As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança em Explorador de recursos da AWS
<a name="security"></a>

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como a segurança da nuvem e a segurança na nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que é executada Serviços da AWS no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam ao Resource Explorer, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS service (Serviço da AWS) que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e os regulamentos aplicáveis 

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar Explorador de recursos da AWS. Ela mostra como configurar o Explorador de Recursos para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros Serviços da AWS que o ajudem a monitorar e proteger seus recursos do Resource Explorer.

**Topics**
+ [Atualize IAM as políticas para IPv6](arex-security-ipv6-upgrade.md)
+ [Gerenciamento de identidade e acesso](security_iam.md)
+ [Proteção de dados](data-protection.md)
+ [Validação de conformidade](compliance-validation.md)
+ [Resiliência](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura](infrastructure-security.md)

# Atualize IAM as políticas para IPv6
<a name="arex-security-ipv6-upgrade"></a>

Explorador de recursos da AWS os clientes usam IAM políticas para definir um intervalo permitido de endereços IP e impedir que qualquer endereço IP fora do intervalo configurado possa acessar o Resource ExplorerAPIs.

O explorador de * recursos-2.*region*O * domínio.api.aws em que o Resource Explorer APIs está hospedado está sendo atualizado para oferecer suporteIPv6, além do. IPv4 

As políticas de filtragem de endereços IP que não são atualizadas para lidar com IPv6 endereços podem fazer com que os clientes percam o acesso aos recursos no API domínio do Resource Explorer. 

## Clientes afetados pela atualização de IPv4 para IPv6
<a name="customers-impacted"></a>

Clientes que estão usando endereçamento duplo com políticas contendo *aws: sourceIp* são afetados por essa atualização. O endereçamento duplo significa que a rede suporta IPv4 tanto IPv6 e. 

Se você estiver usando endereçamento duplo, deverá atualizar suas IAM políticas atualmente configuradas com endereços de IPv4 formato para incluir endereços de IPv6 formato. 

Para obter ajuda com problemas de acesso, entre em contato com [Suporte](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).

**nota**  
Os seguintes clientes *não* são afetados por essa atualização:  
Clientes que estão *apenas* em IPv4 redes.
Clientes que estão *apenas* em IPv6 redes.

## O que éIPv6?
<a name="what-is-ipv6"></a>

IPv6é o padrão IP de próxima geração destinado a ser substituído eventualmenteIPv4. A versão anterior,IPv4, usa um esquema de endereçamento de 32 bits para suportar 4,3 bilhões de dispositivos. IPv6em vez disso, usa endereçamento de 128 bits para suportar aproximadamente 340 trilhões de trilhões de trilhões (ou 2 até a 128ª potência) de dispositivos. 

```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```

## Atualizando uma IAM política para IPv6
<a name="updating-for-ipv6"></a>

IAMas políticas são usadas atualmente para definir um intervalo permitido de endereços IP usando o `aws:SourceIp` filtro. 

O endereçamento duplo suporta tanto o IPV6 tráfego IPv4 quanto o tráfego. Se sua rede usa endereçamento duplo, você deve garantir que todas as IAM políticas usadas para filtragem de endereços IP sejam atualizadas para incluir intervalos de IPv6 endereços.

Por exemplo, essa política de bucket do Amazon S3 identifica os intervalos de IPv4 endereços permitidos `192.0.2.0.*` e `203.0.113.0.*` no elemento. `Condition` 

```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

Para atualizar essa política, o `Condition` elemento da política é atualizado para incluir intervalos de IPv6 endereços `2001:DB8:1234:5678::/64` `2001:cdba:3257:8593::/64` e.

**nota**  
FAÇA NOT REMOVE os IPv4 endereços existentes porque eles são necessários para compatibilidade com versões anteriores.

```
"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
```

Para obter mais informações sobre como gerenciar permissões de acesso comIAM, consulte [Políticas gerenciadas e políticas embutidas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) no *Guia do AWS Identity and Access Management usuário*.

## Verifique se seu cliente pode oferecer suporte IPv6
<a name="testing-connection"></a>

Clientes usando o *resource-explorer-2. Recomenda-se que o endpoint \$1region\$1 .api.aws* verifique se seus clientes podem acessar outros AWS service (Serviço da AWS) endpoints que já estão habilitados. IPv6 As etapas a seguir descrevem como verificar esses endpoints. 

*Este exemplo usa Linux e curl versão 8.6.0 e usa os endpoints de [serviço Amazon Athena, que IPv6 habilitaram endpoints localizados](https://docs.aws.amazon.com/general/latest/gr/athena.html) no domínio api.aws.* 

**nota**  
Mude Região da AWS para a mesma região em que o cliente está localizado. Neste exemplo, usamos o `us-east-1` endpoint Leste dos EUA (Norte da Virgínia).

1. Determine se o endpoint é resolvido com um IPv6 endereço usando o comando curl a seguir. 

   ```
   dig +short AAAA athena.us-east-1.api.aws
   2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
   2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
   ```

1. Determine se a rede cliente pode fazer uma conexão IPv6 usando o seguinte comando curl. 

   ```
   curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
   
   remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   response code: 404
   ```

   Se um IP remoto foi identificado **e** o código de resposta não`0`, uma conexão de rede foi estabelecida com sucesso com o endpoint usandoIPv6.

Se o IP remoto estiver em branco ou o código de resposta estiver`0`, a rede do cliente ou o caminho da rede até o endpoint será somente IPv4 -. Você pode verificar essa configuração com o seguinte comando curl. 

```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 3.210.103.49
response code: 404
```

Se um IP remoto foi identificado **e** o código de resposta não`0`, uma conexão de rede foi estabelecida com sucesso com o endpoint usandoIPv4. O IP remoto deve ser um IPv4 endereço porque o sistema operacional deve selecionar o protocolo válido para o cliente. Se o IP remoto não for um IPv4 endereço, use o comando a seguir para forçar o uso IPv4 do curl. 

```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 35.170.237.34
response code: 404
```

# Gerenciamento de identidade e acesso para Explorador de recursos da AWS
<a name="security_iam"></a>

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. IAMos administradores controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar os recursos do Resource Explorer. IAMé um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticando com identidades](#security_iam_authentication)
+ [Gerenciando acesso usando políticas](#security_iam_access-manage)
+ [Como o Resource Explorer funciona com IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade do Explorador de recursos da AWS](security_iam_id-based-policy-examples.md)
+ [Exemplo de políticas de controle de serviço para o AWS Organizations Resource Explorer](security_iam_scp.md)
+ [AWS políticas gerenciadas para Explorador de recursos da AWS](security_iam_awsmanpol.md)
+ [Usar perfis vinculados ao serviço para o Explorador de Recursos](security_iam_service-linked-roles.md)
+ [Solução de problemas de Explorador de recursos da AWS permissões](security_iam_troubleshoot.md)

## Público
<a name="security_iam_audience"></a>

A forma como você usa AWS Identity and Access Management (IAM) difere, dependendo do trabalho que você faz no Resource Explorer.

**Usuário do serviço**: se você usar o serviço Explorador de Recursos para fazer seu trabalho, o administrador fornecerá as credenciais e as permissões necessárias. À medida que você usar mais atributos do Explorador de Recursos para fazer seu trabalho, talvez precise de permissões adicionais. Entender como o acesso é gerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se não for possível acessar um atributo no Explorador de Recursos, consulte [Solução de problemas de Explorador de recursos da AWS permissões](security_iam_troubleshoot.md).

