As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso para o Amazon Rekognition
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para usar os recursos do Amazon Rekognition. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Rekognition funciona com o IAM](security_iam_service-with-iam.md)
+ [AWS políticas gerenciadas para o Amazon Rekognition](security-iam-awsmanpol.md)
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usar o console do Amazon Rekognition](security_iam_id-based-policy-examples-console.md)
+ [Exemplos de uso de políticas baseadas em identidade do Amazon Rekognition](security_iam_id-based-policy-examples.md)
+ [Exemplos de políticas baseadas em recursos do Amazon Rekognition](security_iam_resource-based-policy-examples.md)
+ [Solução de problemas de identidade e acesso do Amazon Rekognition](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Rekognition](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Rekognition funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de uso de políticas baseadas em identidade do Amazon Rekognition](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para obter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Grupos e usuários do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões independentemente do método usado para executar a operação.
### Usar políticas baseadas em identidade
Políticas baseadas em identidade são documentos de política de permissão JSON anexados a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Usando políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Rekognition funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Amazon Rekognition, você deve entender quais recursos do IAM estão disponíveis para uso com o Amazon Rekognition. *Para ter uma visão de alto nível de como o Amazon Rekognition AWS e outros serviços funcionam com o IAM [AWS , consulte Serviços que](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) funcionam com o IAM no Guia do usuário do IAM.*
**Topics**
+ [Políticas baseadas em identidade do Amazon Rekognition](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do Amazon Rekognition](#security_iam_service-with-iam-resource-based-policies)
+ [Perfis do IAM do Amazon Rekognition](#security_iam_service-with-iam-roles)
## Políticas baseadas em identidade do Amazon Rekognition
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O Amazon Rekognition oferece suporte a ações, recursos e chaves de condição específicas. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no Amazon Rekognition usam o seguinte prefixo antes da ação: `rekognition:`. Por exemplo, para conceder permissão a alguém para detectar objetos, cenas ou conceitos em uma imagem com a operação da API `DetectLabels` do Amazon Rekognition, você inclui a ação `rekognition:DetectLabels` na política. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Amazon Rekognition define seu próprio conjunto de ações que descrevem as tarefas que você pode realizar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"rekognition:action1",
"rekognition:action2"
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "rekognition:Describe*"
```
Para ver uma lista de ações do Amazon Rekognition, consulte [Ações definidas pelo Amazon Rekognition](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonrekognition.html#amazonrekognition-actions-as-permissions) no *Guia do usuário do IAM*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por exemplo, para especificar a coleção `MyCollection` em sua declaração, use o ARN a seguir:
```
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"
```
Para especificar todas as instâncias que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"
```
Algumas ações do Amazon Rekognition, como aquelas para criar recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
*Para ver uma lista dos tipos de recursos do Amazon Rekognition ARNs e seus, consulte [Recursos definidos pelo Amazon Rekognition](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonrekognition.html#amazonrekognition-resources-for-iam-policies) no Guia do usuário do IAM.* Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo Amazon Rekognition](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonrekognition.html#amazonrekognition-actions-as-permissions).
### Chaves de condição
O Amazon Rekognition não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
## Políticas baseadas em recursos do Amazon Rekognition
O Amazon Rekognition oferece suporte a políticas baseadas em recursos para operações de cópia de modelos de etiquetas personalizadas. Para obter mais informações, consulte exemplos de políticas baseadas em recursos do [Amazon Rekognition.](https://docs.aws.amazon.com/rekognition/latest/dg/security_iam_resource-based-policy-examples.html)
Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket.
Para acessar imagens armazenadas em um bucket do Amazon S3, você deve ter permissão para acessar o objeto no bucket do S3. Com essa permissão, o Amazon Rekognition pode baixar imagens do bucket do S3. A política de exemplo a seguir permite que o usuário realize a ação `s3:GetObject` no bucket do S3 chamado amzn-s3-demo-bucket3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket3/*"
]
}
]
}
```
------
Para usar um bucket do S3 com o versionamento ativado, adicione a ação `s3:GetObjectVersion`, conforme mostrado no exemplo a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket3/*"
]
}
]
}
```
------
## Perfis do IAM do Amazon Rekognition
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usando credenciais temporárias com o Amazon Rekognition
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O Amazon Rekognition oferece suporte ao uso de credenciais temporárias.
### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
O Amazon Rekognition não oferece suporte a funções vinculadas a serviços.
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
O Amazon Rekognition oferece suporte a funções de serviço.
O uso de um perfil de serviço pode criar um problema de segurança em que o Amazon Rekognition é usado para chamar outro serviço e agir sobre recursos aos quais ele não deveria ter acesse. Para manter sua conta segura, você deve limitar o escopo do acesso do Amazon Rekognition apenas aos recursos que você está usando. Isso pode ser feito anexando uma política de confiança à suo perfil de serviço do IAM. Para obter informações sobre como fazer isso, consulte [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md).
