

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Implantação de recursos do IAM no AMS Advanced
<a name="deploy-iam-resources"></a>

O AMS implanta recursos do IAM em seu aplicativo de zona de aterrissagem com várias contas (MALZ) e contas de zona de pouso com uma única conta (SALZ) de duas maneiras:
+ Provisionamento automatizado do IAM: esse recurso no AMS permite que você envie, crie, atualize ou exclua tipos de alteração para o provisionamento de funções ou políticas do IAM, sem a revisão do operador, e com as verificações de validação do IAM e do AMS executadas automaticamente.

  Esse recurso deve ser habilitado explicitamente com o Gerenciamento \$1 Conta gerenciada \$1 Provisionamento automatizado de IAM do AMS com permissões de leitura e gravação \$1 [Ativar tipo de alteração (automação gerenciada) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html). Para saber mais, consulte [Provisionamento automatizado de IAM (AMS)](auto-iam-provisioning.md). Depois que o provisionamento automatizado do IAM do AMS for ativado, você terá acesso aos tipos de alteração Criar, Atualizar e Excluir para gerenciar seus recursos do IAM.
+ Tipo de alteração do IAM de automação gerenciada: esse tipo de alteração, Implantação \$1 Componentes avançados da pilha \$1 Identity and Access Management (IAM) \$1 [Criar entidade ou política (automação gerenciada) (ct-3dpd8mdd9jn1r)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html), exige uma análise do operador do AMS, que às vezes pode levar alguns dias para ser concluída se forem necessários esclarecimentos.

**nota**  
Seja qual for o método usado, uma função do IAM é provisionada para a conta ou contas relevantes e, depois que a função for provisionada, você deverá integrar a função na sua solução de federação.

# Provisionamento automatizado de IAM (AMS)
<a name="auto-iam-provisioning"></a>

AWS Managed Services (AMS) suporta validação e provisionamento automatizados para recursos do IAM, incluindo funções e políticas usando solicitações avançadas de mudança (RFCs) e novos tipos de alteração () do AMS. CTs Anteriormente, essas solicitações passavam por um processo semiautomático que às vezes resultava em longos tempos de espera. Agora, você pode usar o AMS Automated IAM Provisioning para provisionar recursos do IAM e obter os resultados com muito mais rapidez.

# Como funciona o provisionamento automatizado de IAM no AMS
<a name="aip-how-works"></a>

O provisionamento automatizado do IAM depende de verificações automatizadas de tempo de execução do IAM para validar as alterações nos recursos do IAM. Essas verificações automatizadas, realizadas quando os tipos de alteração Create, Update ou Delete são executados, evitam que recursos do IAM que são excessivamente permissivos ou com padrões inseguros sejam implantados em sua conta. Isso permite que você combine o nível de rigor nas avaliações do IAM com a experiência de sua equipe. Recomendamos que as equipes que são iniciantes em serviços em nuvem e precisam de verificações manuais para todas as alterações de recursos do IAM usem o tipo de alteração existente exigido pela revisão: Implantação \$1 Componentes avançados da pilha \$1 Identity and Access Management (IAM) \$1 [Create entity or policy (managed automation), (](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html)ct-3dpd8mdd9jn1r). Equipes com AWS experiência e controle de seus ambientes podem usar o provisionamento automatizado de IAM para acelerar suas implantações. Você pode usar esse recurso para realizar a validação por meio de verificações automatizadas de tempo de execução ou para realizar a validação e o provisionamento de recursos do IAM após a validação bem-sucedida.

**Importante**  
AWS Managed Services implementou proativamente uma lista de [verificações de tempo de execução](aip-runtime-checks.md) de validação que impedem a criação de recursos ou políticas do IAM com determinadas permissões e condições. Para obter uma descrição desses privilégios e condições, consulte [Implantação de recursos do IAM no AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html) Advanced. Os tipos de alteração automatizados [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html), [ct-1e0xmuy1diafq e ct-17cj84y7632o6 permitem que usuários](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) [com proficiência no gerenciamento de recursos do IAM provisionem funções e políticas do IAM que permitem ações além dos privilégios](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) de somente leitura.  
[https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) No entanto, os recursos não podem seguir o padrão de nomenclatura do AMS e não fazem parte da pilha padrão do AMS. O AMS fornece o suporte operacional e de segurança desses recursos específicos com base no melhor esforço.  
Embora os processos manuais e automatizados tenham como objetivo manter nossos padrões de segurança, é importante observar que existem diferenças nas verificações entre os dois. O provisionamento automatizado permite maior flexibilidade na criação e atualização de funções e políticas; portanto, elas não são as mesmas. É recomendável que sua organização analise cuidadosamente as [verificações de tempo de execução de](aip-runtime-checks.md) validação listadas no Guia do Usuário do AMS para garantir que elas estejam alinhadas às expectativas e aos requisitos da sua organização.

**Fluxo de validação**

![\[Fluxo de validação\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/Validation-Flow.png)


**Fluxo de validação e provisionamento**

![\[Fluxo de validação e provisionamento\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)


**nota**  
Esse recurso é adequado para equipes com experiência AWS e recursos do IAM, e não o recomendamos para equipes iniciantes AWS. O processo de validação automatizado foi projetado para detectar a maioria dos erros e é útil para que as equipes obtenham análises rápidas das alterações no IAM, quando entenderem as permissões de que precisam. Para usar os novos tipos de alteração com segurança e eficácia, recomendamos que você tenha um bom entendimento do AWS IAM e das [verificações de tempo de execução](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html) oferecidas pelos tipos de alteração para determinar se eles são adequados para sua equipe. 

