As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitoramento da segurança da infraestrutura no AMS
Quando você se integra ao AMS Accelerate, AWS implanta a seguinte infraestrutura AWS Config básica e o conjunto de regras, o AMS Accelerate usa essas regras para monitorar suas contas.
+ **AWS Config função vinculada ao serviço**: o AMS Accelerate implanta a função vinculada ao serviço chamada **AWSServiceRoleForConfig**, que é usada AWS Config para consultar o status de outros serviços. AWS A função **AWSServiceRoleForConfig**vinculada ao serviço confia no AWS Config serviço para assumir a função. A política de permissões para a **AWSServiceRoleForConfig**função contém permissões somente leitura e somente gravação em recursos e permissões somente leitura para AWS Config recursos em outros serviços que oferecem suporte. AWS Config Se você já tem uma função configurada com o AWS Config Recorder, o AMS Accelerate valida se a função existente tem uma política gerenciada do AWS Config anexada. Caso contrário, o AMS Accelerate substitui a função pela função vinculada ao serviço. **AWSServiceRoleForConfig**
+ **AWS Config gravador e canal de entrega**: AWS Config usa o gravador de configuração para detectar alterações em suas configurações de recursos e capturar essas alterações como itens de configuração. O AMS Accelerate implanta o gravador de configuração em todos os serviços Regiões da AWS, com gravação contínua de todos os recursos. O AMS Accelerate também cria o canal de entrega de configuração, um bucket do Amazon S3, que é usado para registrar as alterações que ocorrem em AWS seus recursos. O gravador de configuração atualiza os estados de configuração por meio do canal de entrega. O gravador de configuração e o canal de entrega são necessários AWS Config para funcionar. O AMS Accelerate cria o gravador em tudo Regiões da AWS e um canal de entrega em um único Região da AWS. Se você já tem um gravador e um canal de entrega em um Região da AWS, o AMS Accelerate não exclui os AWS Config recursos existentes. Em vez disso, o AMS Accelerate usa seu gravador e canal de entrega existentes depois de validar se eles estão configurados corretamente. Para obter mais informações sobre como reduzir AWS Config custos, consulte[Reduza AWS Config custos no Accelerate](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend).
+ **AWS Config regras**: O AMS Accelerate mantém uma biblioteca de Regras do AWS Config ações de remediação para ajudá-lo a cumprir os padrões do setor de segurança e integridade operacional. Regras do AWS Config rastreia continuamente as alterações de configuração entre seus recursos registrados. Se uma alteração violar qualquer condição de regra, o AMS relata suas descobertas e permite que você corrija as violações automaticamente ou mediante solicitação, de acordo com a gravidade da violação. Regras do AWS Config facilitar a conformidade com os padrões estabelecidos por: o Center for Internet Security (CIS), o Cloud Security Framework (CSF) do National Institute of Standards and Technology (NIST), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI).
+ **AWS Config autorização de agregador**: um agregador é um tipo de AWS Config recurso que coleta dados de AWS Config configuração e conformidade de várias contas e várias regiões. O AMS Accelerate integra sua conta a um agregador de configuração a partir do qual o AMS Accelerate agrega as informações de configuração de recursos da sua conta e os dados de conformidade de configuração e gera o relatório de conformidade. Se houver agregadores existentes configurados na conta de propriedade da AMS, o AMS Accelerate implanta um agregador adicional e o agregador existente não será modificado.
**nota**
O agregador Config não está configurado em suas contas; em vez disso, ele está configurado em contas de propriedade da AMS e suas contas são integradas a ele.
Para saber mais sobre AWS Config, consulte:
+ AWS Config: [O que é Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)?
+ Regras do AWS Config: [Avaliando recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ Regras do AWS Config: Verificação [dinâmica de conformidade: Regras do AWS Config — Verificação dinâmica de conformidade para recursos de nuvem](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Agregador: agregação de dados [multirregional de várias contas](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
Para obter informações sobre relatórios, consulte[AWS Config Relatório de conformidade de controle](acc-report-config-control-compliance.md).
