As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Identity and Access Management em AWS Service Catalog
O acesso a AWS Service Catalog requer credenciais. Essas credenciais devem ter permissão para acessar AWS recursos, como um AWS Service Catalog portfólio ou produto. AWS Service Catalog se integra ao AWS Identity and Access Management (IAM) para permitir que você conceda AWS Service Catalog aos administradores as permissões necessárias para criar e gerenciar produtos e para conceder aos usuários AWS Service Catalog finais as permissões necessárias para lançar produtos e gerenciar produtos provisionados. Essas políticas são criadas e gerenciadas por administradores e usuários finais AWS ou individualmente por eles. Para controlar o acesso, você anexa essas políticas aos usuários, grupos e perfis você usa com o AWS Service Catalog.
## Público
As permissões que você tem *com* AWS Identity and Access Management (IAM) pode depender do perfil que você desempenha no AWS Service Catalog.
As permissões que você tem *por meio do* AWS Identity and Access Management (IAM) podem depender do perfil que você tem no AWS Service Catalog.
**Administrador** - Como AWS Service Catalog administrador, você precisa de acesso total ao console do administrador e às permissões do IAM que permitem realizar tarefas como criar e gerenciar portfólios e produtos, gerenciar restrições e conceder acesso aos usuários finais.
**Usuário final** - Antes que seus usuários finais possam usar seus produtos, você precisa conceder a eles permissões que lhes dêem acesso ao console do usuário AWS Service Catalog final. Eles também podem ter permissões para executar produtos e gerenciar produtos provisionados.
**Administrador do IAM** – se você for um administrador do IAM, talvez queira saber detalhes sobre como pode gravar políticas para gerenciar o acesso ao AWS Service Catalog. Para ver exemplos de políticas AWS Service Catalog baseadas em identidade que você pode usar no IAM, consulte. [AWS políticas gerenciadas para AWS Service Catalog AppRegistry](security-iam-awsmanpol.md)
# Exemplos de políticas baseadas em identidade para AWS Service Catalog
**Topics**
+ [Acesso ao console para usuários finais](#permissions-end-users-console)
+ [Acesso ao produto para usuários finais](#permissions-end-users-product)
+ [Políticas de exemplo para gerenciamento de produtos provisionados](#example-policies)
## Acesso ao console para usuários finais
As políticas ****`AWSServiceCatalogEndUserFullAccess`**** e ****`AWSServiceCatalogEndUserReadOnlyAccess`**** concedem acesso à visualização do console do usuário final do AWS Service Catalog . Quando um usuário que tem uma dessas políticas escolhe AWS Service Catalog no Console de gerenciamento da AWS, a visualização do console do usuário final exibe os produtos que ele tem permissão para lançar.
Antes que os usuários finais possam lançar com sucesso um produto AWS Service Catalog ao qual você concede acesso, você deve fornecer a eles permissões adicionais do IAM para permitir que eles usem cada um dos AWS recursos subjacentes no AWS CloudFormation modelo de um produto. Por exemplo, se um modelo de produto incluir o Amazon Relational Database Service (Amazon RDS), você deverá conceder permissões do Amazon RDS aos usuários para lançarem o produto.
Para saber como permitir que os usuários finais lancem produtos e, ao mesmo tempo, imponham permissões de acesso mínimo aos AWS recursos, consulte. [Usando AWS Service Catalog restrições](constraints.md)
Se você aplicar a política **`AWSServiceCatalogEndUserReadOnlyAccess`**, seus usuários terão acesso ao console do usuário final, mas não terão as permissões necessárias para lançar produtos e gerenciar produtos provisionados. Você pode conceder essas permissões diretamente a um usuário final usando o IAM, mas se quiser limitar o acesso que os usuários finais têm aos AWS recursos, você deve anexar a política a uma função de lançamento. Em seguida, você usa AWS Service Catalog para aplicar a função de lançamento a uma restrição de lançamento do produto. Para obter mais informações sobre como aplicar uma função de lançamento, limitações de função de lançamento e uma função de lançamento de exemplo, consulte [AWS Service Catalog Restrições de lançamento](constraints-launch.md).