### Escolha de um perfil do IAM no Amazon Rekognition
Ao configurar o Amazon Rekognition para analisar vídeos armazenados, você deve escolher uma função para permitir que o Amazon Rekognition acesse o Amazon SNS em seu nome. Se você já criou um perfil de serviço ou uma função vinculada a um serviço, o Amazon Rekognition fornece uma lista de funções para você escolher. Para obter mais informações, consulte [Configuração do Amazon Rekognition Video](api-video-roles.md).
### Exemplo: como configurar o Amazon Rekognition para acessar imagens em um bucket do Amazon S3
Veja abaixo um exemplo de configuração do Amazon Rekognition para analisar imagens em um bucket do Amazon S3. Se você quiser usar o Amazon Rekognition para analisar imagens em um bucket do Amazon S3, faça o seguinte:
1. Certifique-se de que seu IAM user/role (o cliente) tenha permissão para chamar as operações relevantes da API Amazon Rekognition (como, etc.) DetectLabels DetectFaces
Anexe uma política baseada em identidade que conceda as permissões apropriadas para invocar as operações de API desejadas. Por exemplo, fornecer permissões à sua função para chamar `DetectLabels` e `DetectFaces`, você anexaria uma política parecida com a seguinte à sua função:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectFaces"
],
"Resource": "*"
}
]
}
```
------
1. O serviço do Amazon Rekognition precisa de permissões para acessar seu bucket do Amazon S3. Crie um perfil de serviço do IAM, que você precisará passar para o Amazon Rekognition ao fazer chamadas de API. O perfil de serviço deve confiar na entidade principal do serviço Amazon Rekognition e ter as permissões `s3:GetObject` para seu bucket.
A política de confiança deve ser parecida com a seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rekognition.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
A política baseada em identidade anexada ao perfil de serviço pode ser parecida com a seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
# AWS políticas gerenciadas para o Amazon Rekognition
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## Política gerenciada pela AWS: AmazonRekognitionFullAccess
`AmazonRekognitionFullAccess` concede acesso total aos recursos do Amazon Rekognition, incluindo a criação e a exclusão de coleções.
É possível anexar a política `AmazonRekognitionFullAccess` às suas identidades do IAM.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:*"
],
"Resource": "*"
}
]
}
```
------
## Política gerenciada pela AWS: AmazonRekognitionReadOnlyAccess
`AmazonRekognitionReadOnlyAccess` concede acesso somente para leitura aos recursos do Amazon Rekognition.
É possível anexar a política `AmazonRekognitionReadOnlyAccess` às suas identidades do IAM.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRekognitionReadOnlyAccess",
"Effect": "Allow",
"Action": [
"rekognition:CompareFaces",
"rekognition:DetectFaces",
"rekognition:DetectLabels",
"rekognition:ListCollections",
"rekognition:ListFaces",
"rekognition:SearchFaces",
"rekognition:SearchFacesByImage",
"rekognition:DetectText",
"rekognition:GetCelebrityInfo",
"rekognition:RecognizeCelebrities",
"rekognition:DetectModerationLabels",
"rekognition:GetLabelDetection",
"rekognition:GetFaceDetection",
"rekognition:GetContentModeration",
"rekognition:GetPersonTracking",
"rekognition:GetCelebrityRecognition",
"rekognition:GetFaceSearch",
"rekognition:GetTextDetection",
"rekognition:GetSegmentDetection",
"rekognition:DescribeStreamProcessor",
"rekognition:ListStreamProcessors",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DetectProtectiveEquipment",
"rekognition:ListTagsForResource",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset",
"rekognition:ListProjectPolicies",
"rekognition:ListUsers",
"rekognition:SearchUsers",
"rekognition:SearchUsersByImage",
"rekognition:GetMediaAnalysisJob",
"rekognition:ListMediaAnalysisJobs"
],
"Resource": "*"
}
]
}
```
------
## Política gerenciada pela AWS: AmazonRekognitionServiceRole
`AmazonRekognitionServiceRole` permite que o Amazon Rekognition chame os serviços do Amazon Kinesis Data Streams e do Amazon SNS em seu nome.
É possível anexar a política `AmazonRekognitionServiceRole` às suas identidades do IAM.
Ao usar esse perfil de serviço, você deve manter sua conta segura limitando o escopo do acesse do Amazon Rekognition apenas aos recursos que você está usando. Isso pode ser feito anexando uma política de confiança à suo perfil de serviço do IAM. Para obter informações sobre como fazer isso, consulte [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md).