# Usando funções vinculadas a serviços para o AMS Accelerate
O AMS Accelerate usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço (SLR) é um tipo exclusivo de função do IAM vinculada diretamente ao AMS Accelerate. As funções vinculadas ao serviço são predefinidas pelo AMS Accelerate e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do AMS Accelerate porque você não precisa adicionar manualmente as permissões necessárias. O AMS Accelerate define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o AMS Accelerate pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Função vinculada ao serviço do kit de ferramentas de implantação para o AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada **AWSServiceRoleForAWSManagedServicesDeploymentToolkit**— essa função implanta a infraestrutura do AMS Accelerate nas contas dos clientes.
**nota**
Esta política foi atualizada recentemente; para obter detalhes, consulte[Acelere as atualizações de funções vinculadas a serviços](#slr-updates).
### Kit de ferramentas de implantação do AMS Accelerate SLR
A função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `deploymenttoolkit.managedservices.amazonaws.com`
A política nomeada [AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy)permite que o AMS Accelerate execute ações nos seguintes recursos:
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`
Essa SLR concede ao Amazon S3 permissões para criar e gerenciar o bucket de implantação usado pelo AMS para carregar recursos, CloudFormation como modelos ou pacotes de ativos Lambda, na conta para implantações de componentes. Essa SLR concede CloudFormation permissões para implantar a CloudFormation pilha que define os buckets de implantação. Para obter detalhes ou fazer o download da política, consulte [AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para ter mais informações, consulte [Permissões de função vinculada a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
### Criação de um kit de ferramentas de implantação SLR para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 09 de junho de 2022, quando ele começou a oferecer suporte a funções vinculadas ao serviço. Depois, o AMS Accelerate criou a AWSService RoleFor AWSManaged ServicesDeploymentToolkit função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando um kit de ferramentas de implantação SLR para AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo um kit de ferramentas de implantação SLR para AMS Accelerate
Você não precisa excluir manualmente a AWSService RoleFor AWSManaged ServicesDeploymentToolkit função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSService RoleFor AWSManaged ServicesDeploymentToolkit serviço**
Exclua a `ams-cdk-toolkit` pilha de todas as regiões às quais sua conta foi integrada no AMS (talvez seja necessário esvaziar manualmente os buckets do S3 primeiro).
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no Guia do usuário do *IAM*.
## Detective controla a função vinculada ao serviço do AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**— O AWS Managed Services usa essa função vinculada ao serviço para implantar gravador de configuração, regras de configuração e controles de detetive de bucket do S3.
[A seguinte política gerenciada está **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**anexada à função vinculada ao serviço: AWSManagedServices\$1DetectiveControlsConfig \$1. ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig) Para obter atualizações dessa política, consulte [Acelere as atualizações das políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Permissões para controles de detetive SLR para AMS Accelerate
A função AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `detectivecontrols.managedservices.amazonaws.com`
Anexada a essa função está a política `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS gerenciada (consulte [AWS política gerenciada: AWSManagedServices\$1DetectiveControlsConfig \$1 ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig) O serviço usa a função para criar a configuração do AMS Detective Controls em sua conta), o que requer a implantação de recursos como buckets s3, regras de configuração e um agregador. Você deve configurar permissões para permitir que uma entidade do IAM (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte [Permissões de função vinculadas ao serviço no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) do usuário do *AWS Identity and Access Management*.
### Criando uma SLR de controle de detetive para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 09 de junho de 2022, quando ele começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices\$1DetectiveControlsConfig função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando uma SLR de controles de detetive para AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo uma SLR de controles de detetive para AMS Accelerate
Você não precisa excluir manualmente a AWSServiceRoleForManagedServices\$1DetectiveControlsConfig função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices\$1DetectiveControlsConfig serviço**
`ams-detective-controls-config-recorder`Exclua `ams-detective-controls-config-rules-cdk` e `ams-detective-controls-infrastructure-cdk` acumule pilhas de todas as regiões às quais sua conta foi integrada no AMS (talvez seja necessário esvaziar manualmente os buckets do S3 primeiro).