**nota**
Se você conceder aos usuários permissões de IAM para AWS Service Catalog administradores, a visualização do console do administrador será exibida em vez disso. Não conceda essas permissões aos usuários finais, a menos que você queira que eles tenham acesso à visualização do console do administrador.
## Acesso ao produto para usuários finais
Antes que os usuários finais possam usar um produto ao qual você concede acesso, você deve fornecer a eles permissões adicionais do IAM para permitir que eles usem cada um dos AWS recursos subjacentes no CloudFormation modelo de um produto. Por exemplo, se um modelo de produto incluir o Amazon Relational Database Service (Amazon RDS), você deverá conceder permissões do Amazon RDS aos usuários para lançarem o produto.
Se você aplicar a política **`AWSServiceCatalogEndUserReadOnlyAccess`**, seus usuários terão acesso à visualização do console do usuário final, mas não terão as permissões necessárias para lançar produtos e gerenciar produtos provisionados. Você pode conceder essas permissões diretamente a um usuário final no IAM, mas se quiser limitar o acesso que os usuários finais têm aos AWS recursos, você deve anexar a política a uma função de lançamento. Em seguida, você usa AWS Service Catalog para aplicar a função de lançamento a uma restrição de lançamento do produto. Para obter mais informações sobre como aplicar uma função de lançamento, limitações de função de lançamento e uma função de lançamento de amostra, consulte [AWS Service Catalog Restrições de lançamento](constraints-launch.md).
## Políticas de exemplo para gerenciamento de produtos provisionados
Você pode criar políticas personalizadas para ajudar a atender aos requisitos de segurança da organização. As seções a seguir descrevem como personalizar o nível de acesso para cada ação com suporte para níveis de usuário, função e conta. Você pode conceder acesso a usuários para visualizar, atualizar, encerrar e gerenciar produtos provisionados criados somente por esse usuário ou criados por outros sob sua função ou sob a conta à qual eles estão conectados. Esse acesso é hierárquico – a concessão de acesso em nível de conta também concede acesso em nível de perfil e em nível de usuário, enquanto que a adição de acesso em nível de perfil também concede acesso em nível de usuário, mas não concede acesso em nível de conta. Você pode especificar isso na política JSON usando um bloco `Condition` como `accountLevel`, `roleLevel` ou `userLevel`.
Esses exemplos também se aplicam aos níveis de acesso para operações de gravação de AWS Service Catalog API: `UpdateProvisionedProduct` e`TerminateProvisionedProduct`, e operações de leitura: `DescribeRecord``ScanProvisionedProducts`, `ListRecordHistory` e. As operações da API `ScanProvisionedProducts` e `ListRecordHistory` usam `AccessLevelFilterKey` como entrada, e os valores dessa chave correspondem aos níveis de bloco `Condition` abordado aqui (`accountLevel` equivale a um valor `AccessLevelFilterKey` para "Conta", `roleLevel` para "Função" e `userLevel` para "Usuário"). Para obter mais informações, consulte o [Guia do Desenvolvedor do Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/dg/).
**Topics**
+ [Acesso completo de administrador a produtos provisionados](#full-admin)
+ [Acesso de usuário final a produtos provisionados](#examples-end-user)
+ [Acesso parcial de administrador a produtos provisionados](#partial-admin)
### Acesso completo de administrador a produtos provisionados
A política a seguir permite acesso completo de leitura e gravação a produtos provisionados e registros no catálogo no nível de conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
Essa política é funcionalmente equivalente à política a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
Não especificar um `Condition` bloqueio em nenhuma política para AWS Service Catalog é tratado da mesma forma que especificar o acesso`"servicecatalog:accountLevel"`. Observe que o acesso `accountLevel` inclui o acesso `roleLevel` e `userLevel`.
