado com `Department=Finance`. FSx Para sistemas de arquivos Lustre, os usuários precisam do `fsx:CreateBackup` privilégio de criar o backup final.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: crie tarefas de repositório de dados em sistemas de arquivos com tag específica**
Essa política permite que os usuários criem tarefas de repositório de dados marcadas com `Department=Finance` e somente em sistemas de arquivos marcados com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:task/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Usando funções vinculadas a serviços para a Amazon FSx
A Amazon FSx usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada a serviços é um tipo exclusivo de função do IAM vinculada diretamente à Amazon. FSx As funções vinculadas ao serviço são predefinidas pela Amazon FSx e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração da Amazon FSx porque você não precisa adicionar manualmente as permissões necessárias. A Amazon FSx define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente a Amazon FSx pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus FSx recursos da Amazon porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para a Amazon FSx
A Amazon FSx usa duas funções vinculadas a serviços nomeadas `AWSServiceRoleForAmazonFSx` e `AWSServiceRoleForFSxS3Access_fs-01234567890` que realizam determinadas ações em sua conta. Exemplos dessas ações são criar interfaces de rede elástica para seus sistemas de arquivos em sua VPC e acessar seu repositório de dados em um bucket do Amazon S3. Pois`AWSServiceRoleForFSxS3Access_fs-01234567890`, essa função vinculada ao serviço é criada para cada sistema de arquivos Amazon FSx for Lustre que você criar e vinculado a um bucket do S3.
### AWSServiceRoleForAmazonFSx detalhes de permissões
Pois`AWSServiceRoleForAmazonFSx`, a política de permissões de função permite que FSx a Amazon conclua as seguintes ações administrativas em nome do usuário em todos os AWS recursos aplicáveis:
Para obter atualizações dessa política, consulte [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**nota**
O AWSService RoleForAmazon FSx é usado por todos os tipos de sistema de FSx arquivos da Amazon; algumas das permissões listadas não se aplicam ao FSx Lustre.
+ `ds`— Permite que FSx a Amazon visualize, autorize e não autorize aplicativos em seu diretório. Directory Service
+ `ec2`— Permite que FSx a Amazon faça o seguinte:
+ Visualize, crie e desassocie interfaces de rede associadas a um sistema de FSx arquivos da Amazon.
+ Visualize um ou mais endereços IP elásticos associados a um sistema de FSx arquivos da Amazon.
+ Veja a Amazon VPCs, os grupos de segurança e as sub-redes associadas a um sistema de FSx arquivos da Amazon.
+ Atribua IPv6 endereços às interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag.
+ Cancele a atribuição de IPv6 endereços das interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag.
+ Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Crie uma permissão para que um usuário AWS autorizado realize determinadas operações em uma interface de rede.
+ `cloudwatch`— Permite que FSx a Amazon publique pontos de dados métricos CloudWatch sob o FSx namespace AWS//.
+ `route53`— Permite que FSx a Amazon associe uma Amazon VPC a uma zona hospedada privada.
+ `logs`— Permite que FSx a Amazon descreva e grave em fluxos de log do CloudWatch Logs. Isso é para que os usuários possam enviar registros de auditoria de acesso a arquivos de um FSx sistema de arquivos do Windows File Server para um stream de CloudWatch registros.
+ `firehose`— Permite que FSx a Amazon descreva e grave nos fluxos de entrega do Amazon Data Firehose. Isso é para que os usuários possam publicar os registros de auditoria de acesso a arquivos de um sistema FSx de arquivos do Windows File Server em um stream de distribuição do Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Todas as atualizações dessa política estão descritas em [FSx Atualizações da Amazon para políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no Guia do usuário do IAM.
### AWSServiceRoleForFSxDetalhes das permissões do S3Access
Pois`AWSServiceRoleForFSxS3Access_file-system-id`, a política de permissões de função permite que FSx a Amazon conclua as seguintes ações em um bucket do Amazon S3 que hospeda o repositório de dados de um sistema de arquivos Amazon FSx for Lustre.