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculada ao serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Função vinculada ao serviço de EventBridge regras da Amazon para o AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada. **AWSServiceRoleForManagedServices\$1Events** Essa função confia em um dos diretores de serviços do AWS Managed Services (events.managedservices.amazonaws.com) para assumir a função para você. O serviço usa a função para criar a regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária em sua conta da AWS para entregar informações de alteração do estado de alarme da sua conta para o AWS Managed Services.
### Permissões para EventBridge SLR for AMS Accelerate
A função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `events.managedservices.amazonaws.com`
A política `AWSManagedServices_EventsServiceRolePolicy` AWS gerenciada está anexada a essa função (consulte[AWS política gerenciada: AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy)). O serviço usa a função para fornecer informações de alteração do estado do alarme da sua conta para o AMS. Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões da função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do AWS Identity and Access Management *.
Você pode baixar o JSON AWSManagedServices\$1EventsServiceRolePolicy neste ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip).
### Criação de uma EventBridge SLR para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 7 de fevereiro de 2023, quando começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices\$1Events função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando uma EventBridge SLR para o AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo uma EventBridge SLR para o AMS Accelerate
Você não precisa excluir manualmente a AWSServiceRoleForManagedServices\$1Events função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices\$1Events serviço**
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Função vinculada ao serviço de contatos do AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada **AWSServiceRoleForManagedServices\$1Contacts**— Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o serviço leia as tags existentes do recurso afetado e recupere o e-mail configurado do ponto de contato apropriado.
Esse é o único serviço que usa essa função vinculada ao serviço.
Anexada à função **AWSServiceRoleForManagedServices\$1Contacts**vinculada ao serviço está a seguinte política gerenciada:. [AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy) Para obter atualizações dessa política, consulte [Acelere as atualizações das políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Permissões para contatos SLR para AMS Accelerate
A função AWSServiceRoleForManagedServices\$1Contacts vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `contacts-service.managedservices.amazonaws.com`
Anexada a essa função está a política gerenciada da `AWSManagedServices_ContactsServiceRolePolicy` AWS (consulte[AWS política gerenciada: AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy)). O serviço usa a função para ler as tags em qualquer AWS recurso e encontrar o e-mail contido na tag, do ponto de contato apropriado para quando ocorrerem incidentes. Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o AMS leia essa tag em um recurso afetado e recupere o e-mail. Para obter mais informações, consulte [Permissões de função vinculadas ao serviço no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) do usuário do *AWS Identity and Access Management*.
**Importante**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. O AMS usa tags para fornecer serviços administrativos. As tags não devem ser usadas para dados privados ou confidenciais.
A política de permissões de função nomeada AWSManagedServices\$1ContactsServiceRolePolicy permite que o AMS Accelerate conclua as seguintes ações nos recursos especificados:
+ Ação: permite que o Serviço de Contatos leia as tags especificamente configuradas para conter o e-mail para que o AMS envie notificações de incidentes em qualquer recurso da AWS.
Você pode baixar o JSON AWSManagedServices\$1ContactsServiceRolePolicy neste ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip).