### Acesso de usuário final a produtos provisionados
A política a seguir restringe o acesso a operações de leitura e gravação somente aos produtos provisionados ou registros associados criados pelo usuário atual.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### Acesso parcial de administrador a produtos provisionados
As duas políticas a seguir, se forem aplicadas ao mesmo usuário, permitem o que pode ser chamado de um tipo de "acesso de administrador parcial", fornecendo acesso de somente leitura completo e acesso de gravação limitado. Isso significa que o usuário pode ver qualquer produto provisionado ou registro associado na conta do catálogo, mas não pode executar nenhuma ação em qualquer produto provisionado ou registro que não seja de propriedade desse usuário.
A primeira política permite ao usuário acesso a operações de gravação nos produtos provisionados criados pelo usuário atual, mas não em produtos provisionados criados por outros usuários. A segunda política adiciona acesso completo a operações de leitura em produtos provisionados criados por todos (usuário, função ou conta).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS políticas gerenciadas para AWS Service Catalog AppRegistry
## AWS política gerenciada: `AWSServiceCatalogAdminFullAccess`
Você pode anexar `AWSServiceCatalogAdminFullAccess` às suas entidades do IAM. AppRegistry também anexa essa política a uma função de serviço que permite AppRegistry realizar ações em seu nome.
Essa política concede *administrative* permissões que permitem acesso total à visualização do console do administrador e concede permissão para criar e gerenciar produtos e portfólios.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `servicecatalog`— Permite aos diretores permissões completas para a visualização do console do administrador e a capacidade de criar e gerenciar portfólios e produtos, gerenciar restrições, conceder acesso aos usuários finais e realizar outras tarefas administrativas internas. AWS Service Catalog
+ `cloudformation`— Permite permissões AWS Service Catalog completas para listar, ler, gravar e marcar AWS CloudFormation pilhas.
+ `config`— Permite permissões AWS Service Catalog limitadas para portfólios, produtos e produtos provisionados via. AWS Config
+ `iam` – concede às entidades principais permissões completas para visualizar e criar usuários, grupos ou perfis do serviço que são necessários para criar e gerenciar produtos e portfólios.
+ `ssm`— AWS Service Catalog Permite AWS Systems Manager listar e ler documentos do Systems Manager na AWS conta corrente e AWS na região.
Veja esta política: [AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html).
## AWS política gerenciada: `AWSServiceCatalogAdminReadOnlyAccess`
Você pode anexar `AWSServiceCatalogAdminReadOnlyAccess` às suas entidades do IAM. AppRegistry também anexa essa política a uma função de serviço que permite AppRegistry realizar ações em seu nome.
Essa política concede *read-only* permissões que permitem acesso total à visualização do console do administrador. Esta política não concede acesso para criar ou gerenciar produtos e portfólios.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `servicecatalog` – concede às entidades principais permissões somente de leitura na visualização do console do administrador.
+ `cloudformation`— Permite permissões AWS Service Catalog limitadas para listar e ler AWS CloudFormation pilhas.
+ `config`— Permite permissões AWS Service Catalog limitadas para portfólios, produtos e produtos provisionados via. AWS Config
+ `iam` – concede às entidade principais permissões limitadas para visualizar usuários, grupos ou perfis do serviço que são necessários para criar e gerenciar produtos e portfólios.
+ `ssm`— AWS Service Catalog Permite AWS Systems Manager listar e ler documentos do Systems Manager na AWS conta corrente e AWS na região.
Veja esta política: [AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html).
## AWS política gerenciada: `AWSServiceCatalogEndUserFullAccess`
Você pode anexar `AWSServiceCatalogEndUserFullAccess` às suas entidades do IAM. AppRegistry também anexa essa política a uma função de serviço que permite AppRegistry realizar ações em seu nome.
Essa política concede *contributor* permissões que permitem acesso total à visualização do console do usuário final e concede permissão para lançar produtos e gerenciar produtos provisionados.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `servicecatalog` – concede às entidades principais permissões completas à visualização do console do usuário final e a habilidade de lançar produtos e gerenciar produtos provisionados.
