As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Função de usuário do IAM no AMS
Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissão que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele.
Atualmente, há uma função de usuário padrão do AMS`Customer_ReadOnly_Role`, para contas padrão do AMS e uma função adicional, `customer_managed_ad_user_role` para contas do AMS com o Active Directory gerenciado.
As políticas de função definem permissões CloudWatch e ações de log do Amazon S3, acesso ao console AMS, restrições de somente leitura para a maioria Serviços da AWS, acesso restrito ao console S3 da conta e acesso por tipo de alteração do AMS.
Além disso, `Customer_ReadOnly_Role` tem permissões mutativas de instâncias reservadas que permitem reservar instâncias. Ele tem alguns valores de economia de custos, então, se você sabe que precisará de um certo número de EC2 instâncias da Amazon por um longo período de tempo, pode ligar para elas APIs. Para saber mais, consulte [Instâncias EC2 reservadas da Amazon](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**nota**
O objetivo de nível de serviço (SLO) do AMS para criar políticas personalizadas do IAM para usuários do IAM é de quatro dias úteis, a menos que uma política existente seja reutilizada. Se você quiser modificar a função de usuário do IAM existente ou adicionar uma nova, envie uma RFC [IAM: Update Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) ou [IAM: Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html), respectivamente.
Se você não estiver familiarizado com as funções do Amazon IAM, consulte [Funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) para obter informações importantes.
**Zona de aterrissagem com várias contas (MALZ)**: Para ver as políticas de função de usuário padrão e não personalizadas da zona de pouso multiconta do AMS, consulte a seguir. [MALZ: funções de usuário padrão do IAM](#json-default-role-malz)
## MALZ: funções de usuário padrão do IAM
Declarações de política JSON para as funções padrão de usuário multicontas do AMS na landing zone.
**nota**
As funções do usuário são personalizáveis e podem diferir de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.
Esses são exemplos das funções de usuário padrão do MALZ. Para garantir que você tenha as políticas definidas de que precisa, execute o comando da AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)ou faça login no [console AWS Management -> IAM](https://console.aws.amazon.com/iam/) e escolha **Roles** no painel de navegação.
### Funções principais da conta OU
Uma conta principal é uma conta de infraestrutura gerenciada pela MALZ. As contas principais da landing zone com várias contas do AMS incluem uma conta de gerenciamento e uma conta de rede.
**Conta principal da OU: funções e políticas comuns**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
**Conta principal da OU: funções e políticas da conta de gerenciamento**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
**Conta principal da OU: funções e políticas da conta de rede**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
### Funções da conta do aplicativo
As funções da conta do aplicativo são aplicadas às contas específicas do seu aplicativo.
**Conta de aplicativo: funções e políticas**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
### Exemplos de políticas
Exemplos são fornecidos para a maioria das políticas usadas. Para ver a ReadOnlyAccess política (que tem páginas longas, pois fornece acesso somente para leitura a todos os AWS serviços), você pode usar este link, se você tiver uma conta ativa da AWS:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Além disso, uma versão condensada está incluída aqui.
#### AMSBillingPolítica
`AMSBillingPolicy`
A nova função de cobrança pode ser usada pelo departamento de contabilidade para visualizar e alterar as informações de cobrança ou as configurações da conta na conta de gerenciamento. Para acessar informações como contatos alternativos, visualizar o uso dos recursos da conta, acompanhar seu faturamento ou até mesmo modificar suas formas de pagamento, você usa essa função. Essa nova função inclui todas as permissões listadas na [página de ações do AWS Billing IAM](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Permissões para ver todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Permissões para solicitar o tipo de alteração Deployment \$1 Managed landing zone \$1 Management account \$1 Create application account (com VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Permissões para solicitar o tipo de alteração de Deployment \$1 Managed landing zone \$1 Networking account \$1 Criar tabela de rotas de aplicativos.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(para Gestão \$1 Outros \$1 Outros CTs)
Permissões para solicitar os tipos de alteração Gerenciamento \$1 Outros \$1 Outros \$1 Criar e Gerenciamento \$1 Outros \$1 Outros \$1 Atualizar.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Permissões para visualizar o segredo passwords/hashes compartilhado pelo AMS por meio de AWS Secrets Manager (por exemplo, senhas de infraestrutura para auditoria).
Permissões para criar um segredo password/hashes para compartilhar com o AMS. (por exemplo, chaves de licença para produtos que precisam ser implantados).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Permissões para solicitar e visualizar todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Permissões para gerenciar instâncias EC2 reservadas da Amazon; para obter informações sobre preços, consulte [Instâncias EC2 reservadas da Amazon](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Política
`AMSS3Policy`
Permissões para criar e excluir arquivos de buckets Amazon S3 existentes.
**nota**
Essas permissões não concedem a capacidade de criar buckets do S3; isso deve ser feito com o tipo Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create change type.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAcesso
`AWSSupportAccess`
Acesso total Suporte a. Para obter informações, consulte [Introdução ao Suporte](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Para obter informações sobre o Premium Support, consulte [Suporte](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Política pública AWS gerenciada)
Permissões para assinar, cancelar e visualizar AWS Marketplace assinaturas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Acesso total AWS Certificate Manager a. Para obter mais informações, consulte [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informações, (Política pública gerenciada pela AWS).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAcesso
`AWSWAFFullAccess`
Acesso total AWS WAF a. Para obter mais informações, consulte [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)informação, (política pública AWS gerenciada). Essa política concede acesso total aos AWS WAF recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Acesso somente de leitura a todos os AWS serviços e recursos no AWS console. Quando AWS inicia um novo serviço, o AMS atualiza a ReadOnlyAccess política para adicionar permissões somente de leitura para o novo serviço. As permissões atualizadas são aplicadas a todas as entidades principais às quais política estiver anexada.
Isso não concede a capacidade de fazer login em EC2 hosts ou hosts de banco de dados.
Se você tiver uma política ativa Conta da AWS, poderá usar esse link [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)para ver toda a ReadOnlyAccess política. Toda a ReadOnlyAccess política é muito longa, pois fornece acesso somente de leitura a todos. Serviços da AWS A seguir está um trecho parcial da ReadOnlyAccess política.
**Zona de aterrissagem de conta única (SALZ)**: para ver as políticas de função de usuário padrão e não personalizadas da zona de destino de conta única do AMS, consulte a seguir. [SALZ: Função de usuário padrão do IAM](#json-default-role)
## SALZ: Função de usuário padrão do IAM
Declarações de política JSON para a função de usuário padrão da landing zone de conta única do AMS.
**nota**
A função de usuário padrão do SALZ é personalizável e pode variar de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.
Veja a seguir um exemplo da função de usuário padrão do SALZ. Para garantir que você tenha as políticas definidas para você, execute o [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)comando. Ou, entre no AWS Identity and Access Management console em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)e escolha **Funções**.
A função de cliente somente para leitura é uma combinação de várias políticas. Segue abaixo um detalhamento da função (JSON).
Política de auditoria do Managed Services:
ReadOnly Política de IAM do Managed Services
Política de usuário do Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Política compartilhada do Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Política de assinatura do Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------