**Administrador do serviço**: se você for o responsável pelos recursos do Explorador de Recursos na sua empresa, provavelmente terá acesso total aos recursos do Explorador de Recursos. Cabe a você determinar quais recursos e funcionalidades do Explorador de Recursos os usuários do serviço devem acessar. Em seguida, você deve enviar solicitações ao IAM administrador para alterar as permissões dos usuários do serviço. Revise as informações nesta página para entender os conceitos básicos doIAM. Para saber mais sobre como sua empresa pode usar o IAM Resource Explorer, consulte[Como o Resource Explorer funciona com IAM](security_iam_service-with-iam.md).

**IAMadministrador** — Se você for IAM administrador, talvez queira saber detalhes sobre como criar políticas para gerenciar o acesso ao Resource Explorer. Para ver exemplos de políticas baseadas em identidade do Resource Explorer que você pode usar emIAM, consulte. [Exemplos de políticas baseadas em identidade do Explorador de recursos da AWS](security_iam_id-based-policy-examples.md)

## Autenticando com identidades
<a name="security_iam_authentication"></a>

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar *autenticado* (conectado AWS) como IAM usuário ou assumindo uma IAM função. Usuário raiz da conta da AWS

Você pode entrar AWS como uma identidade federada usando credenciais fornecidas por meio de uma fonte de identidade. Centro de Identidade do AWS IAM Os usuários (do IAM Identity Center), a autenticação de login único da sua empresa e suas credenciais do Google ou do Facebook são exemplos de identidades federadas. Quando você entra como uma identidade federada, seu administrador configurou previamente a federação de identidades usando IAM funções. Ao acessar AWS usando a federação, você está assumindo indiretamente uma função.

Dependendo do tipo de usuário que você é, você pode entrar no Console de gerenciamento da AWS ou no portal de AWS acesso. Para obter mais informações sobre como fazer login em AWS, consulte [Como fazer login Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do Início de Sessão da AWS usuário*.

Se você acessar AWS programaticamente, AWS fornece um kit de desenvolvimento de software (SDK) e uma interface de linha de comando (CLI) para assinar criptograficamente suas solicitações usando suas credenciais. Se você não usa AWS ferramentas, você mesmo deve assinar as solicitações. Para obter mais informações sobre como usar o método recomendado para você mesmo assinar solicitações, consulte [Assinar AWS API solicitações](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) no *Guia IAM do usuário*.

Independente do método de autenticação usado, também pode ser exigido que você forneça informações adicionais de segurança. Por exemplo, AWS recomenda que você use a autenticação multifator (MFA) para aumentar a segurança da sua conta. Para saber mais, consulte [Autenticação multifator](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) no *Guia Centro de Identidade do AWS IAM do usuário* e [Uso da autenticação multifator (MFA) AWS no](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) Guia do *IAMusuário*.

### Conta da AWS usuário root
<a name="security_iam_authentication-rootuser"></a>

 Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos Serviços da AWS os recursos da conta. Essa identidade é chamada de *usuário Conta da AWS raiz* e é acessada fazendo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para ver a lista completa de tarefas que exigem que você faça login como usuário raiz, consulte [Tarefas que exigem credenciais de usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do IAM usuário*. 

### Usuários e grupos
<a name="security_iam_authentication-iamuser"></a>

Um *[IAMusuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade dentro da sua Conta da AWS que tem permissões específicas para uma única pessoa ou aplicativo. Sempre que possível, recomendamos confiar em credenciais temporárias em vez de criar IAM usuários que tenham credenciais de longo prazo, como senhas e chaves de acesso. No entanto, se você tiver casos de uso específicos que exijam credenciais de longo prazo com IAM os usuários, recomendamos que você alterne as chaves de acesso. Para obter mais informações, consulte [Alterne as chaves de acesso regularmente para casos de uso que exigem credenciais de longo prazo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) no Guia do *IAMusuário*.

Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) é uma identidade que especifica uma coleção de IAM usuários. Não é possível fazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você pode ter um grupo chamado *IAMAdmins*e conceder a esse grupo permissões para administrar IAM recursos.

Usuários são diferentes de perfis. Um usuário é exclusivamente associado a uma pessoa ou a uma aplicação, mas um perfil pode ser assumido por qualquer pessoa que precisar dele. Os usuários têm credenciais permanentes de longo prazo, mas os perfis fornecem credenciais temporárias. Para saber mais, consulte [Quando criar um IAM usuário (em vez de uma função)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) no *Guia do IAM usuário*.

### Funções
<a name="security_iam_authentication-iamrole"></a>

Uma *[IAMfunção](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade dentro da sua Conta da AWS que tem permissões específicas. É semelhante a um IAM usuário, mas não está associado a uma pessoa específica. Você pode assumir temporariamente uma IAM função no Console de gerenciamento da AWS [trocando de funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Você pode assumir uma função chamando uma AWS API operação AWS CLI or ou usando uma personalizadaURL. Para obter mais informações sobre métodos de uso de funções, consulte [Métodos para assumir uma função](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Guia IAM do usuário*.

IAMfunções com credenciais temporárias são úteis nas seguintes situações:
+ **Acesso de usuário federado**: para atribuir permissões a identidades federadas, você pode criar um perfil e definir permissões para ele. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas pelo mesmo. Para obter informações sobre funções para federação, consulte [Criação de uma função para um provedor de identidade terceirizado](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia IAM do usuário*. Se você usa o IAM Identity Center, configura um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o IAM Identity Center correlaciona o conjunto de permissões a uma função em. IAM Para obter informações sobre conjuntos de permissões, consulte [Conjuntos de Permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Manual do Usuário do Centro de Identidade do AWS IAM *. 
+ **Permissões temporárias IAM** de IAM usuário — Um usuário ou função pode assumir uma IAM função para assumir temporariamente permissões diferentes para uma tarefa específica.
+ **Acesso entre contas** — Você pode usar uma IAM função para permitir que alguém (um diretor confiável) em uma conta diferente acesse recursos em sua conta. Os perfis são a principal forma de conceder acesso entre contas. No entanto, com alguns Serviços da AWS, você pode anexar uma política diretamente a um recurso (em vez de usar uma função como proxy). *Para saber a diferença entre funções e políticas baseadas em recursos para acesso entre contas, consulte Acesso a [recursos entre contas IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) do IAM usuário.*
+ **Acesso entre serviços** — Alguns Serviços da AWS usam recursos em outros Serviços da AWS. Por exemplo, quando você faz uma chamada em um serviço, é comum que esse serviço execute aplicativos na Amazon EC2 ou armazene objetos no Amazon S3. Um serviço pode fazer isso usando as permissões do principal de chamada, usando um perfil de serviço ou um perfil vinculado a serviço. 
  + **Sessões de acesso direto (FAS)** — Quando você usa um IAM usuário ou uma função para realizar ações em AWS, você é considerado principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. FASusa as permissões do diretor chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) para fazer solicitações aos serviços posteriores. FASas solicitações são feitas somente quando um serviço recebe uma solicitação que requer interações com outros Serviços da AWS ou com recursos para ser concluída. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer FAS solicitações, consulte [Encaminhar sessões de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 
  + **Função** de serviço — Uma função de serviço é uma [IAMfunção](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para realizar ações em seu nome. Um IAM administrador pode criar, modificar e excluir uma função de serviço internamenteIAM. Para obter mais informações, consulte [Criação de uma função para delegar permissões a uma AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do IAM usuário*. 
  + **Função vinculada ao serviço — Uma função** vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode presumir a função de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um IAM administrador pode visualizar, mas não editar, as permissões das funções vinculadas ao serviço. 
+ **Aplicativos em execução na Amazon EC2** — Você pode usar uma IAM função para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma EC2 instância e fazendo AWS CLI AWS API solicitações. Isso é preferível ao armazenamento de chaves de acesso na EC2 instância. Para atribuir uma AWS função a uma EC2 instância e disponibilizá-la para todos os aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém a função e permite que os programas em execução na EC2 instância recebam credenciais temporárias. Para obter mais informações, consulte [Como usar uma IAM função para conceder permissões a aplicativos executados em EC2 instâncias da Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) no *Guia IAM do usuário*. 