+ `cloudformation`— Permite permissões AWS Service Catalog completas para listar, ler, gravar e marcar AWS CloudFormation pilhas.
+ `config`— Permite permissões AWS Service Catalog limitadas para listar e ler detalhes sobre portfólios, produtos e produtos provisionados via. AWS Config
+ `ssm`— Permite usar AWS Service Catalog AWS Systems Manager para ler documentos do Systems Manager na AWS conta corrente e AWS na região.
Veja esta política: [AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html).
## AWS política gerenciada: `AWSServiceCatalogEndUserReadOnlyAccess`
Você pode anexar `AWSServiceCatalogEndUserReadOnlyAccess` às suas entidades do IAM. AppRegistry também anexa essa política a uma função de serviço que permite AppRegistry realizar ações em seu nome.
Essa política concede *read-only* permissões que permitem acesso somente de leitura à visualização do console do usuário final. Esta política não concede permissão para lançar produtos ou gerenciar produtos provisionados.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `servicecatalog` – concede às entidade principais permissões somente de leitura para a visualização do console do usuário final.
+ `cloudformation`— Permite permissões AWS Service Catalog limitadas para listar e ler AWS CloudFormation pilhas.
+ `config`— Permite permissões AWS Service Catalog limitadas para listar e ler detalhes sobre portfólios, produtos e produtos provisionados via. AWS Config
+ `ssm`— Permite usar AWS Service Catalog AWS Systems Manager para ler documentos do Systems Manager na AWS conta corrente e AWS na região.
Veja esta política: [AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html).
## AWS política gerenciada: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog anexa essa política à função `AWSServiceRoleForServiceCatalogSync` vinculada ao serviço (SLR), permitindo AWS Service Catalog sincronizar modelos em um repositório externo com produtos. AWS Service Catalog
Essa política concede permissões que permitem acesso limitado a AWS Service Catalog ações (por exemplo, chamadas de API) e a outras ações AWS de serviço que AWS Service Catalog dependem de.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `servicecatalog`— Permite que a função de sincronização de AWS Service Catalog artefatos tenha acesso limitado ao AWS Service Catalog público APIs.
+ `codeconnections`— Permite que a função de sincronização de AWS Service Catalog artefatos tenha acesso limitado ao CodeConnections público APIs.
+ `cloudformation`— Permite que a função de sincronização de AWS Service Catalog artefatos tenha acesso limitado ao AWS CloudFormation público APIs.
Veja esta política: [AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html).
**Detalhes da função vinculada ao serviço**
AWS Service Catalog usa os detalhes de permissão acima para a função `AWSServiceRoleForServiceCatalogSync` vinculada ao serviço que é criada quando um usuário cria ou atualiza um AWS Service Catalog produto que usa. CodeConnections Você pode modificar essa política usando a AWS CLI, a AWS API ou por meio do AWS Service Catalog console. Para obter mais informações sobre como criar, editar e excluir funções vinculadas ao serviço, consulte [Usando funções vinculadas ao serviço (](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)) para. SLRs AWS Service Catalog
As permissões incluídas na função `AWSServiceRoleForServiceCatalogSync` vinculada ao serviço permitem AWS Service Catalog realizar as seguintes ações em nome do cliente.
+ `servicecatalog:ListProvisioningArtifacts`— Permite que a função de sincronização de AWS Service Catalog artefatos liste os artefatos de provisionamento de um determinado AWS Service Catalog produto que são sincronizados com um arquivo de modelo em um repositório.
+ `servicecatalog:DescribeProductAsAdmin`— Permite que a função de sincronização de AWS Service Catalog artefatos use a `DescribeProductAsAdmin` API para obter detalhes de um AWS Service Catalog produto e seus artefatos provisionados associados que são sincronizados com um arquivo de modelo em um repositório. O perfil de sincronização de artefatos usa a saída dessa chamada para verificar o limite do Service Quota do produto para provisionamento de artefatos.
