

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como AWS RAM funciona com o IAM
<a name="security-iam-policies"></a>

Por padrão, os diretores do IAM não têm permissão para criar ou modificar AWS RAM recursos. Para permitir que as entidades principais do IAM criem ou alterem recursos e realizem tarefas, você deve realizar uma das etapas a seguir. Essas ações concedem permissão para usar recursos e ações de API específicos. 

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:

  Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
  + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
  + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

AWS RAM fornece várias políticas AWS gerenciadas que você pode usar para atender às necessidades de muitos usuários. Para saber mais sobre essas ferramentas, consulte [AWS políticas gerenciadas para AWS Resource Access Manager](security-iam-awsmanpol.md).

Se precisar de um controle mais preciso sobre as permissões concedidas aos seus usuários, você pode criar suas próprias políticas no console do IAM. Para obter informações sobre como criar políticas e anexá-las aos usuários e perfis do IAM, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do AWS Identity and Access Management *.

As seções a seguir fornecem os detalhes AWS RAM específicos para criar uma política de permissão do IAM.

**Contents**
+ [Estrutura da política](#structure)
  + [Efeito](#iam-policies-effect)
  + [Ação](#iam-policies-action)
  + [Recurso](#iam-policies-resource)
  + [Condição](#iam-policies-condition)

## Estrutura da política
<a name="structure"></a>

Uma política de permissão do IAM é um documento JSON que inclui as seguintes declarações: Efeito, Ação, Recurso e Condição. Uma política do IAM geralmente tem o seguinte formato.

```
{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}
```

### Efeito
<a name="iam-policies-effect"></a>

A declaração *Efeito* indica se a política permite ou nega uma permissão de entidade principal para realizar uma ação. Os valores possíveis incluem `Allow` e `Deny`.

### Ação
<a name="iam-policies-action"></a>

A declaração *Action* especifica as ações da AWS RAM API para as quais a política está permitindo ou negando permissão. Para ver uma lista completa da ações permitidas, veja [Ações definidas pelo AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions) no *Guia do usuário do IAM*.

### Recurso
<a name="iam-policies-resource"></a>

A declaração *de recursos* especifica os AWS RAM recursos que são afetados pela política. Para especificar um recurso na declaração, você precisa usar o nome do recurso da Amazon (ARN). Para obter uma lista completa dos recursos permitidos, consulte [Recursos definidos pelo AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) no *Guia do usuário do IAM*.

### Condição
<a name="iam-policies-condition"></a>

As declarações de *Condição* são opcionais. Eles podem ser usados para refinar ainda mais as condições sob as quais a política se aplica. AWS RAM suporta as seguintes chaves de condição:
+ `aws:RequestTag/${TagKey}`: testa se a solicitação de serviço inclui uma tag com a chave de tag especificada, existe e tem o valor especificado.
+ `aws:ResourceTag/${TagKey}`: testa se o recurso acionado pela solicitação de serviço tem uma tag anexada com uma chave de tag especificada na política.

  O exemplo de condição a seguir verifica se o recurso referenciado na solicitação de serviço tem uma tag anexada com o nome da chave “Proprietário” e um valor de “Equipe de desenvolvimento”.

  ```
  "Condition" : { 
      "StringEquals" : {
          "aws:ResourceTag/Owner" : "Dev Team" 
      } 
  }
  ```
+ `aws:TagKeys`: especifica as chaves de tags que devem ser usadas ao criar ou marcar um compartilhamento de recursos.
+ `ram:AllowsExternalPrincipals`: testa se o compartilhamento de recursos na solicitação de serviço permite o compartilhamento com entidades principais externas. Um diretor externo é uma Conta da AWS pessoa externa à sua organização em AWS Organizations. Se chegar a `False`, você poderá compartilhar esse compartilhamento de recursos com contas somente na mesma organização.
+ `ram:PermissionArn`: testa se o ARN da permissão especificado na solicitação de serviço corresponde a uma string de ARN especificada na política.
+ `ram:PermissionResourceType`: testa se a permissão especificada na solicitação de serviço é válida para o tipo de recurso especificado na política. Especifique os tipos de recursos usando o formato mostrado na lista de [tipos de recursos compartilháveis](shareable.md).
+ `ram:Principal`: testa se o ARN da entidade principal especificado na solicitação de serviço corresponde a uma string de ARN especificada na política.
+ `ram:RequestedAllowsExternalPrincipals`: testa se a solicitação de serviço inclui o parâmetro `allowExternalPrincipals` e se seu argumento corresponde ao valor especificado na política.
+ `ram:RequestedResourceType`: testa se o tipo de recurso do recurso que está sendo usado corresponde a uma string de tipo de recurso que você especifica na política. Especifique os tipos de recursos usando o formato mostrado na lista de [tipos de recursos compartilháveis](shareable.md).
+ `ram:ResourceArn`: testa se o ARN do recurso que está sendo processado pela solicitação de serviço corresponde a um ARN especificado na política.
+ `ram:ResourceShareName`: testa se o nome do compartilhamento de recursos que está sendo processado pela solicitação de serviço corresponde a uma string especificada na política.
+ `ram:ShareOwnerAccountId`: testa se o número de ID da conta do compartilhamento de recursos que está sendo processado pela solicitação de serviço corresponde a uma string especificada na política.