Para saber se usar IAM funções ou IAM usuários, consulte [Quando criar uma IAM função (em vez de um usuário)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) no *Guia do IAM usuário*.

## Gerenciando acesso usando políticas
<a name="security_iam_access-manage"></a>

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política é um objeto AWS que, quando associada a uma identidade ou recurso, define suas permissões. AWS avalia essas políticas quando um principal (usuário, usuário raiz ou sessão de função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada AWS como JSON documentos. Para obter mais informações sobre a estrutura e o conteúdo dos documentos de JSON política, consulte [Visão geral das JSON políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia IAM do usuário*.

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

Por padrão, usuários e funções não têm permissões. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

IAMas políticas definem permissões para uma ação, independentemente do método usado para realizar a operação. Por exemplo, suponha que você tenha uma política que permite a ação `iam:GetRole`. Um usuário com essa política pode obter informações de função do Console de gerenciamento da AWS AWS CLI, do ou do AWS API.

### Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

Políticas baseadas em identidade são documentos de políticas de JSON permissões que você pode anexar a uma identidade, como um IAM usuário, grupo de usuários ou função. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Criação de IAM políticas no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) do *IAMusuário*.

As políticas baseadas em identidade podem ser categorizadas ainda adicionalmente como *políticas em linha* ou *políticas gerenciadas*. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas autônomas que você pode associar a vários usuários, grupos e funções em seu Conta da AWS. As políticas AWS gerenciadas incluem políticas gerenciadas e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte [Escolha entre políticas gerenciadas e políticas em linha no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) do *IAMusuário*.

### Políticas baseadas no recurso
<a name="security_iam_access-manage-resource-based-policies"></a>

Políticas baseadas em recursos são documentos JSON de política que você anexa a um recurso. Exemplos de políticas baseadas em recursos são as políticas de *confiança de IAM funções e as políticas* de bucket do Amazon *S3*. Em serviços que suportem políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o recurso ao qual a política está anexada, a política define quais ações um principal especificado pode executar nesse recurso e em que condições. Você deve [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas de uma política baseada IAM em recursos.

Explorador de recursos da AWS não oferece suporte a políticas baseadas em recursos.

### Listas de controle de acesso (ACLs)
<a name="security_iam_access-manage-acl"></a>

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLssão semelhantes às políticas baseadas em recursos, embora não usem o formato de documento JSON de política.

Amazon S3, AWS WAF, e Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber maisACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.

Explorador de recursos da AWS não suportaACLs.

### Outros tipos de política
<a name="security_iam_access-manage-other-policies"></a>

AWS oferece suporte a tipos de políticas adicionais menos comuns. Esses tipos de política podem definir o máximo de permissões concedidas a você pelos tipos de política mais comuns. 
+ **Limites** de permissões — Um limite de permissões é um recurso avançado no qual você define as permissões máximas que uma política baseada em identidade pode conceder a uma IAM entidade (IAMusuário ou função). É possível definir um limite de permissões para uma entidade. As permissões resultantes são a interseção das políticas baseadas em identidade de uma entidade com seus limites de permissões. As políticas baseadas em recurso que especificam o usuário ou o perfil no campo `Principal` não são limitadas pelo limite de permissões. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para IAM entidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia IAM do usuário*.
+ **Políticas de controle de serviço (SCPs)** — SCPs são JSON políticas que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em AWS Organizations. AWS Organizations é um serviço para agrupar e gerenciar centralmente vários Contas da AWS que sua empresa possui. Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as suas contas. Os SCP limites de permissões para entidades nas contas dos membros, incluindo cada uma Usuário raiz da conta da AWS. Para obter mais informações sobre Organizations eSCPs, consulte [Políticas de controle de serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia AWS Organizations do Usuário*.
+ **Políticas de sessão**: são políticas avançadas que você transmite como um parâmetro quando cria de forma programática uma sessão temporária para um perfil ou um usuário federado. As permissões da sessão resultante são a interseção das políticas baseadas em identidade do usuário ou do perfil e das políticas de sessão. As permissões também podem ser provenientes de uma política baseada em atributo. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia IAM do usuário*. 

### Vários tipos de política
<a name="security_iam_access-manage-multiple-policies"></a>

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de política estão envolvidos, consulte [Lógica de avaliação](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) de políticas no *Guia IAM do usuário*.

# Como o Resource Explorer funciona com IAM
<a name="security_iam_service-with-iam"></a>

Antes de usar IAM para gerenciar o acesso ao Explorador de recursos da AWS, você deve entender quais IAM recursos estão disponíveis para uso com o Resource Explorer. Para obter uma visão de alto nível de como o Resource Explorer e outros Serviços da AWS trabalham comIAM, consulte [Serviços da AWS esse trabalho IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do IAM usuário*.

**Topics**
+ [Políticas baseadas em identidade do Explorador de Recursos](#security_iam_service-with-iam-id-based-policies)
+ [Autorização baseada em tags do Explorador de Recursos](#security_iam_service-with-iam-tags)
+ [IAMFunções do Resource Explo](#security_iam_service-with-iam-roles)

Como qualquer outro AWS service (Serviço da AWS), o Resource Explorer exige permissões para usar suas operações para interagir com seus recursos. Para pesquisar, os usuários devem ter permissão para recuperar os detalhes de uma visualização e também para pesquisar usando a visualização. Para criar índices ou visualizações, ou para modificá-los ou qualquer outra configuração do Explorador de Recursos, você deve ter permissões adicionais. 

Atribua políticas IAM baseadas em identidade que concedam essas permissões aos diretores apropriadosIAM. O Explorador de Recursos fornece [várias políticas gerenciadas](security_iam_awsmanpol.md) que predefinem conjuntos comuns de permissões. Você pode atribuí-los aos seus IAM diretores.

## Políticas baseadas em identidade do Explorador de Recursos
<a name="security_iam_service-with-iam-id-based-policies"></a>

Com políticas IAM baseadas em identidade, você pode especificar ações permitidas ou negadas em relação a recursos específicos e as condições sob as quais essas ações são permitidas ou negadas. O Explorador de Recursos é compatível com ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos que você usa em uma JSON política, consulte a [referência IAM JSON de elementos de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia IAM do usuário*.

### Ações
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.

O `Action` elemento de uma JSON política descreve as ações que você pode usar para permitir ou negar acesso em uma política. As ações de política geralmente têm o mesmo nome da AWS API operação associada. Há algumas exceções, como *ações somente com permissão* que não têm uma operação correspondente. API Algumas operações também exigem várias ações em uma política. Essas ações adicionais são chamadas de *ações dependentes*.

Incluem ações em uma política para conceder permissões para executar a operação associada.

As ações de política no Explorador de Recursos usam o prefixo do serviço `resource-explorer-2` antes da ação. Por exemplo, para conceder a alguém permissão para pesquisar usando uma exibição, com a `Search` API operação Resource Explorer, você inclui a `resource-explorer-2:Search` ação em uma política atribuída a esse principal. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Explorador de Recursos define seu próprio conjunto de ações que descrevem as tarefas que você pode realizar com esse serviço. Eles se alinham às API operações do Resource Explorer.

Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme exibido no exemplo a seguir.

```
"Action": [
      "resource-explorer-2:action1",
      "resource-explorer-2:action2"
]
```

É possível especificar várias ações usando caracteres curinga (`*`). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a ação a seguir:

```
"Action": "resource-explorer-2:Describe*"
```

Para ver uma lista das ações do Explorador de Recursos, consulte [Ações definidas pelo Explorador de recursos da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) na *Referência de autorização do serviço da AWS *.

### Recursos
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.

O elemento `Resource` JSON de política especifica o objeto ou objetos aos quais a ação se aplica. As instruções devem incluir um elemento `Resource` ou `NotResource`. Como prática recomendada, especifique um recurso usando seu [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Isso pode ser feito para ações que oferecem compatibilidade com um tipo de recurso específico, conhecido como *permissões em nível de recurso*.

Para ações que não oferecem compatibilidade com permissões em nível de recurso, como operações de listagem, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```

#### Visão
<a name="resource-type-view"></a>

O principal tipo de recurso do Explorador de Recursos é a *visualização*. 

O recurso de visualização do Resource Explorer tem o seguinte ARN formato.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```

O ARN formato do Resource Explorer é mostrado no exemplo a seguir.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

**nota**  
O ARN for a view inclui um identificador exclusivo no final para garantir que cada visualização seja exclusiva. Isso ajuda a garantir que uma IAM política que concedeu acesso a uma exibição antiga excluída não possa ser usada para conceder acesso acidentalmente a uma nova exibição que por acaso tenha o mesmo nome da exibição antiga. Cada nova visualização recebe uma ID nova e exclusiva no final para garantir que nunca ARNs sejam reutilizadas.

Para obter mais informações sobre o formato deARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Você usa políticas IAM baseadas em identidade atribuídas aos IAM diretores e especifica a exibição como a. `Resource` Isso permite que você conceda acesso de pesquisa a um conjunto de entidades principais usando uma visualização e acesso a um conjunto diferente de entidades principais usando uma visualização completamente diferente. 

Por exemplo, para conceder permissão a uma única visualização nomeada `ProductionResourcesView` em uma declaração de IAM política, primeiro obtenha o [nome do recurso Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) da visualização. Você pode usar a página **[Visualizações](https://console.aws.amazon.com/resource-explorer/home#/views)** no console para visualizar os detalhes de uma visualização ou invocar a `[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)` operação para recuperar a visualização completa ARN desejada. Em seguida, você o inclui em uma instrução de política, como a mostrada no exemplo a seguir, que concede permissão para modificar a definição de apenas uma visualização.

```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/<unique-id>"
```

Para permitir as ações em ***todas as*** visualizações que pertencem a uma conta específica, use o caractere curinga (`*`) na parte relevante doARN. O exemplo a seguir concede permissão de pesquisa a todas as visualizações em uma Região da AWS e uma conta especificadas.

```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```

Algumas ações do Explorador de Recursos, como `CreateView`, não são executadas em um recurso específico porque, como no exemplo a seguir, o recurso ainda não existe. Nesses casos, você deve usar o caractere curinga (`*`) para todo o recursoARN.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```

 Se você especificar um caminho que termine com um caractere curinga, poderá restringir a operação `CreateView` à criação de visualizações apenas com o caminho aprovado. O exemplo de política a seguir mostra como permitir que a entidade principal só crie visualizações no caminho `view/ProductionViews/`.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```

#### Índice
<a name="resource-type-index"></a>

Outro tipo de recurso que você pode usar para controlar o acesso à funcionalidade do Explorador de Recursos é o índice.

A maneira principal de interagir com o índice é ativar o Explorador de Recursos em uma Região da AWS criando um índice nessa região. Depois disso, você faz quase todo o resto interagindo com a visualização.

Uma das utilidades do índice é permitir que você controle quem pode ***criar*** visualizações em cada região.

**nota**  
Depois de criar uma exibição, IAM autoriza todas as outras ações ARN de exibição somente em relação à exibição e não ao índice.

O índice tem um [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)que você pode referenciar em uma política de permissão. Um índice do Resource Explorer ARN tem o seguinte formato.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```

Veja o exemplo a seguir de um índice do Resource ExplorerARN.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```

Algumas ações do Explorador de Recursos verificam a autenticação em relação a vários tipos de recursos. Por exemplo, a [CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)operação autoriza tanto o ARN índice quanto a exibição, como ocorrerá após a criação ARN do Resource Explorer. Para conceder permissão aos administradores para gerenciar o serviço Explorador de Recursos, você pode usar `"Resource": "*"` para autorizar ações para qualquer recurso, índice ou visualização. 

Como alternativa, você pode restringir uma entidade principal a só poder trabalhar com determinados recursos do Explorador de Recursos. Por exemplo, para limitar as ações somente aos recursos do Resource Explorer em uma região especificada, você pode incluir um ARN modelo que corresponda ao índice e à exibição, mas que destaque somente uma única região. No exemplo a seguir, o ARN corresponde aos índices ou às visualizações somente na `us-west-2` região da conta especificada. Especifique a Região no terceiro campo doARN, mas use um caractere curinga (\$1) no campo final para corresponder a qualquer tipo de recurso.

```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```

Para obter mais informações, consulte [Ações definidas pelo Explorador de recursos da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) na *Referência de autorização do serviço da AWS *. Para saber com quais ações você pode especificar cada recurso, consulte [Ações definidas por Explorador de recursos da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions). ARN

### Chaves de condição
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

O Explorador de Recursos não fornece nenhuma chave de condição específica do serviço, mas é compatível com o uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia IAM do usuário*.

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.

O elemento `Condition` (ou *bloco* `Condition`) permite que você especifique condições nas quais uma instrução estiver em vigor. O elemento `Condition` é opcional. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. 

Se você especificar vários elementos `Condition` em uma instrução ou várias chaves em um único `Condition` elemento, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma `OR` operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.

 Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, você pode conceder permissão a um IAM usuário para acessar um recurso somente se ele estiver marcado com o nome de IAM usuário. Para obter mais informações, consulte [elementos de IAM política: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia IAM do usuário*. 

AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia IAM do usuário*.

Para ver uma lista de chaves de condição do CloudTrail, consulte [Chaves de condição do Explorador de recursos da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) na *Referência de autorização do serviço da AWS *. Para saber com quais ações e recursos é possível usar uma chave de condição, consulte [Ações definidas pelo Explorador de recursos da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).

### Exemplos
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Para ver exemplos das políticas baseadas em identidade do Explorador de Recursos, consulte [Exemplos de políticas baseadas em identidade do Explorador de recursos da AWS](security_iam_id-based-policy-examples.md).

## Autorização baseada em tags do Explorador de Recursos
<a name="security_iam_service-with-iam-tags"></a>

Você pode anexar tags aos recursos do Explorador de Recursos ou passar as tags em uma solicitação do Explorador de Recursos. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter mais informações sobre o uso de tags em recursos do Explorador de Recursos, consulte [Adicionar tags a visualizações](manage-views-tag.md). Para usar a autorização baseada em tags no Explorador de Recursos, consulte [Usar autorização baseada em tags para controlar o acesso às visualizações](manage-views-grant-access.md#manage-views-grant-access-abac).

## IAMFunções do Resource Explo
<a name="security_iam_service-with-iam-roles"></a>

Uma [IAMfunção](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma principal dentro da sua Conta da AWS que tem permissões específicas.

### Usar credenciais temporárias com o Explorador de Recursos
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Você pode usar credenciais temporárias para entrar com a federação, assumir uma IAM função ou assumir uma função entre contas. Você obtém credenciais de segurança temporárias chamando API operações AWS Security Token Service (AWS STS) como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

O Explorador de Recursos é compatível com o uso de credenciais temporárias. 