+ `servicecatalog:DeleteProvisioningArtifact`— Permite que a função de sincronização de AWS Service Catalog artefatos exclua um artefato provisionado.
+ `servicecatalog:ListServiceActionsForProvisioningArtifact`— Permite que a função de sincronização de AWS Service Catalog artefatos determine se as ações de serviço estão associadas a um artefato de provisionamento e garanta que o artefato de provisionamento não seja excluído se uma ação de serviço estiver associada.
+ `servicecatalog:DescribeProvisioningArtifact`— Permite que a função de sincronização de AWS Service Catalog artefatos recupere detalhes da `DescribeProvisioningArtifact` API, incluindo o ID do commit, que é fornecido na `SourceRevisionInfo` saída.
+ `servicecatalog:CreateProvisioningArtifact`— Permite que a função de sincronização de AWS Service Catalog artefatos crie um novo artefato provisionado se uma alteração for detectada (por exemplo, um git-push for confirmado) no arquivo de modelo de origem no repositório externo.
+ `servicecatalog:UpdateProvisioningArtifact`— Permite que a função de sincronização de AWS Service Catalog artefatos atualize o artefato provisionado para um produto conectado ou sincronizado.
+ `codeconnections:UseConnection`— Permite que a função de sincronização de AWS Service Catalog artefatos use a conexão existente para atualizar e sincronizar um produto.
+ `cloudformation:ValidateTemplate`— Permite que a função de sincronização de AWS Service Catalog artefatos tenha acesso limitado AWS CloudFormation para validar o formato do modelo que está sendo usado no repositório externo e CloudFormation verificar se é compatível com o modelo.
## AWS política gerenciada: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog anexa essa política à função `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada ao serviço (SLR), permitindo AWS Service Catalog sincronizar com. AWS Organizations
Essa política concede permissões que permitem acesso limitado a AWS Service Catalog ações (por exemplo, chamadas de API) e a outras ações AWS de serviço que AWS Service Catalog dependem de.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `organizations`— Permite que a função de sincronização de AWS Service Catalog dados tenha acesso limitado ao AWS Organizations público APIs.
Veja esta política: [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html).
**Detalhes da função vinculada ao serviço**
AWS Service Catalog usa os detalhes de permissão acima para a função `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada ao serviço que é criada quando um usuário ativa o acesso ao portfólio AWS Organizations compartilhado ou cria um compartilhamento do portfólio. Você pode modificar essa política usando a AWS CLI, a AWS API ou por meio do AWS Service Catalog console. Para obter mais informações sobre como criar, editar e excluir funções vinculadas ao serviço, consulte [Usando funções vinculadas ao serviço (](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)) para. SLRs AWS Service Catalog
As permissões incluídas na função `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada ao serviço permitem AWS Service Catalog realizar as seguintes ações em nome do cliente.
+ `organizations:DescribeAccount`— Permite que a função AWS Service Catalog Organizations Data Sync recupere informações AWS Organizations relacionadas sobre a conta especificada.
+ `organizations:DescribeOrganization`— Permite que a função AWS Service Catalog Organizations Data Sync recupere informações sobre a organização à qual a conta do usuário pertence.
+ `organizations:ListAccounts`— Permite que a função AWS Service Catalog Organizations Data Sync liste as contas na organização do usuário.
+ `organizations:ListChildren`— Permite que a função AWS Service Catalog Organizations Data Sync liste todas as unidades organizacionais (UOs) ou contas contidas na UO principal ou raiz especificada.
+ `organizations:ListParents`— Permite que a função AWS Service Catalog Organizations Data Sync liste a raiz ou OUs aquela que serve como mãe imediata da OU ou conta secundária especificada.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite que a função AWS Service Catalog Organizations Data Sync recupere uma lista dos AWS serviços que o usuário habilitou para integrar à sua organização.
## Políticas obsoletas
As políticas gerenciadas a seguir estão obsoletas:
+ **ServiceCatalogAdminFullAccess**— Use **AWSServiceCatalogAdminFullAccess**em vez disso.