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutObject`
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada a serviços para a Amazon FSx
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um sistema de arquivos na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, a Amazon FSx cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria um sistema de arquivos, a Amazon FSx cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para a Amazon FSx
FSx A Amazon não permite que você edite essas funções vinculadas ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para a Amazon FSx
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve excluir todos os seus sistemas de arquivos e backups para poder excluir manualmente o perfil vinculado ao serviço.
**nota**
Se o FSx serviço da Amazon estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonFSx. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a FSx serviços da Amazon
A Amazon FSx oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Controle de acesso ao sistema de arquivos com a Amazon VPC
Um sistema de arquivos do Amazon FSx é acessado por meio de uma interface de rede elástica que reside na nuvem privada virtual (VPC) com base no serviço Amazon VPC que você associa ao seu sistema de arquivos. Você acessa seu sistema de arquivos do Amazon FSx por meio do nome DNS, que é mapeado para a interface de rede do sistema de arquivos. Somente recursos dentro da VPC associada, ou de uma VPC emparelhada, podem acessar a interface de rede do seu sistema de arquivos. Para obter mais informações, consulte [O que é a Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) no *Guia do usuário da Amazon VPC*.
**Atenção**
Não é permitido modificar nem excluir a interface de rede elástica do Amazon FSx. A modificação ou a exclusão da interface de rede pode causar uma perda permanente de conexão entre a VPC e o sistema de arquivos.
## Grupos de segurança da Amazon VPC
Para controlar ainda mais o tráfego de rede que passa pela interface de rede do sistema de arquivos na VPC, use grupos de segurança para limitar o acesso aos sistemas de arquivos. Um *grupo de segurança* age como um firewall virtual que controla o tráfego de recursos associados. Nesse caso, o recurso associado é a interface de rede do sistema de arquivos. Você também usa grupos de segurança da VPC para controlar o tráfego de rede para os clientes do Lustre.
### Vagas de segurança habilitadas para EFA
Se você for criar um FSx para Lustre habilitado para o EFA, faça isso primeiro habilitando-o para um grupo de segurança, e especifice-o como o grupo de segurança do sistema de arquivos. Um EFA requer um grupo de segurança que permita todo o tráfego de entrada e saída do grupo de segurança e para ele próprio e o grupo de segurança dos clientes, caso estes residam em um grupo de segurança diferente. Para saber mais, consulte [Etapa 1: preparar um grupo de segurança habilitado para EFA](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security) no *Guia do usuário do Amazon EC2*.
### Controle de acesso usando regras de entrada e saída
Para usar um grupo de segurança para controlar o acesso ao sistema de arquivos do Amazon FSx e aos clientes do Lustre, você adiciona regras de entrada para controlar o tráfego de entrada e regras de saída para controlar o tráfego de saída no sistema de arquivos e nos clientes do Lustre. Verifique se você tem as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de arquivos do sistema de arquivos do Amazon FSx para uma pasta na sua instância de computação com suporte.
Para obter mais informações sobre regras de grupo de segurança, consulte [Regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules) no *Guia do usuário do Amazon EC2*.
**Criar um grupo de segurança para o sistema de arquivos do Amazon FSx**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2).
1. No painel de navegação, escolha **Grupos de segurança**.
1. Escolha **Create Security Group**.
1. Especifique um nome e uma descrição para o grupo de segurança.
1. Para **VPC**, escolha a VPC associada ao sistema de arquivos do Amazon FSx para criar o grupo de segurança dentro dessa VPC.
1. Escolha **Create (Criar)** para criar o grupo de segurança.
Em seguida, adicione regras de entrada ao grupo de segurança que você acabou de criar para habilitar o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre.
**Adicionar regras de entrada ao grupo de segurança**
1. Selecione o grupo de segurança que você acabou de criar, se ele ainda não estiver selecionado. Em **Actions (Ações)**, escolha **Edit inbound rules (Editar regras de entrada)**.
1. Adicione as regras de entrada a seguir.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Escolha **Salvar** para salvar e aplicar as novas regras de entrada.