### Funções vinculadas a serviço
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem Serviços da AWS acessar recursos em outros serviços para concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua IAM conta e são de propriedade do serviço. Um IAM administrador pode visualizar, mas não editar, as permissões para funções vinculadas ao serviço.

O Explorador de Recursos usa perfis vinculados ao serviço para realizar seu trabalho. Para obter detalhes sobre perfis vinculadas ao serviço, consulte [Usar perfis vinculados ao serviço para o Explorador de Recursos](security_iam_service-linked-roles.md).

# Exemplos de políticas baseadas em identidade do Explorador de recursos da AWS
<a name="security_iam_id-based-policy-examples"></a>

Por padrão, as entidades principais do AWS Identity and Access Management (IAM), como perfis, grupos e usuários, não têm permissão para criar ou modificar recursos do Explorador de Recursos. Elas também não podem realizar tarefas usando o Console de gerenciamento da AWS, a AWS Command Line Interface (AWS CLI) ou a API do AWS. Um administrador do IAM deve criar políticas do IAM que concedam às entidades principais permissão para executar operações da API específicas nos recursos especificados de que elas precisam. O administrador deve atribuir essas políticas às entidades principais do IAM que requerem essas permissões.

Para fornecer o acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos no Centro de Identidade do AWS IAM:

  Crie um conjunto de permissões. Siga as instruções em [Create a permission set](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) (Criação de um conjunto de permissões) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM usando um provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em [Criar um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do usuário do IAM*.
+ Usuários do IAM:
  + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Creating a role for an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) (Criação de um perfil para um usuário do IAM) no *Guia do usuário do IAM*.
  + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adicionar permissões a um usuário (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Manual do usuário do IAM*.

**Topics**
+ [Práticas recomendadas de políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Usar o console do Explorador de Recursos](#security_iam_id-based-policy-examples-console)
+ [Conceder acesso a uma visualização com base em tags](#security_iam_id-based-policy-examples-abac-views)
+ [Conceder acesso para criar uma visualização baseada em tags](#security_iam_id-based-policy-examples-abac-createview)
+ [Permitir que as entidades principais visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)

## Práticas recomendadas de políticas
<a name="security_iam_service-with-iam-policy-best-practices"></a>

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Explorador de Recursos na sua conta. Essas ações podem incorrer em custos para a Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas gerenciadas pela AWS e avance para as permissões de privilégio mínimo**: para começar a conceder permissões a seus usuários e workloads, use as *políticas gerenciadas pela AWS* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis na sua Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da AWS específicas para seus casos de uso. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso a ações de serviço, se elas forem usadas por meio de um AWS service (Serviço da AWS) específico, como o CloudFormation. Para obter mais informações, consulte [Elementos de política JSON do IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Manual do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de 100 verificações de política e recomendações acionáveis para ajudar você a criar políticas seguras e funcionais. Para obter mais informações, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do usuário do IAM*.
+ **Require multi-factor authentication (MFA)** (Exigir autenticação multifator (MFA)): se houver um cenário que exija usuários do IAM ou um usuário raiz em sua Conta da AWS, ative a MFA para obter segurança adicional. Para exigir a MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do usuário do IAM*.

Para obter mais informações sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Usar o console do Explorador de Recursos
<a name="security_iam_id-based-policy-examples-console"></a>

Para que as entidades principais pesquisem no console do Explorador de recursos da AWS, elas devem ter um conjunto mínimo de permissões. Se você não criar uma política baseada em identidade com as permissões mínimas necessárias, o console do Explorador de Recursos não funcionará como pretendido para as entidades principais da conta.

Você pode usar a política gerenciada pela AWS denominada `AWSResourceExplorerReadOnlyAccess` para conceder a capacidade de usar o console do Explorador de Recursos para pesquisar usando qualquer visualização da conta. Para conceder permissões para só pesquisar com uma única visualização, consulte [Conceder acesso às visualizações do Explorador de Recursos para pesquisa](manage-views-grant-access.md) e os exemplos nas duas próximas seções.

Não é necessário conceder permissões mínimas do console para perfis que fazem chamadas somente à AWS CLI ou à API da AWS. Em vez disso, você pode escolher conceder acesso apenas às ações que correspondem às operações da API que as entidades principais precisam realizar.

## Conceder acesso a uma visualização com base em tags
<a name="security_iam_id-based-policy-examples-abac-views"></a>

Neste exemplo, você deseja conceder acesso a uma visualização do Explorador de Recursos na sua Conta da AWS às entidades principais da conta. Para fazer isso, você atribui as políticas baseadas em identidade do IAM às entidades principais que você deseja que sejam capazes pesquisar no Explorador de Recursos. O exemplo a seguir de política do IAM concede acesso a qualquer solicitação em que a tag `Search-Group` anexada à entidade principal que faz a chamada corresponda exatamente ao valor dessa mesma tag anexada à visualização usada na solicitação.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:*:*:view/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
            }
        }
    ]
}
```

Você pode atribuir essa política às entidades principais do IAM na sua conta. Se uma entidade principal com a tag `Search-Group=A` tentar pesquisar usando uma visualização do Explorador de Recursos, a visualização também deverá estar marcada como `Search-Group=A`. Se não, a entidade principal terá o acesso negado. A chave da tag de condição `Search-Group` corresponde a `Search-group` e a `search-group` porque os nomes de chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.

**Importante**  
Para ver seus recursos nos resultados da pesquisa unificada no Console de gerenciamento da AWS, as entidades principais devem ter as permissões `GetView` e `Search` para a visualização padrão na Região da AWS que contém o índice agregador. A maneira mais simples de conceder essas permissões é conservar a permissão baseada em recurso padrão que foi anexada à visualização quando você ativou o Explorador de Recursos usando a Configuração rápida ou a Configuração avançada.  
Nesse cenário, você poderia pensar em definir a visualização padrão para filtrar os recursos confidenciais e depois configurar visualizações adicionais às quais você concederia acesso baseado em tags, como descrito no exemplo anterior.

## Conceder acesso para criar uma visualização baseada em tags
<a name="security_iam_id-based-policy-examples-abac-createview"></a>

Neste exemplo, você deseja permitir que apenas as entidades principais marcadas com a mesma tag que o índice possam criar visualizações na Região da AWS que contém o índice. Para fazer isso, crie permissões baseadas em identidade para permitir que as entidades principais pesquisem com visualizações.

Agora você está pronto para conceder permissões para criar uma visualização. Você pode adicionar as instruções desse exemplo à mesma política de permissão que você usa para conceder permissões de `Search` às entidades principais apropriadas. As ações são permitidas ou negadas com base nas tags anexadas às entidades principais que chamam as operações e o índice aos quais a visualização deverá ser associada. O exemplo a seguir de política do IAM nega qualquer solicitação para criar uma visualização quando o valor da tag `Allow-Create-View` anexada à entidade principal que faz a chamada não corresponde exatamente ao valor dessa mesma tag anexada ao índice da região em que a visualização foi criada.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "resource-explorer-2:CreateView",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
            }
        }
    ]
}
```

## Permitir que as entidades principais visualizem suas próprias permissões
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Este exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou de forma programática usando a AWS CLI ou a API da AWS.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

# Exemplo de políticas de controle de serviço para o AWS Organizations Resource Explorer
<a name="security_iam_scp"></a>

Explorador de recursos da AWS suporta políticas de controle de serviços (SCPs). SCPs são políticas que você anexa a elementos em uma organização para gerenciar permissões dentro dessa organização. Um SCP se aplica a todos Contas da AWS em uma organização [sob o elemento ao qual você anexa o SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html). As SCPs oferecem controle central sobre as permissões máximas disponíveis para todas as contas da organização. Eles podem ajudar você a garantir sua Contas da AWS permanência dentro das diretrizes de controle de acesso da sua organização. Para obter mais informações, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) no *Guia do usuário do AWS Organizations *.