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:AmazonRekognition*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "arn:aws:kinesis:*:*:stream/AmazonRekognition*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetMedia"
],
"Resource": "*"
}
]
}
```
------
## Política gerenciada pela AWS: AmazonRekognitionCustomLabelsFullAccess
Esta política é para Amazon Rekognition Custom Labels; usuários. Use a AmazonRekognitionCustomLabelsFullAccess política para permitir aos usuários acesso total à API Amazon Rekognition Custom Labels e acesso total aos buckets do console criados pelo console Amazon Rekognition Custom Labels.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::*custom-labels*"
},
{
"Effect": "Allow",
"Action": [
"rekognition:CopyProjectVersion",
"rekognition:CreateProject",
"rekognition:CreateProjectVersion",
"rekognition:StartProjectVersion",
"rekognition:StopProjectVersion",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DeleteProject",
"rekognition:DeleteProjectVersion",
"rekognition:TagResource",
"rekognition:UntagResource",
"rekognition:ListTagsForResource",
"rekognition:CreateDataset",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset",
"rekognition:UpdateDatasetEntries",
"rekognition:DistributeDatasetEntries",
"rekognition:DeleteDataset",
"rekognition:PutProjectPolicy",
"rekognition:ListProjectPolicies",
"rekognition:DeleteProjectPolicy"
],
"Resource": "*"
}
]
}
```
------
## Atualizações do Amazon Rekognition para políticas gerenciadas AWS
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Rekognition desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS na página de histórico de documentos do Amazon Rekognition.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Ações envolvendo trabalhos de análise de mídia foram adicionadas à seguinte política gerenciada:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | O Amazon Rekognition adicionou as seguintes ações à política gerenciada AmazonRekognitionReadOnlyAccess: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | 31 de outubro de 2023 |
| As ações que envolvem o gerenciamento de usuários foram adicionadas à seguinte política gerenciada:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | O Amazon Rekognition adicionou as seguintes ações à política gerenciada AmazonRekognitionReadOnlyAccess: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | 12 de junho de 2023 |
| As ações ProjectPolicy e a cópia personalizada do modelo de etiquetas foram adicionadas às seguintes políticas gerenciadas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | O Amazon Rekognition adicionou as seguintes ações às políticas gerenciadas AmazonRekognitionCustomLabelsFullAccess e AmazonRekognitionFullAccess: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | 21 de julho de 2022 |
| As ações ProjectPolicy e a cópia personalizada do modelo de etiquetas foram adicionadas às seguintes políticas gerenciadas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | O Amazon Rekognition adicionou as seguintes ações à política gerenciada AmazonRekognitionReadOnlyAccess : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | 21 de julho de 2022 |
| Atualização do gerenciamento do conjunto de dados para as seguintes políticas gerenciadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | O Amazon Rekognition adicionou as seguintes ações ao,, e gerenciou as políticas AmazonRekognitionReadOnlyAccess AmazonRekognitionFullOnlyAccess AmazonRekognitionCustomLabelsFullAccess [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/rekognition/latest/dg/security-iam-awsmanpol.html) | 1 de novembro de 2021 |
| Atualização de marcação para [Política gerenciada pela AWS: AmazonRekognitionReadOnlyAccess](#security-iam-awsmanpol-AmazonRekognitionReadOnlyAccess) e [Política gerenciada pela AWS: AmazonRekognitionFullAccess](#security-iam-awsmanpol-AmazonRekognitionFullAccess) | O Amazon Rekognition adicionou novas ações de marcação às políticas e. AmazonRekognitionFullAccess AmazonRekognitionReadOnlyAccess | 2 de abril de 2021 |
| O Amazon Rekognition começou a monitorar as alterações | O Amazon Rekognition começou a monitorar as mudanças em suas políticas gerenciadas. AWS | 2 de abril de 2021 |
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Rekognition em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
# Usar o console do Amazon Rekognition
Com exceção do recurso de rótulos personalizados, o Amazon Rekognition não exige nenhuma permissão adicional ao usar o console do Amazon Rekognition. Para obter informações sobre Amazon Rekognition Custom Labels, consulte [Etapa 5: Configure as permissões do console de Amazon Rekognition Custom Labels.](https://docs.aws.amazon.com/rekognition/latest/dg/su-console-policy.html)
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que corresponderem a operação da API que você estiver tentando executar.
# Exemplos de uso de políticas baseadas em identidade do Amazon Rekognition
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do Amazon Rekognition. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Exemplo de políticas de Amazon Rekognition Custom Labels](#security_iam_id-based-policy-examples-custom-labels)
+ [Exemplo 1: Permitir que um usuário acesse os recursos somente para leitura](#security_iam_id-based-policy-examples-read-only)
+ [Exemplo 2: Permitir que um usuário tenha acesso total aos recursos](#security_iam_id-based-policy-examples-full-acess)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Exemplo de políticas de Amazon Rekognition Custom Labels
Você pode criar políticas baseadas em identidade para Amazon Rekognition Custom Labels. Para obter mais informações, consulte [Segurança](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/sc-introduction.html).