+ **ServiceCatalogAdminReadOnlyAccess**— Use **AWSServiceCatalogAdminReadOnlyAccess**em vez disso.
+ **ServiceCatalogEndUserFullAccess**— Use **AWSServiceCatalogEndUserFullAccess**em vez disso.
+ **ServiceCatalogEndUserAccess**— Use **AWSServiceCatalogEndUserReadOnlyAccess**em vez disso.
Use o procedimento a seguir para garantir que administradores e usuários finais recebam permissões usando as políticas atuais.
Para migrar das políticas obsoletas para as políticas atuais, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) no *Guia do Usuário do AWS Identity and Access Management *.
## AppRegistry atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AppRegistry desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AppRegistry documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Atualizar política gerenciada | AWS Service Catalog atualizou a `AWSServiceCatalogSyncServiceRolePolicy` política para mudar `codestar-connections` para`codeconnections`. | 7 de maio de 2024 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Atualizar política gerenciada | AWS Service Catalog atualizou a `AWSServiceCatalogAdminFullAccess` política para incluir as permissões necessárias para que o AWS Service Catalog administrador crie a função `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada ao serviço (SLR) em sua conta. | 14 de abril de 2023 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy): Nova política gerenciada | AWS Service Catalog adicionou o`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`, que é anexado à função `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada ao serviço (SLR), permitindo AWS Service Catalog a sincronização com. AWS Organizations Essa política permite acesso limitado a AWS Service Catalog ações (por exemplo, chamadas de API) e a outras ações AWS de serviço que AWS Service Catalog dependem de. | 14 de abril de 2023 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Atualizar política gerenciada | AWS Service Catalog atualizou a `AWSServiceCatalogAdminFullAccess` política para incluir todas as permissões do AWS Service Catalog administrador e criar compatibilidade com AppRegistry o. | 12 de janeiro de 2023 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy): Nova política gerenciada | AWS Service Catalog adicionou a `AWSServiceCatalogSyncServiceRolePolicy` política, que é anexada à função `AWSServiceRoleForServiceCatalogSync` vinculada ao serviço (SLR). Essa política permite AWS Service Catalog sincronizar modelos em um repositório externo com AWS Service Catalog produtos. | 18 de novembro de 2022 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions)— Nova função vinculada ao serviço | AWS Service Catalog adicionou a função `AWSServiceRoleForServiceCatalogSync` vinculada ao serviço (SLR). Essa função é necessária AWS Service Catalog para usar CodeConnections e criar, atualizar e descrever artefatos de AWS Service Catalog provisionamento para um produto. | 18 de novembro de 2022 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Política gerenciada atualizada | AWS Service Catalog atualizou a `AWSServiceCatalogAdminFullAccess` política para incluir todas as permissões necessárias para um AWS Service Catalog administrador. A política identifica as ações específicas que o administrador pode realizar em todos os AWS Service Catalog recursos, como criar, descrever, excluir e muito mais. Além disso, a política foi alterada para oferecer suporte a um recurso lançado recentemente, o Attribute Based Access Control (ABAC) for AWS Service Catalog. O ABAC permite que você use a política `AWSServiceCatalogAdminFullAccess` como um modelo para permitir ou negar ações em recursos AWS Service Catalog com base em tags. Para obter mais informações sobre ABAC, consulte [O que é ABAC para a AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)?*AWS Identity and Access Management* | 30 de setembro de 2022 |
| AppRegistry começou a rastrear alterações | AppRegistry começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 15 de setembro de 2022 |
# Usando funções vinculadas a serviços para AWS Service Catalog
AWS Service Catalog usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Service Catalog As funções vinculadas ao serviço são predefinidas AWS Service Catalog e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Service Catalog porque você não precisa adicionar manualmente as permissões necessárias. AWS Service Catalog define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Service Catalog pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Service Catalog recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de perfil vinculado ao serviço do `AWSServiceRoleForServiceCatalogSync`
AWS Service Catalog pode usar a função vinculada ao serviço chamada **`AWSServiceRoleForServiceCatalogSync`**— Essa função vinculada ao serviço é necessária AWS Service Catalog para usar CodeConnections e criar, atualizar e descrever artefatos de AWS Service Catalog provisionamento de um produto.