## Pré-requisitos
<a name="scp-prereqs"></a>

Para usar os SCPs, você deve fazer o seguinte:
+ Ativar todos os recursos em sua organização. Para obter mais informações, consulte [Habilitar todos os atributos na sua organização ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) no *Manual do usuário do AWS Organizations *.
+ Habilitar SCPs para uso na sua organização. Para obter mais informações, consulte [Habilitar e desabilitar tipos de política](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) no *Guia do usuário do AWS Organizations *.
+ Criar as SCPs de que você precisa. Para obter mais informações sobre a criação de SCPs, consulte [ Criação e atualização de SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) no *AWS Organizations Guia do Usuário*.

## Políticas de controle de serviço de exemplo
<a name="scp-examples"></a>

O exemplo a seguir mostra como você pode usar o [controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) para controlar o acesso às operações administrativas do Explorador de Recursos. Esse exemplo de política nega acesso a todas as operações do Explorador de Recursos, exceto pelas duas permissões necessárias para pesquisar, `resource-explorer-2:Search` e `resource-explorer-2:GetView`, a menos que a entidade principal do IAM que fizer a solicitação esteja marcada como `ResourceExplorerAdmin=TRUE`. Para ver uma discussão mais completa sobre o uso do ABAC com o Explorador de Recursos, consulte [Usar autorização baseada em tags para controlar o acesso às visualizações](manage-views-grant-access.md#manage-views-grant-access-abac).