# Integração ao aprovisionamento automatizado de IAM do AMS no AMS
<a name="aip-onboarding"></a>

Para usar os novos tipos de alteração, primeiro ative o provisionamento automatizado do IAM pelo AMS enviando uma RFC usando o seguinte tipo de alteração: Gerenciamento \$1 Conta gerenciada \$1 Provisionamento automatizado do IAM com permissões de leitura e gravação \$1 [Ativar](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (automação gerenciada) (ct-1706xvvk6j9hf). AWS exige que sua organização passe por um processo de gerenciamento de riscos de segurança do cliente (CSRM) para garantir que o uso desses tipos de mudança esteja alinhado com suas políticas organizacionais. A equipe de AWS operações trabalha com você para obter aprovação explícita do contato da sua equipe de segurança na forma de aceitação de riscos como parte da revisão necessária. Para saber mais, consulte o processo de [gerenciamento de risco do cliente (CSRM) da RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html).

Depois que a RFC para ativar o recurso de provisionamento automatizado de IAM do AMS com permissões de leitura e gravação for bem-sucedida, o AMS habilita os tipos de alteração do provisionamento automatizado do IAM do AMS na conta usada para enviar a RFC habilitada. Para confirmar se uma conta tem o AMS Automated IAM Provisioning ativado, verifique a função no console do IAM. `AWSManagedServicesIAMProvisionAdminRole`

Como parte da integração, o AMS provisiona o IAM Access Analyzer na mesma região da AWS da conta para aproveitar seu recurso de visualização prévia de acesso. O IAM Access Analyzer ajuda a identificar recursos em sua organização e contas que são compartilhados com uma entidade externa, valida as políticas do IAM em relação à gramática e às melhores práticas e gera políticas do IAM com base na atividade de acesso em seus registros. AWS CloudTrail Para saber mais, consulte [Usando AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

Uma vez integrado, o `AWSManagedServicesIAMProvisionAdminRole` é implantado nas contas habilitadas. Se você optar por usar essa função por meio da federação SAML, deverá integrar a função à sua solução de federação. 

Como parte da integração, você pode solicitar a atualização IAMProvision AdminRole da política de confiança AWSManaged dos Serviços para conceder outro ARN de função do IAM para assumir essa função usando. AWS Security Token Service

# Usando o provisionamento automatizado de IAM do AMS no AMS
<a name="aip-using"></a>

Você pode criar RFCs com os seguintes tipos de alteração do AMS Automated IAM Provisioning.

**nota**  
Somente o provisionamento de funções e políticas é suportado.  
Ao atualizar as funções, o Update CT substitui a lista existente de nomes de recursos da Amazon de políticas gerenciadas e o documento de política “assumir função” pela lista fornecida de política gerenciada ARNs e documento de política de “assumir função”. ARNs Em uma atualização parcial; por exemplo, adicionar ou remover um ARN na lista existente de políticas gerenciadas ARNs, não é permitido adicionar ou remover declarações de política individuais ao documento de política “assumir função”. Da mesma forma, ao atualizar as políticas, o Update CT substitui o documento de política existente e não permite adicionar ou remover declarações de políticas individuais no documento de política existente.
Quando a opção “somente validar” é selecionada, as verificações em tempo de execução são realizadas sem provisionar nenhuma entidade ou política do IAM. Independentemente de qualquer descoberta, o status da RFC é “sucesso”. O status “sucesso” indica uma validação bem-sucedida em relação à entidade ou política do IAM fornecida.
+ Implantação \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Criar entidade ou política (permissões de leitura e gravação) (ct-1n9gfnog5x7fl)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html): uma nova entidade ou política do IAM é validada e provisionada automaticamente.
+ Gerenciamento \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Atualizar entidade ou política (permissões de leitura e gravação) (ct-1e0xmuy1diafq)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html): uma entidade ou política existente do IAM é atualizada e validada automaticamente.
+ Gerenciamento \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Excluir entidade ou política (permissões de leitura e gravação) (ct-17cj84y7632o6)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html): uma entidade ou política do IAM existente que é provisionada usando a entidade de criação automática ou o tipo de alteração de política é excluída.

Você só pode chamar os três anteriores CTs usando uma função IAM dedicada:`AWSManagedServicesIAMProvisionAdminRole`. Essa função está disponível somente nas contas que foram integradas ao recurso usando Gerenciamento \$1 Conta gerenciada \$1 Permissões de leitura e gravação do AMS Automated IAM Provisioning \$1 [Ativar (automação gerenciada) (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf).

**Importante**  
Os tipos de alteração Criar, Atualizar e Excluir estão sempre visíveis em sua conta, mas não estão ativados por padrão. Se você tentar enviar uma RFC usando um desses tipos de alteração sem primeiro ativar o recurso de provisionamento automatizado do IAM do AMS, um erro “não autorizado” será exibido.