### Criando uma SLR de contatos para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 16 de fevereiro de 2023, quando começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices\$1Contacts função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando uma SLR de contatos para o AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices\$1Contacts vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo uma SLR de contatos para o AMS Accelerate
Você não precisa excluir manualmente a AWSServiceRoleForManagedServices\$1Contacts função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices\$1Contacts serviço**
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices\$1Contacts vinculada ao serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas pelas funções vinculadas ao serviço do AMS Accelerate
O AMS Accelerate oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
## Acelere as atualizações de funções vinculadas a serviços
Veja detalhes sobre as atualizações das funções vinculadas ao serviço do Accelerate desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [Histórico de documentos do Guia do usuário do AMS Accelerate](doc-history.md) página Accelerate.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Política atualizada — Kit [de ferramentas de implantação](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 4 de abril de 2024 |
| Política atualizada — Kit [de ferramentas de implantação](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 09 de maio de 2023 |
| Política atualizada — [Detective Controls](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 10 de abril de 2023 |
| Política atualizada — [Detective Controls](#slr-deploy-detect-controls) | Atualizou a política e adicionou a política de limite de permissões. | 21 de março de 2023 |
| [Nova função vinculada ao serviço — Contacts SLR](#slr-contacts-service) | O Accelerate adicionou uma nova função vinculada ao serviço de Contatos. Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o serviço leia as tags existentes do recurso afetado e recupere o e-mail configurado do ponto de contato apropriado. | 16 de fevereiro de 2023 |
| Nova função vinculada ao serviço — [EventBridge](#slr-evb-rule) | O Accelerate adicionou uma nova função vinculada a serviços para uma regra da Amazon EventBridge . Essa função confia em um dos diretores de serviços do AWS Managed Services (events.managedservices.amazonaws.com) para assumir a função para você. O serviço usa a função para criar a regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária em sua conta da AWS para entregar informações de alteração do estado de alarme da sua conta para o AWS Managed Services. | 7 de fevereiro de 2023 |
| [Função vinculada ao serviço atualizada — Kit de ferramentas de implantação](#slr-deploy-acc) | Acelere a atualização AWSService RoleFor AWSManaged ServicesDeploymentToolkit com as novas permissões do S3. Essas novas permissões foram adicionadas: "s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
| 30 de janeiro de 2023 |
| Acelere o início do rastreamento de alterações | A Accelerate começou a monitorar as mudanças em suas funções vinculadas a serviços. | 30 de novembro de 2022 |
| [Nova função vinculada a serviços — Detective Controls](#slr-deploy-detect-controls) | O Accelerate adicionou uma nova função vinculada ao serviço para implantar os controles de detetive do Accelerate. O AWS Managed Services usa essa função vinculada ao serviço para implantar gravador de configuração, regras de configuração e controles de detetive de bucket do S3. | 13 de outubro de 2022 |
| [Nova função vinculada ao serviço — Kit de ferramentas de implantação](#slr-deploy-acc) | O Accelerate adicionou uma nova função vinculada a serviços para implantar a infraestrutura do Accelerate. essa função implanta a infraestrutura do AMS Accelerate nas contas dos clientes. | 9 de junho de 2022 |
# AWS políticas gerenciadas para o AMS Accelerate
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Manual do usuário do IAM*.
Para obter uma tabela de alterações, consulte[Acelere as atualizações das políticas AWS gerenciadas](#security-iam-awsmanpol-updates).
## AWS política gerenciada: AWSManagedServices\$1AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) usa a política `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS gerenciada. Essa política AWS gerenciada é usada no AWSManagedServices\$1AlarmManager \$1 ServiceRolePolicy para restringir as permissões das funções do IAM criadas por AWSServiceRoleForManagedServices\$1AlarmManager.
Essa política concede funções do IAM criadas como parte de[Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work), permissões para realizar operações como avaliação de AWS configuração, leitura de configuração para buscar a AWS configuração do Alarm Manager e criação dos alarmes necessários da Amazon. CloudWatch
A `AWSManagedServices_AlarmManagerPermissionsBoundary` política é anexada à função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço. Para atualizações dessa função, consulte[Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates).
É possível anexar essa política às suas identidades do IAM.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `AWS Config`— Permite permissões para avaliar as regras de configuração e selecionar a configuração do recurso.
+ `AWS AppConfig`— Permite permissões para buscar a AlarmManager configuração.
+ `Amazon S3`— Permite permissões para operar AlarmManager buckets e objetos.
+ `Amazon CloudWatch`— Permite permissões para ler e colocar alarmes e métricas AlarmManager gerenciados.
+ `AWS Resource Groups and Tags`— Permite permissões para ler tags de recursos.