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "resource-explorer-2:AssociateDefaultView",
        "resource-explorer-2:BatchGetView",
        "resource-explorer-2:CreateIndex",
        "resource-explorer-2:CreateView",
        "resource-explorer-2:DeleteIndex",
        "resource-explorer-2:DeleteView",
        "resource-explorer-2:DisassociateDefaultView",
        "resource-explorer-2:GetDefaultView",
        "resource-explorer-2:GetIndex",
        "resource-explorer-2:ListIndexes",
        "resource-explorer-2:ListSupportedResourceTypes",
        "resource-explorer-2:ListTagsForResource",
        "resource-explorer-2:ListViews",
        "resource-explorer-2:TagResource",
        "resource-explorer-2:UntagResource",
        "resource-explorer-2:UpdateIndexType",
        "resource-explorer-2:UpdateView""
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
          "StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
      }
   ]
}
```

# AWS políticas gerenciadas para Explorador de recursos da AWS
<a name="security_iam_awsmanpol"></a>

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo [políticas gerenciadas pelo cliente da ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.

Para mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Manual do usuário do IAM*.

**Políticas gerais AWS gerenciadas que incluem permissões do Resource Explorer**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— Concede acesso total Serviços da AWS e recursos. 
+ [ReadOnlyAcesso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) — concede acesso Serviços da AWS e recursos somente para leitura.
+ [ViewOnlyAcesso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) — concede permissões para visualizar recursos e metadados básicos para Serviços da AWS.
**nota**  
As permissões de `Get*` do Explorador de Recursos incluídas na política `ViewOnlyAccess` funcionam da mesma forma que as permissões de `List`, embora retornem apenas um único valor, porque uma região só pode conter um índice e uma visualização padrão.

**AWS políticas gerenciadas para o Resource Explorer**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)

## AWS política gerenciada: AWSResourceExplorerFullAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerFullAccess"></a>

Você pode atribuir a política `AWSResourceExplorerFullAccess` às identidades do IAM.

Essa política concede permissões que garantem total controle administrativo do serviço Explorador de Recursos. Você pode realizar todas as tarefas envolvidas na ativação e no gerenciamento do Explorador de Recursos nas Regiões da AWS na sua conta. 

**Detalhes da permissão**

Essa política inclui permissões que permitem todas as ações do Resource Explorer, incluindo ativar e desativar o Resource Explorer Regiões da AWS, criar ou excluir um índice agregador para a conta, criar, atualizar e excluir visualizações e pesquisar. Essa política também inclui permissões que não fazem parte do Explorador de Recursos: 
+ `ec2:DescribeRegions`: permite que o Explorador de Recursos acesse os detalhes sobre as regiões na sua conta.
+ `ram:ListResources`: permite que o Explorador de Recursos liste os compartilhamentos de recursos dos quais os recursos fazem parte.
+ `ram:GetResourceShares`: permite que o Explorador de Recursos identifique detalhes sobre os compartilhamentos de recursos dos quais você é proprietário ou que são compartilhados com você.
+ `iam:CreateServiceLinkedRole`: permite que o Explorador de Recursos crie o perfil vinculado ao serviço requerido quando você [ativa o Explorador de Recursos criando o primeiro índice](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
+ `organizations:DescribeOrganization`: permite que o Explorador de Recursos acesse informações sobre a sua organização.

Para ver a versão mais recente dessa política AWS gerenciada, consulte o *Guia `[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)` de referência da política AWS gerenciada*.

## AWS política gerenciada: AWSResourceExplorerReadOnlyAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess"></a>

Você pode atribuir a política `AWSResourceExplorerReadOnlyAccess` às identidades do IAM.

Essa política concede permissões de acesso somente leitura que permitem aos usuários acesso básico à pesquisa para descobrir seus recursos. 

**Detalhes da permissão**

Essa política inclui permissões para que os usuários executem as operações `Get*`, `List*` e `Search` do Explorador de Recursos para visualizar informações sobre os componentes e as definições de configuração do Explorador de Recursos, mas não permite que os usuários os alterem. Os usuários também podem pesquisar. Essa política também inclui duas permissões que não fazem parte do Explorador de Recursos: 
+ `ec2:DescribeRegions`: permite que o Explorador de Recursos acesse os detalhes sobre as regiões na sua conta.
+ `ram:ListResources`: permite que o Explorador de Recursos liste os compartilhamentos de recursos dos quais os recursos fazem parte.
+ `ram:GetResourceShares`: permite que o Explorador de Recursos identifique detalhes sobre os compartilhamentos de recursos dos quais você é proprietário ou que são compartilhados com você.
+ `organizations:DescribeOrganization`: permite que o Explorador de Recursos acesse informações sobre a sua organização.

Para ver a versão mais recente dessa política AWS gerenciada, consulte o *Guia `[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)` de referência da política AWS gerenciada*.

## AWS política gerenciada: AWSResourceExplorerServiceRolePolicy
<a name="security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy"></a>

Você não pode anexar a `AWSResourceExplorerServiceRolePolicy` a nenhuma entidade do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite que o Explorador de Recursos realize ações em seu nome. Para ter mais informações, consulte [Usar perfis vinculados ao serviço para o Explorador de Recursos](security_iam_service-linked-roles.md).

Essa política concede as permissões necessárias para que o Explorador de Recursos recupere informações sobre os recursos. O Resource Explorer preenche os índices que mantém em cada um Região da AWS que você registra.

Para ver a versão mais recente dessa política AWS gerenciada, consulte `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` no console do IAM.

## AWS política gerenciada: AWSResourceExplorerOrganizationsAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerOrganizationsAccess"></a>

Você pode atribuir a política `AWSResourceExplorerOrganizationsAccess` às identidades do IAM. 

Essa política concede permissões administrativas ao Resource Explorer e concede permissões somente de leitura a outras pessoas para oferecer suporte Serviços da AWS a esse acesso. O AWS Organizations administrador precisa dessas permissões para configurar e gerenciar a pesquisa em várias contas no console.

**Detalhes da permissão**

Essa política inclui permissões que deixam que os administradores configurem a pesquisa em várias contas para a organização: 
+ `ec2:DescribeRegions`: permite que o Explorador de Recursos acesse os detalhes sobre as regiões na sua conta.
+ `ram:ListResources`: permite que o Explorador de Recursos liste os compartilhamentos de recursos dos quais os recursos fazem parte.
+ `ram:GetResourceShares`: permite que o Explorador de Recursos identifique detalhes sobre os compartilhamentos de recursos dos quais você é proprietário ou que são compartilhados com você.
+ `organizations:ListAccounts`: permite que o Explorador de Recursos identifique as contas em uma organização.
+ `organizations:ListRoots`: permite que o Explorador de Recursos identifique as contas raízes em uma organização.
+ `organizations:ListOrganizationalUnitsForParent`: permite que o Explorador de Recursos identifique as unidades organizacionais (UOs) em uma unidade organizacional superior ou raiz.
+ `organizations:ListAccountsForParent`: permite que o Explorador de Recursos identifique as contas em uma organização que são contidas na raiz de destino especificada ou em uma UO.
+ `organizations:ListDelegatedAdministrators`— Permite que o Resource Explorer identifique as AWS contas designadas como administradores delegados nessa organização.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite que o Resource Explorer identifique uma lista dos Serviços da AWS que estão habilitados para integração com sua organização.
+ `organizations:DescribeOrganization`: permite que o Explorador de Recursos recupere informações sobre a organização à qual a conta do usuário pertence.
+ `organizations:EnableAWSServiceAccess`— Permite que o Resource Explorer habilite a integração de um AWS service (Serviço da AWS) (o serviço especificado por`ServicePrincipal`) com AWS Organizations.
+ `organizations:DisableAWSServiceAccess`— Permite que o Resource Explorer desative a integração de um AWS service (Serviço da AWS) (o serviço especificado por ServicePrincipal) com AWS Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Permite que o Resource Explorer habilite a conta de membro especificada para administrar os recursos da organização do AWS serviço especificado.
+ `organizations:DeregisterDelegatedAdministrator`— Permite que o Resource Explorer remova o membro especificado Conta da AWS como administrador delegado para o especificado AWS service (Serviço da AWS).
+ `iam:GetRole`: permite que o Explorador de Recursos recupere informações sobre o perfil especificado incluindo o caminho, o GUID, o ARN e a política de confiança do perfil que concede permissão para assumi-lo.
+ `iam:CreateServiceLinkedRole`: permite que o Explorador de Recursos crie o perfil vinculado ao serviço requerido quando você [ativa o Explorador de Recursos criando o primeiro índice](manage-service-turn-on-region.md#manage-service-turn-on-region-region).

Para ver a versão mais recente dessa política AWS gerenciada, consulte `[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)` no console do IAM.

## Atualizações do Resource Explorer para políticas AWS gerenciadas
<a name="security_iam_awsmanpol_updates"></a>

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Resource Explorer desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos do Explorador de Recursos](doc-history.md).


| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)- Permissões de política atualizadas para visualizar tipos de recursos adicionais  |  O Resource Explorer adicionou permissões à política de função vinculada ao serviço [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)que permite que o Resource Explorer visualize outros tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 12 de dezembro de 2023 | 
|  Nova política gerenciada pela   |  O Resource Explorer adicionou a seguinte política AWS gerenciada: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14 de novembro de 2023 | 
|  Atualização das políticas gerenciadas pela   |  O Resource Explorer atualizou as seguintes políticas AWS gerenciadas para oferecer suporte à pesquisa em várias contas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14 de novembro de 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política atualizada para oferecer suporte à pesquisa em várias contas com Organizations  |  O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permite que o Explorador de Recursos seja compatível com a pesquisa em várias contas com o Organizations: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14 de novembro de 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política atualizada para oferecer suporte a outros tipos de recursos  |  O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permite que o serviço indexe os seguintes tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 17 de outubro de 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política atualizada para oferecer suporte a outros tipos de recursos  |  O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permite que o serviço indexe os seguintes tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 1º de agosto de 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política atualizada para oferecer suporte a outros tipos de recursos  |  O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permite que o serviço indexe os seguintes tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 7 de março de 2023 | 
| Novas políticas gerenciadas |  O Resource Explorer adicionou as seguintes políticas AWS gerenciadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 7 de novembro de 2022 | 
|  O Explorador de Recursos começou a monitorar alterações  |  O Resource Explorer começou a monitorar as alterações em suas políticas AWS gerenciadas.  | 7 de novembro de 2022 | 

# Usar perfis vinculados ao serviço para o Explorador de Recursos
<a name="security_iam_service-linked-roles"></a>

Explorador de recursos da AWS usa AWS Identity and Access Management (IAM) funções [vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente ao Resource Explorer. As funções vinculadas ao serviço são predefinidas pelo Resource Explorer e incluem todas as permissões que o serviço exige para ligar para outras pessoas Serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Explorador de Recursos porque você não tem que adicionar as permissões necessárias manualmente. O Explorador de Recursos define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente o Explorador de Recursos pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser atribuída a nenhuma outra IAM entidade.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no Guia do *IAMusuário*. Procure os serviços com **Sim** na coluna **Perfis vinculados ao serviço**. Escolha um **Sim** com um link para visualizar a documentação da função vinculada a esse serviço.

## Permissões de perfil vinculado ao serviço para o Explorador de Recursos
<a name="slr-permissions"></a>

O Explorador de Recursos usa o perfil vinculado ao serviço denominado `AWSServiceRoleForResourceExplorer`. Essa função concede permissões ao serviço Resource Explorer para visualizar recursos e AWS CloudTrail eventos Conta da AWS em seu nome e indexar esses recursos para apoiar a pesquisa.

O perfil vinculado ao serviço do `AWSServiceRoleForResourceExplorer` só confia no serviço com a seguinte entidade principal para assumir o perfil:
+ `resource-explorer-2.amazonaws.com`

A política de permissões de função denominada AWSResourceExplorerServiceRolePolicy permite que o Resource Explorer tenha acesso somente de leitura para recuperar nomes e propriedades de recursos compatíveis. AWS Para ver os serviços e recursos compatíveis com o Explorador de Recursos, consulte [Tipos de recursos que você pode pesquisar com o Explorador de Recursos](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html). Para obter a lista completa de todas as ações que essa função pode executar, você pode visualizar a `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` política no IAM console.

Um principal é uma IAM entidade, como um usuário, grupo ou função. Se você permitir que o Explorador de Recursos crie o perfil vinculado ao serviço para você quando ele criar o índice na primeira região da conta, a entidade principal que está realizando a tarefa só precisará das permissões requeridas para criar o índice do Explorador de Recursos. Para criar a função vinculada ao serviço manualmente usandoIAM, o diretor que executa a tarefa deve ter permissão para criar uma função vinculada ao serviço. Para obter mais informações, consulte [Permissões de funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no Guia do *IAMusuário*.

## Criar um perfil vinculado ao serviço para o Explorador de Recursos
<a name="create-slr"></a>

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você ativa o Resource Explorer no Console de gerenciamento da AWS, ou executa o primeiro [CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html) Região da AWS em sua conta usando o AWS CLI ou um AWS API, o Resource Explorer cria a função vinculada ao serviço para você. 

Se você excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, poderá usar esse mesmo processo para recriar o perfil na sua conta. Quando você está [RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)na primeira região da sua conta, o Resource Explorer cria a função vinculada ao serviço para você novamente. 

## Editar um perfil vinculado ao serviço para o Explorador de Recursos
<a name="edit-slr"></a>

O Explorador de Recursos não permite que você edite o perfil vinculado a serviço `AWSServiceRoleForResourceExplorer`. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte [Edição de uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no Guia do *IAMusuário*.

## Excluir um perfil vinculado ao serviço do Explorador de Recursos
<a name="delete-slr"></a>

Você pode usar o IAM console AWS CLI, o ou o AWS API para excluir manualmente a função vinculada ao serviço. Para fazer isso, primeiro você deve remover os índices do Resource Explorer de cada parte da sua conta e, Região da AWS em seguida, excluir manualmente a função vinculada ao serviço.

**nota**  
Se o serviço do Explorador de Recursos estiver usando o perfil quando você tentar excluir os recursos, poderá ocorrer uma falha na exclusão. Se isso acontecer, certifique-se de que todos os índices de todas as regiões sejam excluídos, espere alguns minutos e tente a operação novamente.

**Para excluir manualmente a função vinculada ao serviço usando IAM**

Use o IAM console AWS CLI, o ou o AWS API para excluir a função `AWSServiceRoleForResourceExplorer` vinculada ao serviço. *Para obter mais informações, consulte [Excluindo uma função vinculada ao serviço no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) do IAM usuário.*

## Regiões compatíveis com os perfis vinculados ao serviço do Explorador de Recursos
<a name="slr-regions"></a>

O Explorador de Recursos é compatível com perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [AWS service (Serviço da AWS) endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html) na *Referência geral da Amazon Web Services*.

# Solução de problemas de Explorador de recursos da AWS permissões
<a name="security_iam_troubleshoot"></a>

Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Resource Explorer e AWS Identity and Access Management (IAM).

**Topics**
+ [Não tenho autorização para realizar uma ação no Explorador de Recursos](#security_iam_troubleshoot-no-permissions)
+ [Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos do Resource Explorer](#security_iam_troubleshoot-cross-account-access)

## Não tenho autorização para realizar uma ação no Explorador de Recursos
<a name="security_iam_troubleshoot-no-permissions"></a>

Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu as credenciais que você usou para tentar essa operação.

Por exemplo, o erro a seguir ocorre quando alguém assume o perfil do IAM `MyExampleRole` e tenta usar o console para visualizar detalhes, mas não tem a permissão de `resource-explorer-2:GetView`.