**Limitações:**
+ O Create CT pode permitir que você crie uma função ou política do IAM com permissão para criar AWS recursos. No entanto, AWS os recursos criados por essas funções e políticas não são gerenciados pelo AMS. É uma prática recomendada seguir seu controle organizacional para limitar a criação de tais funções ou políticas.
+ O Update CT não pode modificar as funções e políticas do IAM criadas com o CFN Ingest, o Direct Change Mode, o Developer Mode ou, em alguns casos, por meio do manual ou automatizado do AMS Advanced existente. CTs
+ O Delete CT não pode excluir funções ou políticas existentes que não foram criadas com o AMS Automated IAM Provisioning Create CT.
+ O recurso AMS Automated IAM Provisioning com permissões de leitura e gravação não é compatível com as funções do Modo de Alteração Direta. Isso significa que você não pode provisionar ou atualizar funções e políticas do IAM com permissões de leitura e gravação usando essas funções.
+ O provisionamento automatizado de IAM do AMS com permissões de leitura e gravação Os tipos de alteração Criar, atualizar e excluir não são compatíveis com o conector. ServiceNow 

# Verificações de tempo de execução do provisionamento automatizado de IAM do AMS no AMS
<a name="aip-runtime-checks"></a>

O provisionamento automatizado do IAM aproveita as verificações e executa AWS Identity and Access Management Access Analyzer verificações e validações adicionais em relação à política de limites do AMS. O AMS definiu as verificações e validações adicionais com base nas melhores práticas do IAM, na experiência de operar a carga de trabalho do cliente na nuvem e na experiência coletiva de avaliação manual do AMS IAM.

Você pode visualizar as descobertas da verificação em tempo de execução da política na saída da solicitação de alteração (RFC). As descobertas incluem o identificador do recurso, a localização na and/or política de função que gerou as descobertas e uma mensagem descrevendo a verificação de que a entidade ou o recurso do IAM não foram aprovados. Essas descobertas ajudam você a criar políticas que sejam funcionais e estejam em conformidade com as melhores práticas de segurança.

**nota**  
O provisionamento automatizado do IAM tenta ser específico sobre o local dentro da definição de entidade ou política que não passa na verificação. Dependendo do tipo, o local pode incluir o nome ou o ARN do recurso ou o índice em uma matriz. Por exemplo, uma declaração para ajudá-lo a ajustar a entidade ou política para obter um resultado bem-sucedido.

Para uma experiência tranquila de provisionamento automatizado de IAM do AMS, é uma prática recomendada usar a opção “somente validar” para executar as verificações de validação até que não haja nenhuma descoberta das verificações de validação relatadas nas saídas da RFC. Quando as verificações de validação não relatarem nenhuma descoberta, escolha **Criar cópia** no console AMS para criar rapidamente uma cópia da RFC existente. Quando você estiver pronto para provisionar, na seção **Parâmetros**, alterne o valor **Validar somente** de **Sim** para **Não** e continue.

Estas são as verificações em tempo de execução que o AMS Automated IAM Provisioning executa para garantir que seus recursos do IAM estejam seguros:

**nota**  
Para provisionar políticas do IAM que contêm ações negadas por esses tipos de alteração automatizada, você deve seguir o processo de gerenciamento de riscos de segurança do cliente (CSRM) da RFC. Use o seguinte tipo de alteração: Implantação \$1 Componentes avançados da pilha \$1 Identity and Access Management (IAM) \$1 Criar entidade ou política (automação gerenciada) (ct-3dpd8mdd9jn1r).
+ **Verificação e validação da política do IAM Access Analyzer:** consulte também a [referência de verificação de política do Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) e a validação da política [do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Verificações da política de limite de permissões do AMS:** ações em um conjunto de serviços que são negadas por padrão. Para obter mais informações, consulte Verificação [automatizada do limite de permissão do IAM Provisioning](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Verificações da política de limite de permissões definidas pelo cliente:** ações restritas adicionais em um conjunto de serviços que são negados. Para obter mais informações, consulte Verificação [automatizada do limite de permissão do IAM Provisioning](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Verificações personalizadas definidas pela AMS**: verificações que identificam várias políticas ou padrões de acesso inseguros e excessivamente permissivos em uma entidade ou política do IAM solicitada e negam a solicitação se uma for encontrada. Para obter informações, consulte [Elementos da política AWS JSON: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).


