

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerando recomendações de políticas para descobertas de acesso não utilizado
<a name="unused-access-recommendations"></a>

 Para descobertas de permissões não utilizadas, o Security Hub pode gerar recomendações de políticas de privilégios mínimos que mostram uma política de substituição com escopo reduzido. A recomendação avalia cada política anexada ao diretor do IAM e gera uma substituição que retém somente as permissões que o diretor realmente usou. Esse recurso é fornecido a todos os clientes do Security Hub sem custo adicional. 

## Como as recomendações de políticas funcionam
<a name="recommendations-how-it-works"></a>

 A geração de recomendações de políticas é uma operação assíncrona. Para gerar e recuperar uma recomendação: 

1.  Recupere as permissões não utilizadas encontradas no Security Hub usando a operação da `GetFindingsV2` API. Anote o `metadata.uid` campo da descoberta. 

1.  Ligue `GenerateRecommendedPolicyV2` com as descobertas`metadata.uid`. Isso inicia a geração da recomendação, que normalmente é concluída em 20 segundos. 

1.  Faça uma pesquisa `GetRecommendedPolicyV2` com o mesmo `metadata.uid` até que o `status` campo retorne`SUCCEEDED`. 

1.  A resposta contém uma ou mais etapas de recomendação. Cada etapa especifica uma `recommendedAction` de `CREATE_POLICY` (criar e anexar uma política de substituição com escopo reduzido) ou `DETACH_POLICY` (desanexar a política original com privilégios excessivos). Para `CREATE_POLICY` as etapas, a resposta inclui o `existingPolicy` JSON e o `recommendedPolicy` JSON para que você possa compará-las. 

 Você deve ligar `GenerateRecommendedPolicyV2` antes de ligar `GetRecommendedPolicyV2` se uma recomendação não tiver sido gerada anteriormente para essa descoberta. 

## Quem pode gerar recomendações
<a name="recommendations-who-can-generate"></a>

 Tanto o proprietário da conta quanto os administradores delegados podem chamar essas operações de API: 
+  **Os proprietários da conta** podem gerar e visualizar recomendações para descobertas de permissões não utilizadas em suas próprias contas. 
+  **Os administradores delegados** podem gerar e visualizar recomendações para as descobertas de permissões não utilizadas de qualquer conta de membro em sua organização. 

 Se você não for um administrador delegado e a descoberta pertencer a uma conta diferente, a operação da API retornará um `AccessDeniedException` erro. 

## Ciclo de vida da recomendação
<a name="recommendations-lifecycle"></a>
+  As recomendações são armazenadas em cache por 90 dias e permanecem disponíveis enquanto a descoberta estiver ativa (não fechada). No entanto, ligar `GenerateRecommendedPolicyV2` várias vezes invalidará o cache e iniciará um novo trabalho que substituirá a política em cache. É recomendável que você ligue apenas `GenerateRecommendedPolicyV2` uma vez por descoberta. 
+  A recomendação segue um padrão de desanexar e conectar. Ele não modifica suas políticas atuais do IAM. Você revisa a política recomendada e a aplica manualmente no console do IAM ou por meio da API do IAM. 
+  Se a descoberta for resolvida (por exemplo, porque as permissões anteriormente não usadas agora estão sendo usadas), a recomendação não estará mais disponível. 

## Casos de erro
<a name="recommendations-errors"></a>

 As operações da API retornam erros nas seguintes situações: 
+  A descoberta foi resolvida — `InvalidInputException` (HTTP 400). 
+  A descoberta não é uma descoberta de permissões não utilizadas — `InvalidInputException` (HTTP 400). 
+  O diretor do IAM foi criado por meio do conjunto de permissões do IAM Identity Center. As políticas para os principais conjuntos de permissões não podem ser modificadas diretamente. A recomendação retorna um `FAILED` status com uma explicação. 
+  O chamador não é um administrador delegado e a descoberta pertence a uma conta diferente — `AccessDeniedException` (HTTP 403). 
+  Nenhuma recomendação foi gerada ainda e você liga `GetRecommendedPolicyV2` sem primeiro ligar `GenerateRecommendedPolicyV2` — `ResourceNotFoundException` (HTTP 404). 

## Utilizar o console
<a name="recommendations-console"></a>

 No console do Security Hub, você pode gerar uma recomendação de política visualizando uma descoberta de permissões não utilizadas e escolhendo a guia **Remediação.** O console exibe um botão giratório de carregamento enquanto a recomendação está sendo criada. Quando a recomendação estiver pronta, você poderá escolher **Visualizar** para ver uma comparação lado a lado entre sua política atual e a substituição recomendada pelo menor privilégio. Você pode copiar a política recomendada no formato JSON. 

## Referência de API
<a name="recommendations-api-reference"></a>
+  **GenerateRecommendedPolicyV2**— inicia a geração assíncrona de uma recomendação de política de privilégios mínimos para uma descoberta de permissões não utilizadas. Toma a descoberta `metadata.uid` como entrada. Retorna HTTP 200 com um corpo vazio em caso de sucesso. 
+  **GetRecommendedPolicyV2**— Recupera a recomendação de política gerada. Toma a descoberta `metadata.uid` como entrada. Suporta paginação com `maxResults` (1—100) e parâmetros. `nextToken` Retorna o status da recomendação (`IN_PROGRESS``SUCCEEDED`,, ou`FAILED`), as etapas da recomendação, o ARN do recurso e quaisquer erros. 

 Para obter a documentação detalhada da API, consulte a *Referência da API do Security Hub*. 