As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança
Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse [modelo compartilhado](https://aws.amazon.com/compliance/shared-responsibility-model/) pode reduzir sua carga operacional à medida que a AWS opera, gerencia e controla os componentes do sistema operacional hospedeiro e da camada de virtualização até a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre segurança na AWS, visite o [Centro de segurança da AWS](https://aws.amazon.com/security/).
## Perfis do IAM
Essa solução cria funções do IAM para controlar e isolar permissões, seguindo a melhor prática de privilégio mínimo. A solução concede aos serviços as seguintes permissões:
## Modelo de hub
`RegisterSpokeAccountsFunctionLambdaRole`
+ Permissão de gravação na tabela do Amazon DynamoDB na qual as contas spoke estão registradas
`InvokeECSTaskRole`
+ Permissão para criar e executar tarefas do Amazon ECS
`CostOptimizerAdminRole`
+ Permissões de leitura para uma tabela do Amazon DynamoDB na qual as contas spoke são registradas
+ Assuma permissões de função `WorkspacesManagementRole` em contas in spoke
+ Permissões somente de leitura para o AWS Directory Service
+ Permissões de gravação no Amazon CloudWatch Logs
+ Permissões de gravação no Amazon S3
+ Permissões de leitura e gravação em WorkSpaces
`SolutionHelperRole`
+ Permissão para invocar uma função do AWS Lambda para gerar um identificador universal exclusivo (UUID) para métricas da solução
## Modelo Spoke
`WorkSpacesManagementRole`
+ Permissões somente de leitura para o AWS Directory Service
+ Permissões de gravação no Amazon CloudWatch Logs
+ Permissões de gravação no Amazon S3
+ Permissões de leitura/gravação em WorkSpaces
`AccountRegistrationProviderRole`
+ Invoque a função Lambda para registrar a conta spoke com a pilha de contas hub