| Descoberta | Description | 
| --- | --- | 
| A função pode ser acessada de uma conta externa que esteja fora da sua zona de confiança. | Essa descoberta se refere a um principal listado na política de confiança da função que está fora da sua zona de confiança. Uma zona de confiança é definida como a conta na qual a função está sendo criada ou a AWS organização à qual a conta pertence. Uma entidade que não pertence à conta ou à mesma AWS organização é uma entidade externa. Para resolver a descoberta, revise o ID da conta principal ARNs e certifique-se de que ela pertence a você e é uma conta integrada do AMS. | 
| A função pode ser acessada por uma entidade externa de propriedade de uma conta *External\$1Account\$1ID* que não pertence à conta de propriedade do cliente do AMS. *Account\$1ID* | Essa descoberta é gerada se a política de confiança da função incluir um ARN principal que tenha um ID de conta que não seja de sua propriedade e uma conta integrada do AMS. Para resolver essa descoberta, remova qualquer princípio desse tipo da política de confiança da função. | 
| O ID de usuário canônico não é um princípio aceito na política de confiança do IAM. | Os princípios canônicos não IDs são compatíveis com a política de confiança do IAM. Para resolver a descoberta, remova qualquer princípio desse tipo da política de confiança da função. | 
| A função pode ser acessada por uma identidade externa da Web que esteja fora da sua zona de confiança. | Essa descoberta é gerada se a política de confiança da função permitir um provedor externo de identidade da Web (IdP) diferente do SAML IdP. Para resolver essa descoberta, revise a política de confiança da função e remova as declarações que permitem a `sts:AssumeRoleWithWebIdentity` operação. | 
| A função pode ser acessada por meio da federação SAML; no entanto, o provedor de identidade SAML (IdP) fornecido não existe. | Essa descoberta é gerada se a política de confiança da função contiver SAML IdP que não existe em sua conta. Para resolver, certifique-se de que todo o IdP SAML listado exista em sua conta. | 
| A política contém ações privilegiadas equivalentes ao acesso de administrador ou usuário avançado. Considere reduzir o escopo da permissão a um serviço, ação ou recurso específico. Se elementos de política avançada, como **NotAction**ou **NotResource**forem usados, certifique-se de que eles não estejam concedendo mais acesso do que o pretendido, especialmente nas declarações **Permitir**. | É uma boa prática de segurança AWS Identity and Access Management conceder somente as permissões necessárias para realizar uma tarefa ao definir permissões com políticas do IAM. Faça isso definindo as ações que podem ser tomadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Essa descoberta é gerada quando a automação detecta que a política concede amplas permissões e não segue o princípio do menor privilégio. Para resolver a descoberta, revise e reduza as permissões. | 
| A declaração contém ações privilegiadas para*Service\$1Name*. Considere excluir essas ações com uma declaração de negação. Consulte a referência da política de limites na documentação do AMS para obter uma lista de ações privilegiadas. | A AMS identificou certas ações de um determinado serviço como arriscadas e exigem uma análise e aceitação adicionais dos riscos pela equipe de segurança do cliente. Essa descoberta é gerada quando a automação detecta a política fornecida que concede tais permissões. Para resolver essa descoberta, negue essas ações em sua política. Para obter uma lista de ações, consulte a política de limites do AMS. Para obter detalhes sobre a política de limites do AMS, consulte[Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md).  | 
| [https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) *Service\$1Name* Considere definir o escopo das permissões para tipos de alteração específicos ou excluí-los com uma declaração de negação. | Essa descoberta é gerada se a política conceder permissões para realizar ações relacionadas à RFC usando tipos de alteração do Automated IAM Provisioning (). CTs Eles CTs estão sujeitos à aceitação de riscos e só devem ser usados por meio de funções integradas. Então, você não pode conceder permissão a eles CTs. Para resolver essa descoberta, negue ações de RFC usando essas CTs. | 
| A declaração contém ações privilegiadas que não têm como escopo seus recursos de serviço. *Service\$1Name* Considere definir o escopo das ações para recursos específicos ou excluir recursos com prefixos de namespace do AMS. Se forem usados curingas, assegure-se de que eles restrinjam o escopo aos seus recursos. | Essa descoberta é gerada se a política conceder ações privilegiadas que não têm como escopo os recursos do determinado serviço. Os curingas geralmente criam políticas excessivamente permissivas que trazem um amplo conjunto de recursos ou ações para o escopo da permissão. Para resolver a descoberta, reduza o escopo das permissões para os recursos que você possui ou exclua os recursos que estão no namespace do AMS. Para obter uma lista dos prefixos de namespace do AMS, consulte a política de limites na documentação do AMS. Observe que nem todos os prefixos se aplicam a todos os serviços. Para obter detalhes sobre a política de limites do AMS, consulte[Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md). | 
| ID de conta ou nome de recurso da Amazon (ARN) inválido. | Essa descoberta é gerada se qualquer ARN ou ID de conta especificado na política ou na política de confiança da função for inválido. Para analisar os recursos válidos do ARN de recursos para serviços, consulte a [Referência de autorização de serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html). Verifique se o ID da conta é um número de 12 dígitos e se a conta está ativa em. AWS | 
| O uso do caractere curinga (\$1) para o ID da conta no ARN é restrito. | Essa descoberta é gerada se um curinga (\$1) for especificado no campo ID da conta de um ARN. Um curinga em um campo de ID da conta corresponde a qualquer conta e potencialmente concede permissão não intencional aos recursos. Para resolver isso, substitua o curinga por um ID de conta específico. | 
| Conta de recurso especificada que não pertence à mesma conta *Account\$1ID* proprietária do cliente do AMS. | Essa descoberta é gerada se um ID de conta especificado em um ARN de recurso não pertencer a você e não for gerenciado pelo AMS. Para resolver isso, certifique-se de que todos os recursos (conforme especificado pelo ARN na política) pertençam às suas contas gerenciadas pelo AMS. | 
| O nome da função está no namespace restrito do AMS. | Essa descoberta é gerada se você tentar criar uma função com um nome que comece com um prefixo reservado do AMS. Para resolver isso, use um nome para a função que seja específico para seu caso de uso. Para obter uma lista de prefixos reservados do AMS, consulte Prefixos [reservados do AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| O nome da política está no namespace restrito do AMS. | Essa descoberta é gerada se você tentar criar uma política com um nome que comece com um prefixo reservado do AMS. Para resolver isso, use um nome para a política que seja específico para seu caso de uso. Para obter uma lista dos prefixos reservados do AMS, consulte Prefixos [reservados do AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html). | 