Por padrão, as regras de grupo de segurança permitem todo tráfego de saída (Todos, 0.0.0.0/0). Se o seu grupo de segurança não permitir todo tráfego de saída, adicione as seguintes regras de saída ao seu grupo de segurança. Essas regras permitem o tráfego entre os servidores de arquivos e os clientes do Lustre, bem como entre os servidores de arquivos do Lustre.
**Adicionar regras de saída ao grupo de segurança**
1. Escolha o mesmo grupo de segurança ao qual você acabou de adicionar as regras de entrada. Em **Ações**, escolha **Editar regras de saída**.
1. Adicione as regras de saída a seguir.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Escolha **Salvar** para salvar e aplicar as novas regras de saída.
**Associar um grupo de segurança ao seu sistema de arquivos do Amazon FSx**
1. Abra o console do Amazon FSx em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. No painel do console, escolha o sistema de arquivos para ver seus detalhes.
1. Na guia **Rede e segurança**, clique no link do **Console do Amazon EC2** em **Interface(s) de rede** para visualizar todas as interfaces de rede do seu sistema de arquivos.
1. Para cada interface de rede, escolha **Ações** e então **Alterar grupos de segurança**.
1. Na caixa de diálogo **Alterar grupos de segurança**, escolha os grupos de segurança que deseja associar à interface de rede.
1. Escolha **Salvar**.
## Regras do grupo de segurança da VPC do cliente do Lustre
Use seus grupos de segurança da VPC para controlar o acesso aos clientes do Lustre adicionando regras de entrada para controlar o tráfego de entrada e regras de saída para controlar o tráfego de saída nos clientes do Lustre. Certifique-se de ter as regras de tráfego de rede corretas em seu grupo de segurança para garantir que o tráfego do Lustre possa fluir entre seus clientes do Lustre e seus sistemas de arquivos do Amazon FSx.
Adicione as regras de entrada a seguir aos grupos de segurança aplicados aos clientes do Lustre.
| Tipo | Protocolo | Intervalo de portas | Origem | Descrição |
| --- | --- | --- | --- | --- |
| Regra personalizada de TCP | TCP | 988 | Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre | Permite tráfego do Lustre entre clientes do Lustre |
| Regra personalizada de TCP | TCP | 988 | Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre | Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre |
| Regra personalizada de TCP | TCP | 1018 a 1023 | Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre | Permite tráfego do Lustre entre clientes do Lustre |
| Regra personalizada de TCP | TCP | 1018 a 1023 | Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre | Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre |
Adicione as seguintes regras de saída aos grupos de segurança aplicados aos seus clientes do Lustre.
| Tipo | Protocolo | Intervalo de portas | Origem | Descrição |
| --- | --- | --- | --- | --- |
| Regra personalizada de TCP | TCP | 988 | Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre | Permite tráfego do Lustre entre clientes do Lustre |
| Regra personalizada de TCP | TCP | 988 | Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre | Permitir o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre |
| Regra personalizada de TCP | TCP | 1018 a 1023 | Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre | Permite tráfego do Lustre entre clientes do Lustre |
| Regra personalizada de TCP | TCP | 1018 a 1023 | Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre | Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre |
# ACLs de rede da Amazon VPC
Outra opção para proteger o acesso ao sistema de arquivos em sua VPC é estabelecer listas de controle de acesso à rede (ACLs da rede). As ACLs da rede são diferentes dos grupos de segurança, mas têm funcionalidade semelhante para adicionar outra camada de segurança aos recursos em sua VPC. Para obter mais informações sobre como implementar o controle de acesso usando ACLs de rede, consulte [Controlar o tráfego para sub-redes usando ACLs de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon VPC*.
# Validação de conformidade para o Amazon FSx para Lustre
Para saber se um AWS service (Serviço da AWS) está no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/) e selecione o programa de conformidade em que você está interessado. Para obter informações gerais, consulte [Programas de Conformidade da AWS](https://aws.amazon.com/compliance/programs/).
É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Sua responsabilidade de conformidade ao usar o Serviços da AWS é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. Para ter mais informações sobre sua responsabilidade pela conformidade ao usar Serviços da AWS, consulte a [documentação da AWS sobre segurança](https://docs.aws.amazon.com/security/).