```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

Nesse caso, a pessoa usando o perfil deve solicitar ao administrador que atualize as políticas de permissão do perfil para conceder acesso à visualização usando a ação `resource-explorer-2:GetView`.

## Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos do Resource Explorer
<a name="security_iam_troubleshoot-cross-account-access"></a>

Você pode criar um perfil que os usuários de outras contas ou pessoas fora da sua organização podem usar para acessar seus recursos. Você pode especificar quem é confiável para assumir o perfil. Para serviços que oferecem compatibilidade com políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se o Explorador de Recursos é compatível com esses recursos, consulte [Como o Resource Explorer funciona com IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

# Proteção de dados em Explorador de recursos da AWS
<a name="data-protection"></a>

O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em Explorador de recursos da AWS. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre privacidade de dados, consulte [Privacidade de dados FAQ](https://aws.amazon.com/compliance/data-privacy-faq/).  Para obter informações sobre proteção de dados na Europa, consulte o [Modelo de Responsabilidade AWS Compartilhada e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) a postagem no *blog AWS de segurança*.

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use a autenticação multifator (MFA) com cada conta.
+ UseSSL/TLSpara se comunicar com AWS os recursos. Exigimos TLS 1,2 e recomendamos TLS 1,3.
+ Configure API e registre as atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de FIPS 140-3 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um endpoint. FIPS Para obter mais informações sobre os FIPS endpoints disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Resource Explorer ou outro Serviços da AWS usando o consoleAPI, AWS CLI,, ou AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é altamente recomendável que você não inclua informações de credenciais no URL para validar sua solicitação para esse servidor.

## Criptografia em repouso
<a name="encryption-rest"></a>

Os dados armazenados pelo Resource Explorer incluem a lista indexada dos recursos e seus associados ARNs que são usados pelo cliente e as visualizações para acessá-los.

Esses dados são criptografados quando em repouso usando [AWS Key Management Service (AWS KMS) chaves de criptografia simétricas](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default) que implementam o [Advanced Encryption Standard (AES)](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) no [Galois Counter Mode (GCM)](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf) com chaves de 256 bits (AES-256-). GCM

## Criptografia em trânsito
<a name="encryption-transit"></a>

As solicitações do cliente e todos os dados associados são criptografados em trânsito usando o [Transport Later Security (TLS) 1.2](https://datatracker.ietf.org/doc/html/rfc5246) ou posterior. Todos os endpoints do Resource Explorer oferecem suporte HTTPS à criptografia de dados em trânsito. Para obter uma lista de endpoints de serviço do Explorador de Recursos, consulte [Explorador de recursos da AWS endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html) na *Referência geral da AWS*.

# Validação de conformidade do Explorador de recursos da AWS
<a name="compliance-validation"></a>

Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas específicos de conformidade, consulte [Serviços da Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte[AWS Programas de conformidade](https://aws.amazon.com/compliance/programs/).

É possível fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Downloading reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) no *AWS Artifact User Guide*.

Sua responsabilidade em relação à compatibilidade ao usar o Explorador de Recursos é determinada pelo grau de confidencialidade dos dados, pelos objetivos de compatibilidade da sua empresa e pelos regulamentos e leis aplicáveis. A AWS fornece os seguintes recursos para ajudar na conformidade:
+ [Guias de início rápido de segurança e compatibilidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estes guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em compatibilidade e segurança na AWS.
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html): esse artigo técnico descreve como as empresas podem usar o AWS para criar aplicações elegíveis para a HIPAA.
**nota**  
Nem todos os Serviços da AWS são elegíveis para a HIPAA. Para obter mais informações, consulte a [Referência dos serviços qualificados pela HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference). 
+ [atributos de conformidade da AWS](https://aws.amazon.com/compliance/resources/): essa coleção de manuais e guias pode ser aplicada a seu setor e local.
+ [Avaliação de recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no *AWS ConfigGuia do desenvolvedor* – AWS Configavalia a conformidade das configurações de seus recursos com práticas internas, diretrizes do setor e regulamentos.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): esse serviço da AWS fornece uma visão abrangente do estado da segurança na AWS que ajuda verificar a conformidade com os padrões e as práticas recomendadas de segurança do setor.

# Resiliência no Explorador de recursos da AWS
<a name="disaster-recovery-resiliency"></a>

A infraestrutura global da AWS é criada com base em Regiões da AWS e zonas de disponibilidade. As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas com baixa latência, alta throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

Para obter mais informações sobre Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).

# Segurança da infraestrutura em Explorador de recursos da AWS
<a name="infrastructure-security"></a>

Como serviço gerenciado, Explorador de recursos da AWS é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.

Você usa API chamadas AWS publicadas para acessar o Resource Explorer pela rede. Os clientes devem oferecer suporte para:
+ Segurança da camada de transporte (TLS). Exigimos TLS 1,2 e recomendamos TLS 1,3.
+ Suítes de criptografia com sigilo direto perfeito (), como (Ephemeral PFS Diffie-Hellman) ou DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando uma ID de chave de acesso e uma chave de acesso secreta associada a um IAM principal. Ou você pode usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Para obter mais informações sobre procedimentos AWS globais de segurança de rede, consulte o whitepaper [Amazon Web Services: Visão geral dos processos de segurança](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).