| O ID do recurso no ARN está no namespace restrito do AMS. | Essa descoberta é gerada se você tentar criar uma política que conceda permissão aos recursos nomeados que estão no namespace do AMS. Para resolver isso, assegure-se de definir o escopo das permissões para seus recursos ou negar permissões para recursos que estão no namespace AMS. Para obter mais informações sobre namespaces do AMS, consulte Espaços de nomes [restritos do AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html). | 
| Caso de variável de política inválido. Atualize a variável para*Variable\$1Names*. | Essa descoberta é gerada se você tentar criar uma política que contenha uma variável de política global do IAM no caso incorreto. Para resolver isso, use as maiúsculas e minúsculas corretas para variáveis globais em sua política. Para obter uma lista de variáveis globais, consulte [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Para obter mais informações sobre as variáveis de política, consulte [Elementos de política do IAM: Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) | 
| A declaração contém ações privilegiadas que não têm como escopo suas chaves KMS. Considere definir o escopo dessas permissões para chaves específicas ou excluir as chaves de propriedade do AMS. | Essa descoberta será gerada se a política contiver permissões que não tenham como escopo as chaves KMS específicas de sua propriedade. Para resolver isso, defina o escopo da permissão para chaves específicas ou exclua as chaves que são de propriedade do AMS. As chaves de propriedade do AMS têm conjuntos de aliases específicos. Para obter uma lista de aliases de chave de propriedade do AMS, consulte[Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md). | 
| A declaração contém ações privilegiadas que não têm como escopo os aliases de suas chaves KMS. Considere definir o escopo dessas permissões para suas chaves ou aliases, ou excluir aliases de chave de propriedade da AMS. | Essa descoberta será gerada se a política contiver permissões que não tenham como escopo um alias de chaves KMS específico que você possui. Para resolver isso, defina o escopo da permissão para chaves específicas ou exclua as chaves que são de propriedade do AMS. As chaves de propriedade do AMS têm conjuntos de aliases específicos. Para obter uma lista de aliases de chave de propriedade do AMS, consulte[Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md). | 
| A declaração contém ações privilegiadas que não têm um escopo adequado para suas chaves KMS usando o. `kms:ResourceAliases condition` Considere usar nomes de alias específicos junto com o operador de conjunto apropriado para a chave de condição. Se forem usados curingas nos nomes de alias, assegure-se de que eles restrinjam o escopo a um conjunto limitado de suas chaves KMS. | Essa descoberta é gerada se você estiver definindo o escopo das permissões para suas chaves KMS usando condições e não usando o `kms:ResourceAliases` escopo de aliases para suas chaves KMS. Ou, se a chave de `kms:ResourceAliases` condição tiver um valor que também inclua aliases de chaves KMS de propriedade do AMS. Para resolver isso, atualize a condição para restringir a permissão somente para aliases de suas chaves KMS ou excluir aliases para chaves KMS de propriedade do AMS. Para obter uma lista de aliases de chave de propriedade do AMS, consulte[Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md). | 
| A função deve ter customer\$1deny\$1policy anexada. Inclua o ARN da política na lista de políticas gerenciadas. ARNs | Essa descoberta é gerada se a função que você está criando não tiver o `customer_deny_policy` anexo a ela. Para resolver isso, inclua o `customer_deny_policy` na ARNs lista de políticas gerenciadas. | 
| A política AWS gerenciada é excessivamente permissiva ou concede permissões restritas pela política de limites do AMS. | Essa descoberta é gerada se o **ManagedPolicyArns**valor da função contiver alguma política gerenciada pelo AMS que forneça acesso total ou em nível de administrador ao serviço relevante. Para resolver isso, revise o uso da política AWS gerenciada e use uma política que forneça permissão de redução de escopo ou defina sua própria política que siga o princípio do menor privilégio. | 
| A política gerenciada pelo cliente está em um namespace restrito do AMS. | Essa descoberta é gerada se alguma política gerenciada pelo cliente com nome prefixado no AWS namespace for anexada à função. Para resolver isso, remova a política da **ManagedPolicyArn**lista da função. | 
| A customer\$1deny\$1policy não pode ser separada da função. Inclua o ARN da política na lista de políticas gerenciadas. ARNs | Essa descoberta é gerada se o `customer_deny_policy` for separado da função durante uma atualização. Para resolver isso, adicione o `customer_deny_policy` ao **ManagedPolicyArns**campo da função e tente novamente. | 
| As políticas gerenciadas pelo cliente foram provisionadas fora do serviço AMS Change Management ou sem validação prévia. | Essa descoberta é gerada se uma ou mais políticas existentes gerenciadas pelo cliente ARNs estiverem vinculadas a uma função e as políticas não forem provisionadas por meio do serviço AMS Change Management (por meio de uma RFC). Por exemplo, o Modo Desenvolvedor ou o Modo de Alteração Direta permitem que os clientes provisionem políticas do IAM sem um RFC. Para resolver isso, remova a política gerenciada pelo cliente ARNs da **ManagedPolicyArns**lista da função. | 
| A contagem de políticas gerenciadas fornecidas ARNs excede a cota da política anexada por função. | Essa descoberta é gerada se o número total de políticas gerenciadas anexadas à função exceder a cota de política por função. Para obter mais informações sobre cotas do IAM, consulte [cotas do IAM e AWS STS, requisitos de nome e limites de caracteres](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). Use essas informações para reduzir o número de políticas que você atribui à função. | 
| O tamanho da política de confiança (\$1trust\$1policy\$1) excede a cota de tamanho da política de assumir funções de \$1size\$1. | Essa descoberta é gerada se o tamanho do documento de política de assumir função exceder a cota de tamanho da política. Para obter mais informações sobre cotas do IAM, consulte [cotas do IAM e AWS STS, requisitos de nome e limites de caracteres](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). | 