O perfil vinculado ao serviço `AWSServiceRoleForServiceCatalogSync` confia nos seguintes serviços para aceitar o perfil:
+ `sync.servicecatalog.amazonaws.com`
A política de permissões de função nomeada **AWSServiceCatalogSyncServiceRolePolicy** AWS Service Catalog permite concluir as seguintes ações nos recursos especificados:
+ Ação: `Connection` em `CodeConnections`
+ Ação: `Create, Update, and Describe` ativada `ProvisioningArtifact` para um AWS Service Catalog produto
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de função vinculada a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
### Criando uma função vinculada ao serviço `AWSServiceRoleForServiceCatalogSync`
Você não precisa criar manualmente a função `AWSServiceRoleForServiceCatalogSync` vinculada ao serviço. AWS Service Catalog cria a função vinculada ao serviço para você automaticamente quando você estabelece CodeConnections na Console de gerenciamento da AWS AWS CLI, na ou na AWS API.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o AWS Service Catalog serviço antes de 18 de novembro de 2022, quando ele começou a oferecer suporte a funções vinculadas ao serviço, AWS Service Catalog criou a `AWSServiceRoleForServiceCatalogSync` função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você estabelece CodeConnections, AWS Service Catalog cria a função vinculada ao serviço para você novamente.
Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso de ** AWS Service Catalog produtos sincronizados**. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `sync.servicecatalog.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Permissões de perfil vinculado ao serviço do `AWSServiceRoleForServiceCatalogOrgsDataSync`
AWS Service Catalog pode usar a função vinculada ao serviço chamada **`AWSServiceRoleForServiceCatalogOrgsDataSync`**— Essa função vinculada ao serviço é necessária para que AWS Service Catalog as organizações permaneçam sincronizadas. AWS Organizations
O perfil vinculado ao serviço `AWSServiceRoleForServiceCatalogOrgsDataSync` confia nos seguintes serviços para aceitar o perfil:
+ `orgsdatasync.servicecatalog.amazonaws.com`
O perfil `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculado ao serviço exige que você use a seguinte política de confiança, além da [política `AWSServiceCatalogOrgsDataSyncServiceRolePolicy` gerenciada](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
A política de permissões de função nomeada **AWSServiceCatalogOrgsDataSyncServiceRolePolicy** AWS Service Catalog permite concluir as seguintes ações nos recursos especificados:
+ Ação: `DescribeAccount`, `DescribeOrganization`, e `ListAWSServiceAccessForOrganization` em `Organizations accounts`
+ Ação: `ListAccounts`, `ListChildren`, e `ListParent` em `Organizations accounts`
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de função vinculada a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
### Criando uma função vinculada ao serviço `AWSServiceRoleForServiceCatalogOrgsDataSync`
Você não precisa criar manualmente a função `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada ao serviço. AWS Service Catalog considera sua ação de habilitar [Compartilhando com AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations) ou [Compartilhar um portfólio](catalogs_portfolios_sharing_how-to-share.md) como permissão AWS Service Catalog para criar uma SLR em segundo plano em seu nome.
AWS Service Catalog cria a função vinculada ao serviço para você automaticamente quando você solicita `EnableAWSOrganizationsAccess` ou `CreatePortfolioShare` na Console de gerenciamento da AWS AWS CLI, na ou na AWS API.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você solicita `EnableAWSOrganizationsAccess` o `CreatePortfolioShare`, AWS Service Catalog cria um perfil vinculado ao serviço para você novamente.