## Exemplo 1: Permitir que um usuário acesse os recursos somente para leitura
O exemplo a seguir concede acesso somente para leitura aos recursos do Amazon Rekognition.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:CompareFaces",
"rekognition:DetectFaces",
"rekognition:DetectLabels",
"rekognition:ListCollections",
"rekognition:ListFaces",
"rekognition:SearchFaces",
"rekognition:SearchFacesByImage",
"rekognition:DetectText",
"rekognition:GetCelebrityInfo",
"rekognition:RecognizeCelebrities",
"rekognition:DetectModerationLabels",
"rekognition:GetLabelDetection",
"rekognition:GetFaceDetection",
"rekognition:GetContentModeration",
"rekognition:GetPersonTracking",
"rekognition:GetCelebrityRecognition",
"rekognition:GetFaceSearch",
"rekognition:GetTextDetection",
"rekognition:GetSegmentDetection",
"rekognition:DescribeStreamProcessor",
"rekognition:ListStreamProcessors",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DetectProtectiveEquipment",
"rekognition:ListTagsForResource",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset"
],
"Resource": "*"
}
]
}
```
------
## Exemplo 2: Permitir que um usuário tenha acesso total aos recursos
O exemplo a seguir concede acesso total aos recursos do Amazon Rekognition.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:*"
],
"Resource": "*"
}
]
}
```
------
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Exemplos de políticas baseadas em recursos do Amazon Rekognition
Os Amazon Rekognition Custom Labels usam políticas baseadas em recursos, conhecidas como *políticas de projeto*, para gerenciar permissões de cópia para uma versão modelo.
Uma política de projeto concede ou nega permissão para copiar uma versão do modelo de um projeto de origem para um projeto de destino. Você precisa de uma política de projeto se o projeto de destino estiver em uma AWS conta diferente ou se quiser restringir o acesso a uma AWS conta. Por exemplo, talvez queira negar permissões de cópia para uma função específica do IAM. Para obter mais informações, consulte [Copiar um modelo](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/md-copy-model-overview.html).
## Dar permissão para copiar uma versão do modelo
O exemplo a seguir permite que a entidade principal `arn:aws:iam::123456789012:role/Admin` copie a versão do modelo `arn:aws:rekognition:us-east-1:123456789012:project/my_project/version/test_1/1627045542080`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::123456789012:role/Admin"
},
"Action":"rekognition:CopyProjectVersion",
"Resource":"arn:aws:rekognition:us-east-1:123456789012:project/my_project/version/test_1/1627045542080"
}
]
}
```
------
# Solução de problemas de identidade e acesso do Amazon Rekognition
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon Rekognition e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação no Amazon Rekognition](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Sou administrador e quero permitir que outras pessoas acessem o Amazon Rekognition](#security_iam_troubleshoot-admin-delegate)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Rekognition](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no Amazon Rekognition
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O erro de exemplo a seguir ocorre quando o usuário `mateojackson` do IAM tenta usar o console para visualizar detalhes sobre um *widget*, mas não tem as permissões `rekognition:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: rekognition:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-widget` usando a ação `rekognition:GetWidget`.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a ação `iam:PassRole`, suas políticas devem ser atualizadas para permitir que você passe uma função para o Amazon Rekognition.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no Amazon Rekognition. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Sou administrador e quero permitir que outras pessoas acessem o Amazon Rekognition
Para permitir que outras pessoas acessem o Amazon Rekognition, você deve conceder permissão às pessoas ou aplicações que precisam de acesso. Se você estiver usando o Centro de Identidade do AWS IAM para gerenciar pessoas e aplicações, atribua conjuntos de permissões a usuários ou grupos para definir o nível de acesso. Os conjuntos de permissões criam e atribuem automaticamente políticas do IAM aos perfis do IAM associados à pessoa ou aplicação. Para ter mais informações, consulte [Conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
Se você não estiver usando o Centro de Identidade do IAM, deverá criar entidades do IAM (usuários ou perfis) para as pessoas ou aplicações que precisam de acesso. Em seguida, você deve anexar uma política à entidade que concede a ela as permissões corretas no Amazon Rekognition. Depois que as permissões forem concedidas, forneça as credenciais ao usuário ou desenvolvedor da aplicação. Eles usarão essas credenciais para acessar AWS. Para saber mais sobre como criar grupos, políticas, permissões e usuários do IAM, consulte [Identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
## Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Rekognition
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Rekognition oferece suporte a esses recursos, consulte [Como o Amazon Rekognition funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.