+ `Amazon EC2`— Permite permissões para ler EC2 recursos da Amazon.
+ `Amazon Redshift`— Permite permissões para ler instâncias e clusters do Redshift.
+ `Amazon FSx`— Permite permissões para descrever sistemas de arquivos, volumes e tags de recursos.
+ `Amazon CloudWatch Synthetics`— Permite permissões para ler recursos do Synthetics.
+ `Amazon Elastic Kubernetes Service`— Permite permissões para descrever o cluster Amazon EKS.
+ `Amazon ElastiCache`— Permite permissões para descrever recursos.
Você pode baixar o arquivo de política neste ZIP: [RecommendedPermissionBoundary.zip.](samples/RecommendedPermissionBoundary.zip)
## AWS política gerenciada: AWSManagedServices\$1DetectiveControlsConfig \$1 ServiceRolePolicy
AWS Managed Services (AMS) usa a política `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS gerenciada. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço](using-service-linked-roles.html#slr-deploy-detect-controls) (consulte). [Detective controla a função vinculada ao serviço do AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls) Para atualizações da função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
A política permite que a função vinculada ao serviço realize ações em seu nome.
Você pode anexar a ServiceRolePolicy política AWSManagedServices\$1DetectiveControlsConfig \$1 às suas entidades do IAM.
Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.
+ `CloudFormation`— Permite que o AMS Detective Controls implante CloudFormation pilhas com recursos como buckets s3, regras de configuração e gravador de configuração.
+ `AWS Config`— Permite que o AMS Detective Controls crie regras de configuração do AMS, configure um agregador e marque recursos.
+ `Amazon S3`— permite que o AMS Detective Controls gerencie seus buckets s3.
Você pode baixar o arquivo de política JSON neste ZIP: [DetectiveControlsConfig\$1 ServiceRolePolicy .zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip).
## AWS política gerenciada: AWSManaged ServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) usa a política `AWSManagedServicesDeploymentToolkitPolicy` AWS gerenciada. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForAWSManagedServicesDeploymentToolkit` vinculada ao serviço](using-service-linked-roles.html#slr-deploy-acc) (consulte). [Função vinculada ao serviço do kit de ferramentas de implantação para o AMS Accelerate](using-service-linked-roles.md#slr-deploy-acc) A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
Para atualizações da função `AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.
+ `CloudFormation`— Permite que o AMS Deployment Toolkit implante pilhas CFN com os recursos do S3 exigidos pelo CDK.
+ `Amazon S3`— permite que o AMS Deployment Toolkit gerencie seus buckets S3.
+ `Elastic Container Registry`— permite que o AMS Deployment Toolkit gerencie seu repositório ECR, usado para implantar os ativos necessários aos aplicativos AMS CDK.
Você pode baixar o arquivo de política JSON neste ZIP: [AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip).
## AWS política gerenciada: AWSManagedServices\$1EventsServiceRolePolicy
AWS Managed Services (AMS) usa a política gerenciada `AWSManagedServices_EventsServiceRolePolicy` da AWS. Essa política AWS gerenciada é anexada à função vinculada ao [`AWSServiceRoleForManagedServices_Events`serviço](using-service-linked-roles.html#slr-evb-rule). A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
Para atualizações da função `AWSServiceRoleForManagedServices_Events` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que EventBridge a Amazon entregue informações de alteração do estado de alarme da sua conta para o AWS Managed Services.
+ `events`— Permite que o Accelerate crie uma regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária Conta da AWS para fornecer informações de alteração do estado de alarme de sua conta para AWS Managed Services.
Você pode baixar o arquivo de política JSON neste ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip).
## AWS política gerenciada: AWSManagedServices\$1ContactsServiceRolePolicy
AWS Managed Services (AMS) usa a política gerenciada `AWSManagedServices_ContactsServiceRolePolicy` da AWS. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForManagedServices_Contacts` vinculada ao serviço](using-service-linked-roles.html#slr-contacts-service) (consulte). [Criando uma SLR de contatos para o AMS Accelerate](using-service-linked-roles.md#slr-contacts-service-create) A política permite que a SLR de contatos do AMS veja suas tags de recursos e seus valores nos recursos da AWS. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
**Importante**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. O AMS usa tags para fornecer serviços administrativos. As tags não devem ser usadas para dados privados ou confidenciais.