| A declaração contém todas as ações mutativas do Amazon S3. Considere definir o escopo dessas permissões somente para as ações necessárias. Se forem usados curingas, certifique-se de que eles abrangem um conjunto limitado de ações mutativas. | Essa descoberta é gerada se a política dada conceder a todas as permissões mutativas do Amazon Simple Storage Service, independentemente de um ou mais recursos. Para resolver isso, inclua somente as ações mutativas necessárias do Amazon S3 em seus buckets. | 
| A declaração contém ações privilegiadas que não são permitidas em nenhum bucket no Amazon S3. Considere adicionar uma declaração negando essas ações. | Essa descoberta é gerada se a política conceder ações privilegiadas em qualquer bucket. Para obter uma lista de ações privilegiadas, consulte [Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md) Para resolver essa descoberta, remover ou negar essas ações em sua política. | 
| A declaração contém ações privilegiadas que não têm como escopo seus buckets no Amazon S3. Considere incluir seus buckets ou excluir buckets com prefixos de namespace do AMS. Se forem usados curingas, certifique-se de que eles correspondam aos buckets em seus namespaces. | Essa descoberta é gerada se a política conceder ao Amazon S3 ações que não têm como escopo somente seus buckets. Isso geralmente ocorre quando caracteres curingas são usados ao especificar recursos do bucket. Para resolver isso, especifique os nomes dos buckets ou ARNs se você possui ou exclui os buckets que têm prefixos de namespace AMS. | 
| A declaração contém ações privilegiadas que não têm como escopo seus buckets no Amazon S3. Considere evitar o uso de curingas (\$1) que abrangem todos os compartimentos da conta. | Essa descoberta é gerada se a política conceder ao Amazon S3 ações que não têm como escopo o seu bucket. Isso geralmente ocorre quando caracteres curingas são usados ao especificar recursos do bucket. Para resolver isso, especifique os nomes dos buckets ou ARNs se você possui ou exclui os buckets que têm prefixos de namespace AMS. | 
| A declaração contém um caractere curinga de recursos que tem como escopo todos os buckets do Amazon S3, incluindo buckets inexistentes e buckets que você não possui. Considere definir o escopo das permissões usando uma condição e uma chave de `s3:ResourceAccount` condição. | Essa descoberta é gerada se a política conceder permissão aos compartimentos especificados usando curingas. O uso de curingas geralmente coloca baldes inexistentes ou não proprietários no escopo. Para resolver isso, use a condição e a chave de `aws:ResourceAccount` condição para definir o escopo da permissão para buckets somente na conta atual. Para obter mais detalhes, consulte [Limitar o acesso aos buckets do Amazon S3 pertencentes](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/) a contas específicas. AWS  | 
| A declaração contém um elemento de `NotResource` política, que pode ter como escopo um grande número de compartimentos, incluindo compartimentos inexistentes e compartimentos que você não possui. Considere definir o escopo das permissões usando uma condição e uma chave de `s3:ResourceAccount` condição. | Essa descoberta é gerada se a política utilizar o elemento de `NotResources` política para especificar os recursos do bucket. O uso do `NotResource` elemento pode abranger um grande número de compartimentos, incluindo compartimentos inexistentes ou não proprietários. Para resolver isso, use condições e a chave de `aws:ResourceAccount` condição para definir o escopo da permissão para buckets somente na conta atual. | 
| A declaração contém a ação do Amazon S3 para buckets *Bucket\$1Name* que não existem, não são de propriedade da conta *Account\$1ID* ou o nome contém um curinga que pode ter como escopo um grande número de buckets, incluindo buckets inexistentes e buckets que você não possui. Considere definir o escopo das permissões usando uma condição e a chave de `s3:ResourceAccount` condição | Essa descoberta é gerada se a política conceder permissão a compartimentos que não existem, não são de sua propriedade ou têm curingas nos nomes dos compartimentos que abrangem um grande número de compartimentos e o acesso não tem como escopo somente a conta atual. Para resolver isso, use a condição e a chave de `aws:ResourceAccount` condição para definir o escopo da permissão para buckets somente na conta atual. | 
| A declaração contém a ação do Amazon S3 para buckets *Bucket\$1Name* que não existem, não são de propriedade da conta*Account\$1ID*, ou o nome contém um curinga que pode ter como escopo um grande número de buckets, incluindo buckets inexistentes e buckets que você não possui. O acesso não é restrito por uso `s3:ResourceAccount` ou conta de recurso especificada na condição de não pertencer a você. | Essa descoberta é gerada se a política conceder permissão a compartimentos que não existem, não são de sua propriedade ou têm curingas nos nomes dos compartimentos que abrangem um grande número de compartimentos e o acesso é limitado somente a uma conta específica. No entanto, a conta especificada na chave de `aws:ResourceAccount` condição não pertence a você e é gerenciada pelo AMS. Para resolver isso, atualize a chave de `aws:ResourceAccount` condição e defina a ID de conta apropriada que você possui e é gerenciada pelo AMS. | 
| A declaração contém ações privilegiadas que não têm como escopo suas instâncias do Amazon EC2. Considere definir o escopo das ações para uma instância específica ARNs ou excluir instâncias que tenham a chave de tag de nome com valor nos prefixos de namespace do AMS. Se forem usados curingas, verifique se eles correspondem aos namespaces que você possui. | Essa descoberta é gerada se a política conceder ações privilegiadas contra instâncias do Amazon EC2 que o AMS possui. As instâncias do AMS são marcadas com a chave **Name** tag com valores no namespace AMS. Para resolver isso, especifique seus recursos ou exclua instâncias do AMS com uma condição que tenha a `aws:ResourceTag/Name` chave que exclui valores no namespace do AMS usando o operador `StringNotLike` | 
| A declaração contém ações privilegiadas que não têm como escopo seus recursos no repositório de AWS Systems Manager parâmetros. Considere especificar ARNs seus parâmetros ou excluir parâmetros com prefixos de namespace do AMS. Se forem usados curingas, certifique-se de que eles definem apenas seus parâmetros. | Essa descoberta é gerada se a política conceder permissões a parâmetros que você não possui. Geralmente, isso ocorre quando curingas são usados ou parâmetros com prefixos de namespace AMS são listados em recursos em uma declaração de política. Para resolver isso, especifique os parâmetros que estão dentro do seu namespace ou exclua os parâmetros do AMS com uma instrução de negação. | 
| A declaração contém ações privilegiadas contra recursos em AWS Systems Manager. Considere definir o escopo das permissões para somente ler ações ou ações em relação aos seus recursos. | Essa descoberta é gerada se a política conceder permissões diferentes do armazenamento de parâmetros ou ações somente de leitura em relação aos recursos do Systems Manager. Para resolver essa descoberta, reduza as permissões para ações somente para leitura ou somente para armazenamento de parâmetros. | 
