As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Opção 1: os aplicativos podem assumir qualquer função vinculada a um IAM Roles Anywhere perfil Nesse cenário, dois certificados foram provisionados no AWS Certificate Manager (ACM) da Autoridade de Certificação Privada da AWS instância e compartilhados com os aplicativos que exigem acesso aos recursos. AWS Esses aplicativos podem assumir qualquer função vinculada a um IAM Roles Anywhere perfil. Isso ocorre porque a política de confiança não limita qual aplicativo pode assumi-la. **nota** Nesse cenário, não é necessário que os aplicativos tenham certificados separados. Eles poderiam compartilhar um único certificado. Quando um aplicativo assume uma função, as permissões são a convergência do que é explicitamente permitido na função do IAM e no perfil. IAM Roles Anywhere Usando essa abordagem, você pode limitar as permissões de sessão por meio de IAM Roles Anywhere perfis, independentemente das outras permissões permitidas na função do IAM. A imagem a seguir mostra o acesso que cada aplicativo tem. Os aplicativos têm acesso negado a alguns AWS recursos porque não recebem acesso explícito tanto na função do IAM quanto no IAM Roles Anywhere perfil. **Se a chamada do Credential Helper incluir o Amazon Resource Name (ARN) para a **função 1**, o aplicativo receberá credenciais de segurança temporárias para acessar o **bucket** 1 por meio da função 1.** **Se a chamada do Credential Helper incluir o ARN da **Função 2**, o aplicativo receberá credenciais de segurança temporárias para acessar o **Bucket** 2 por meio da Função 2.** ![Os aplicativos usam o mesmo certificado e podem acessar várias funções. Os perfis limitam o acesso.](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/certificate-based-access-controls/images/option-1-overview.png) As políticas de confiança da **Função **1** e da Função 2** são configuradas IAM Roles Anywhere para permitir que você assuma a função, defina a identidade de origem e marque as sessões. Veja a seguir um exemplo de política de confiança que permite que os aplicativos assumam qualquer função vinculada a um IAM Roles Anywhere perfil: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "sts:SourceIdentity": [ "${sourceIdentityPrefix}${sourceIdentityValue}" ] } } } ] } ``` Para obter mais informações sobre políticas de confiança de funções e como você pode modificar esse exemplo, consulte [Política de confiança](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html#trust-policy) na IAM Roles Anywhere documentação. Exemplos de políticas de função e perfil para o **Aplicativo 1** e o **Aplicativo 2** estão incluídos na seção [Apêndice: Exemplo de perfil e políticas de função](appendix-sample-policies.md) deste guia.