Para atualizações da função `AWSServiceRoleForManagedServices_Contacts` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que a SLR de contatos leia suas tags de recursos para recuperar as informações de contato do recurso que você configurou com antecedência.
+ `IAM`— Permite que o serviço de contatos veja as tags nas funções do IAM e nos usuários do IAM.
+ `Amazon EC2`— Permite que o serviço de contatos veja as tags nos EC2 recursos da Amazon.
+ `Amazon S3`— Permite que o Contacts Service veja as tags nos buckets do Amazon S3. Essa ação usa uma condição para garantir que o AMS acesse suas tags de bucket usando o cabeçalho de autorização HTTP, usando o protocolo de assinatura SigV4 e usando HTTPS com TLS 1.2 ou superior. Para obter mais informações, consulte [Métodos de autenticação](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro) e chaves de [política específicas de autenticação do Amazon S3 Signature versão 4](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html).
+ `Tag`— Permite que o serviço de contatos veja as tags em outros AWS recursos.
+ “iam: ListRoleTags “, “iam: ListUserTags “, “tag: GetResources “, “tag: GetTagKeys “, “tag: GetTagValues “, “ec2: DescribeTags “, “s3:” GetBucketTagging
Você pode baixar o arquivo de política JSON neste ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip).
## Acelere as atualizações das políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Accelerate desde que esse serviço começou a monitorar essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 4 de abril de 2024 |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 9 de maio de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 10 de abril de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | A `ListAttachedRolePolicies` ação é removida da política. A ação tinha Recurso como curinga (\$1). Como a “lista” é uma ação não mutativa, ela tem acesso a todos os recursos e o curinga não é permitido. | 28 de março de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Atualizou a política e adicionou a política de limite de permissões. | 21 de março de 2023 |
| Nova política — [Serviço de contatos](#ContactsServiceManagedPolicy) | O Accelerate adicionou uma nova política para analisar as informações de contato da sua conta a partir das tags de recursos. O Accelerate adicionou uma nova política para ler suas tags de recursos para que possa recuperar as informações de contato do recurso que você configurou com antecedência. | 16 de fevereiro de 2023 |
| Nova política — [Serviço de Eventos](#EventsServiceRolePolicy) | A Accelerate adicionou uma nova política para fornecer informações de alteração do estado de alarme da sua conta para o AWS Managed Services. Concede funções do IAM criadas como parte das [Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) permissões para criar uma regra EventBridge gerenciada necessária pela Amazon. | 07 de fevereiro de 2023 |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Foram adicionadas permissões do S3 para apoiar a saída de clientes do Accelerate. | 30 de janeiro de 2023 |
| Nova política — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Permite que a função vinculada ao serviço,[Detective controla a função vinculada ao serviço do AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls), conclua ações para que você implante os controles de detetive do Accelerate. | 19 de dezembro de 2022 |
| Nova política — [Gerenciador de alarmes](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | O Accelerate adicionou uma nova política para permitir permissões para realizar tarefas do gerenciador de alarmes. Concede funções do IAM criadas como parte das [Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) permissões para realizar operações como avaliação do AWS Config, leitura do AWS Config para obter a configuração do gerenciador de alarmes e criação dos alarmes necessários da Amazon. CloudWatch | 30 de novembro de 2022 |
| Acelere o início do rastreamento de alterações | A Accelerate começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 30 de novembro de 2022 |
| Nova política — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | O Accelerate adicionou essa política para tarefas de implantação. Concede à função vinculada ao serviço [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)permissões para acessar e atualizar buckets e pilhas do Amazon S3 relacionados à implantação. CloudFormation | 9 de junho de 2022 |