# Amazon FSx para Lustre e endpoints da VPC de interface (AWS PrivateLink)
Você pode aprimorar a postura de segurança da VPC ao configurar o Amazon FSx para usar um endpoint da VPC de interface. Os endpoints da VPC de interface são desenvolvidos pelo [AWS PrivateLink](https://aws.amazon.com/privatelink), uma tecnologia que possibilita acessar APIs do Amazon FSx de forma privada sem um gateway da Internet, dispositivo NAT, conexão VPN ou conexão do Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para se comunicar com as APIs do Amazon FSx. O tráfego entre a VPC e o Amazon FSx não é realizado de forma externa à rede da AWS.
Cada endpoint da VPC de interface é representado por uma ou mais interfaces de rede elástica em suas sub-redes. Uma interface de rede fornece um endereço IP privado que serve como um ponto de entrada para o tráfego para a API do Amazon FSx.
## Considerações sobre endpoints da VPC de interface do Amazon FSx
Antes de configurar um endpoint da VPC de interface para o Amazon FSx, certifique-se de consultar [Interface VPC endpoint properties and limitations](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) no *Guia do usuário da Amazon VPC*.
É possível chamar qualquer uma das operações de API do Amazon FSx usando sua VPC. Por exemplo, você pode criar um sistema de arquivos do FSx para Lustre ao chamar a API CreateFileSystem usando sua VPC. Para obter a lista completa de APIs do Amazon FSx, consulte [Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) na referência de APIs do Amazon FSx.
### Considerações sobre emparelhamento de VPC
Você pode conectar outras VPCs à VPC com endpoints da VPC de interface usando o emparelhamento de VPC. O emparelhamento de VPC é uma conexão de rede entre duas VPCs. É possível estabelecer uma conexão de emparelhamento da VPC entre suas duas VPCs ou com uma VPC em outra Conta da AWS. As VPCs também podem estar em duas Regiões da AWS diferentes.
O tráfego entre VPCs emparelhadas permanece na rede da AWS e não passa pela Internet pública. Depois que as VPCs são emparelhadas, os recursos, como as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em ambas as VPCs, podem acessar a API do Amazon FSx por meio de endpoints da VPC de interface criados em uma das VPCs.
## Como criar um endpoint da VPC de interface para a API do Amazon FSx
Você pode criar um endpoint da VPC para a API do Amazon FSx usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte [Creating an interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
Para obter uma lista completa de endpoints do Amazon FSx, consulte [Amazon FSx endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/fsxn.html) na *Referência geral da Amazon Web Services*.
Para criar um endpoint da VPC de interface para o Amazon FSx, use um dos seguintes:
+ `com.amazonaws.region.fsx`: cria um endpoint para as operações de API do Amazon FSx.
+ **`com.amazonaws.region.fsx-fips`**: cria um endpoint para a API do Amazon FSx que está em conformidade com o padrão [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Para usar a opção de DNS privado, é necessário definir os recursos `enableDnsHostnames` e `enableDnsSupport` da sua VPC. Para obter mais informações, consulte [Viewing and updating DNS support for your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) no *Guia do usuário da Amazon VPC*.
Ao excluir as Regiões da AWS na China, se você habilitar o DNS privado para o endpoint, poderá realizar solicitações de API ao Amazon FSx com o endpoint da VPC usando o nome DNS padrão para a Região da AWS, por exemplo, `fsx.us-east-1.amazonaws.com`. Para as Regiões da AWS China (Pequim) e China (Ningxia), você pode realizar solicitações de API com o endpoint da VPC usando `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` e `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn`, respectivamente.
Para obter mais informações, consulte [Accessing a service through an interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) no *Guia do usuário da Amazon VPC*.
## Como criar uma política de endpoint da VPC para o Amazon FSx
Para controlar ainda mais o acesso à API do Amazon FSx, como opção, é possível anexar uma política do AWS Identity and Access Management (IAM) ao endpoint da VPC. A política especifica o seguinte:
+ A entidade principal que pode executar ações.
+ As ações que podem ser executadas.
+ Os recursos sobre os quais as ações podem ser realizadas.
Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.