## Editando uma função vinculada ao serviço para AWS Service Catalog
AWS Service Catalog não permite que você edite as funções `AWSServiceRoleForServiceCatalogSync` ou funções `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculadas ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Service Catalog
Você pode usar o console do IAM, a AWS CLI ou a AWS API para excluir manualmente a `AWSServiceRoleForServiceCatalogSync` ou `AWSServiceRoleForServiceCatalogOrgsDataSync` a SLR. Para fazer isso, primeiro você deve remover manualmente todos os recursos que estão usando a função vinculada ao serviço (por exemplo, qualquer AWS Service Catalog produto sincronizado com um repositório externo) e, em seguida, a função vinculada ao serviço pode ser excluída manualmente.
## Regiões suportadas para funções vinculadas a AWS Service Catalog serviços
AWS Service Catalog suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nome da região | Identidade da região | Support em AWS Service Catalog |
| --- | --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Sim |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Milão) | eu-south-1 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| Europa (Estocolmo) | eu-north-1 | Sim |
| Oriente Médio (Barém) | me-south-1 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |
# Solução de problemas AWS Service Catalog de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Service Catalog um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em AWS Service Catalog](#troubleshoot-one)
+ [Não estou autorizado a executar `iam:PassRole`](#troubleshoot-two)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus AWS Service Catalog recursos](#troubleshoot-five)
## Não estou autorizado a realizar uma ação em AWS Service Catalog
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão. O exemplo de erro a seguir ocorre quando o usuário mateojackson tenta usar o console para ver detalhes sobre um my-example-widget recurso fictício, mas não tem as permissões fictícias. `aws:GetWidget`
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-widget` usando a ação `aws:GetWidget`.
## Não estou autorizado a executar `iam:PassRole`
Se você receber uma mensagem de erro informando que você não está autorizado a executar a ação `iam:PassRole`, entre em contato com o administrador para obter assistência. O administrador é a pessoa que forneceu o seu nome de usuário e senha. Peça a essa pessoa para atualizar suas políticas para permitir que você passe uma função para o AWS Service Catalog.
Alguns AWS serviços permitem que você passe uma função existente para esse serviço, em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro de exemplo a seguir ocorre quando uma usuária chamada marymajor tenta usar o console para executar uma ação no AWS Service Catalog. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, Mary pede ao administrador que atualize suas políticas para permitir que ela execute a PassRole ação iam:.
## Quero permitir que pessoas fora da minha AWS conta acessem meus AWS Service Catalog recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ [Para saber se é AWS Service Catalog compatível com esses recursos, consulte AWS Identity and Access Management o *Guia do AWS Service Catalog Administrador*. AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html)
+ Para saber como fornecer acesso aos seus recursos em todas AWS as contas que você possui, consulte Como [fornecer acesso a um usuário do IAM em outra AWS conta que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos para AWS contas de terceiros, consulte Como [fornecer acesso a AWS contas pertencentes a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre usar perfis e políticas baseadas em recursos para acesso entre contas, consulte [Como os perfis do IAM diferem de políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) no *Guia do usuário do IAM*.
# Controle de acesso
um AWS Service Catalog portfólio oferece aos administradores um nível de controle de acesso para seus grupos de usuários finais. Ao adicionar usuários a um portfólio, eles podem navegar e executar os produtos no portfólio. Para obter mais informações, consulte [Gerenciamento de portfólios](catalogs_portfolios.md).
## Restrições
As restrições controlam quais regras são aplicadas aos usuários finais na execução de um produto de um portfólio específico. Use-as com o intuito de aplicar limites aos produtos para realizar a governança e o controle de custos. Para obter mais informações sobre restrições, consulte [Usando AWS Service Catalog restrições](constraints.md).
AWS Service Catalog as restrições de lançamento oferecem mais controle sobre as permissões necessárias para um usuário final. Quando o administrador cria uma restrição de execução para um produto em um portfólio, essa restrição associa um ARN de função que é usado quando os usuários finais executam o produto desse portfólio. Usando esse padrão, você pode controlar o acesso à criação AWS de recursos. Para obter mais informações, consulte [AWS Service Catalog Restrições de lançamento](constraints-launch.md).