| A declaração contém ações privilegiadas que não têm como escopo \$1message\$1 *Service\$1Name* que você possui. Considere definir o escopo dessas permissões para tipos de recursos específicos, conforme apropriado, ou excluir recursos de propriedade do AMS. Se forem usados curingas, verifique se eles correspondem*Resources*. | Essa descoberta é gerada se a política permitir ações privilegiadas que não são concedidas contra seus recursos, especialmente para recursos nomeados. Para resolver essa descoberta, revise sua lista de recursos e veja se eles abrangem apenas os recursos que estão em seu namespace. Como alternativa, exclua os recursos que estão no namespace AMS. | 
| A declaração contém ações de marcação de \$1*Service\$1Name*\$1 que não têm como escopo valores específicos para a chave da tag Name. Considere definir o escopo dessas ações definindo a chave de `aws:RequestTag/Name` condição com valores em seu namespace ou restrinja essas ações definindo a chave de `aws:RequestTag/Name` condição com o `StringNotLike` operador com valores nos prefixos de namespace do AMS. | Essa descoberta é gerada se a política conceder permissão de marcação para determinado serviço e a permissão não tiver como escopo chaves/valores de tag específicos. Para definir qual chave ou valor pode ser usado em ações de tag, por exemplo, ao fazer uma solicitação para realizar as ações, use a `aws:RequestTag/tag key` condição. Portanto, para resolver isso, use essa chave de condição para restringir a chave ou os valores no seu namespace. Ou negue a `Name` tag key (`aws:RequestTag/Name`) com valores no namespace AMS. | 
| Erro interno ao validar a política de confiança da função do IAM. | Essa descoberta é gerada quando a automação de CT encontra um erro ao realizar a validação na política de confiança da função do IAM por meio do serviço IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Erro interno ao validar a política gerenciada pelo cliente. | Essa descoberta é gerada quando a automação de CT encontra um erro ao realizar a ovalidação na política gerenciada pelo cliente por meio do serviço IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Analisador de acesso não encontrado em*Região da AWS*. Não é possível realizar a verificação prévia de acesso à política de confiança da função. | Essa descoberta é gerada quando o recurso IAM Access Analyzer não é encontrado no Região da AWS. Entre em contato com o AMS Operations para solucionar problemas e criar o recurso IAM Access Analyzer na região da AWS. | 
| Política de confiança inválida para a função *Role\$1Name* | Essa descoberta é gerada quando a função do IAM é fornecida com uma política de confiança inválida. Para resolver, revise a política de confiança para verificar se ela é válida. | 
| O IAM Access Analyzer encontrou um erro interno. Falha ao criar uma visualização prévia de acesso para a função *Role\$1Name* | Essa descoberta é gerada quando a automação encontra um erro ao criar uma visualização prévia de acesso para uma função por meio do IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Falha ao criar uma visualização prévia de acesso para a política de confiança da função *Role\$1Name* | Essa descoberta é gerada quando a automação encontra um erro ao criar uma visualização prévia de acesso para uma função por meio do IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Erro interno ao validar o SAML IdP listado. | Essa descoberta é gerada quando a automação encontra um erro ao validar o SAML fornecido IdPs listado na política de confiança da função. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Erro interno ao validar permissões em relação AWS Key Management Service ao. | Essa descoberta é gerada quando a automação encontra um erro ao validar as AWS KMS principais permissões na política fornecida. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Erro interno ao validar a política ARNs gerenciada listada. | Essa descoberta é gerada quando a automação encontra um erro ao validar a política gerenciada listada. ARNs Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Erro interno ao validar o `customer_deny_policy` anexo padrão. | Essa descoberta é gerada quando a automação encontra um erro ao validar se o `customer_deny_policy` está vinculado à função. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Erro interno ao validar alertas de política gerenciada para a função *Role\$1Name* | Essa descoberta é gerada quando a automação encontra um erro ao validar a política gerenciada ARNs para a função. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| Erro interno de validação em *Policy\$1name* relação à política de limites definida pelo cliente `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | Essa descoberta é gerada quando a automação encontra um erro ao validar a política que contém sua lista de negação personalizada. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro. | 
| A política de limites definida pelo cliente `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` existe na conta. No entanto, a política contém declarações de permissão que concedem permissões. A política deve conter apenas declarações de negação. | Essa descoberta é gerada quando a política que contém sua lista de negação personalizada inclui uma declaração que concede permissão. Embora a lista de negação personalizada exista em sua conta como uma política gerenciada pelo IAM, ela não pode ser usada para gerenciamento de permissões. A política deve conter apenas declarações de negação que indiquem que você deseja que o AMS Automated IAM Provisioning valide e negue as ações em suas políticas do IAM que o AMS Automated IAM Provisioning cria. | 
| A declaração contém ações privilegiadas definidas por sua organização para*Service\$1Name*. Considere excluir essas ações com uma declaração de negação. Consulte a política mencionada em sua conta para ver a lista restrita de ações. | Essa descoberta é gerada quando a automação detecta qualquer ação em sua política que você definiu na lista de negação personalizada. Para resolver a descoberta, revise sua declaração de política e remova todas as ações definidas em sua lista de negação personalizada ou adicione uma declaração de negação que negue essas ações. | 
| A função deve ter sido *POLICY\$1ARN* anexada. Inclua o ARN da política na lista de políticas gerenciadas. ARNs | Essa descoberta é gerada se a função que você está criando não estiver *POLICY\$1ARN* associada a ela. Para resolver isso, inclua o *POLICY\$1ARN* no **ManagedPolicyArns**campo da função e tente novamente. | 
| Eles não *POLICY\$1ARN* podem ser separados da função. Inclua o ARN da política na lista de políticas gerenciadas. ARNs | Essa descoberta é gerada se o *POLICY\$1ARN* for separado da função durante uma atualização. Para resolver isso, adicione o *POLICY\$1ARN* ao **ManagedPolicyArns**campo da função e tente novamente. | 

# Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning
<a name="aip-runtime-checks-perm-boundary"></a>

As verificações de limites de permissão do AMS ajudam você a aderir à política de limite de permissão padrão fornecida pelo AMS. Essa política é uma lista de ações negadas pelo AMS Automated IAM Provisioning. As políticas de provisionamento que contêm essas ações restritas exigem aceitação explícita adicional do risco. Faça o download da política aqui: [boundary-policy.zip](samples/boundary-policy.zip).

Use verificações de política de limite de permissão definidas pelo cliente para personalizar ações de negação além dos padrões da política de limite de permissão do AMS. Ao integrar o aprovisionamento automatizado de IAM do AMS usando o seguinte tipo de alteração: Gerenciamento \$1 Conta gerenciada \$1 Provisionamento automatizado do IAM do AMS com permissões de leitura e gravação \$1 [Ativar (automação gerenciada) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html), você pode incluir uma lista de ações de negação personalizadas que especificam ações restritas adicionais. 

Você pode atualizar a lista de ações de negação usando o tipo de alteração: Gerenciamento \$1 Conta gerenciada \$1 Provisionamento automatizado de IAM com permissões de leitura e gravação \$1 [Atualizar lista de negação personalizada](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0). Você deve usar a função dedicada do IAM `AWSManagedServicesIAMProvisionAdminRole` para executar esse tipo de alteração.

**nota**  
Você deve fornecer uma lista abrangente de ações de negação para cada atualização. A lista anterior é substituída pela nova lista.
A lista de ações de negação deve conter somente ações a serem negadas. Não há suporte para ações de permissão. 
A lista de ações de negação reside na conta como uma política gerenciada do IAM chamada`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`. A política não deve ser vinculada a nenhuma função.
O termo *limite de permissão* usado para denotar ações negadas no AMS Automated IAM Provisioning tem um significado contextual diferente em comparação com o limite de permissão do IAM. O limite de permissão do IAM define a permissão máxima que uma política pode conceder em tempo de execução a uma entidade do IAM. Para obter mais informações sobre o limite de permissão do IAM, consulte [Tipos de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types) no *Guia do AWS Identity and Access Management usuário*. O limite de permissão no AMS Automated IAM Provisioning impede que você provisione uma política do IAM que contenha um determinado conjunto de permissões, por exemplo, uma lista de ações negadas.

# Solução de problemas e erros do AMS Automated IAM Provisioning
<a name="aip-troubleshooting"></a>

Há três maneiras pelas quais você pode ter problemas ao usar o AMS Automated IAM Provisioning:
+ Erros de RFC: podem ocorrer por vários motivos; por exemplo, entrada incorreta. Para obter mais informações, consulte [Solução de problemas de erros de RFC no AMS](rfc-troubleshoot.md).
+ Erros de SSM: podem ocorrer por vários motivos; por exemplo, formatação incorreta. Para obter mais informações, consulte [Solução de problemas de automação do Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html).
+ Conclusões da verificação de validação: elas ocorrem quando uma das muitas verificações de validação executadas pelo Automated IAM Provisioning encontra um problema. Para obter uma lista de verificações de validação e ações recomendadas para corrigir, consulte[Verificações de tempo de execução do provisionamento automatizado de IAM do AMS no AMS](aip-runtime-checks.md).