**Apresentando uma nova experiência de console para AWS WAF**
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Identity and Access Management para AWS Firewall Manager
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar recursos do Firewall Manager. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS Firewall Manager funciona com o IAM](fms-security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para AWS Firewall Manager](fms-security-iam-awsmanpol.md)
+ [Solução de problemas AWS Firewall Manager de identidade e acesso](fms-security_iam_troubleshoot.md)
+ [Usar funções vinculadas ao serviço para o Firewall Manager](fms-using-service-linked-roles.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
## Público
A forma como você usa o AWS Identity and Access Management (IAM) é diferente, dependendo do trabalho que você faz no Firewall Manager.
**Usuário do serviço**: se você usa o serviço Firewall Manager para fazer o trabalho, o administrador fornece as credenciais e as permissões necessárias. À medida que usar mais atributos do Firewall Manager para fazer seu trabalho, você poderá precisar de permissões adicionais. Entender como o acesso é gerenciado pode ajudar a solicitar as permissões corretas ao administrador. Se não for possível acessar um atributo no Firewall Manager, consulte [Solução de problemas AWS Shield de identidade e acesso](shd-security_iam_troubleshoot.md).
**Administrador do serviço**: se você for o responsável pelos recursos do Firewall Manager na empresa, provavelmente terá acesso total ao Firewall Manager. Cabe a você determinar quais funcionalidades e atributos do Firewall Manager os usuários do serviço devem acessar. Envie as solicitações ao administrador do IAM para alterar as permissões dos usuários de serviço. Revise as informações nesta página para compreender os conceitos básicos do IAM. Para saber mais sobre como a empresa pode usar o IAM com o Firewall Manager, consulte [Como AWS Shield funciona com o IAM](shd-security_iam_service-with-iam.md).
**Administrador do IAM**: se você for um administrador do IAM, talvez queira saber detalhes sobre como é possível criar políticas para gerenciar o acesso ao Firewall Manager. Para visualizar exemplos de políticas baseadas em identidade do Firewall Manager que podem ser usadas no IAM, consulte [Exemplos de políticas baseadas em identidade para AWS Shield](shd-security_iam_id-based-policy-examples.md).
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS Firewall Manager funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Firewall Manager, saiba quais atributos do IAM estão disponíveis para uso com o Firewall Manager.
**Recursos do IAM que você pode usar com AWS Firewall Manager**
| Recurso do IAM | Suporte ao Firewall Manager |
| --- | --- |
| [Políticas baseadas em identidade](#fms-security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#fms-security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#fms-security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#fms-security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#fms-security_iam_service-with-iam-id-based-policies-conditionkeys) | Não |
| [ACLs](#fms-security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#fms-security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#fms-security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#fms-security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#fms-security_iam_service-with-iam-roles-service) | Parcial |
| [Perfis vinculados ao serviço](#fms-security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão geral de como o Firewall Manager e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para o Firewall Manager
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
Para visualizar exemplos de políticas baseadas em identidade do Firewall Manager, consulte [Exemplos de políticas baseadas em identidade para AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md).
### Exemplos de políticas baseadas em identidade para o Firewall Manager
Para visualizar exemplos de políticas baseadas em identidade do Firewall Manager, consulte [Exemplos de políticas baseadas em identidade para AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Firewall Manager
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações de política para o Firewall Manager
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista das ações do Firewall Manager, consulte [Ações definidas pelo AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de política no Firewall Manager usam o seguinte prefixo antes da ação:
```
fms
```
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
```
"Action": [
"fms:action1",
"fms:action2"
]
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "fms:Describe*"
```
Para visualizar exemplos de políticas baseadas em identidade do Firewall Manager, consulte [Exemplos de políticas baseadas em identidade para AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md).
## Recursos de política para o Firewall Manager
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de recursos do Firewall Manager e seus ARNs, consulte [Recursos definidos por AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).
Para visualizar exemplos de políticas baseadas em identidade do Firewall Manager, consulte [Exemplos de políticas baseadas em identidade para AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md).
## Chaves de condição de política do Firewall Manager
**Compatível com chaves de condição de política específicas de serviço:** não
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Firewall Manager, consulte [Chaves de condição do AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).
Para visualizar exemplos de políticas baseadas em identidade do Firewall Manager, consulte [Exemplos de políticas baseadas em identidade para AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md).
## ACLs no Firewall Manager
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com Firewall Manager
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usar credenciais temporárias com o Firewall Manager
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para o Firewall Manager
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço do Firewall Manager
**Compatível com perfis de serviço:** parcialmente
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de um perfil de serviço pode prejudicar a funcionalidade do Firewall Manager. Edite os perfis de serviço somente quando o Firewall Manager orientar você a fazê-lo.
### Selecionar um perfil do IAM no Firewall Manager
Para usar a ação da *PutNotificationChannel* API no Firewall Manager, você deve escolher uma função para permitir que o Firewall Manager acesse o Amazon SNS para que o serviço possa publicar mensagens do Amazon SNS em seu nome. Para obter mais informações, consulte [PutNotificationChannel](https://amazonaws.com/fms/2018-01-01/APIReference/API_PutNotificationChannel.html) na *Referência de APIs do AWS Firewall Manager *.
A seguir está um exemplo de configuração de permissão de tópico do SNS. Para usar essa política com seu próprio perfil personalizado, substitua o nome do recurso da Amazon (ARN) `AWSServiceRoleForFMS` pelo ARN `SnsRoleName`.
```
{
"Sid": "AWSFirewallManagerSNSPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
},
"Action": "sns:Publish",
"Resource": "SNS topic ARN"
}
```
Para obter mais informações sobre as ações e os recursos do Firewall Manager, consulte o tópico do AWS Identity and Access Management guia [Ações definidas por AWS Firewall Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions)
## Funções vinculadas ao serviço para o Firewall Manager
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para AWS Firewall Manager
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do Firewall Manager. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pelo Firewall Manager, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html) na *Referência de Autorização de Serviço*.
**Topics**
+ [Práticas recomendadas de política](#fms-security_iam_service-with-iam-policy-best-practices)
+ [Usando o console do Firewall Manager](#fms-security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#fms-security_iam_id-based-policy-examples-view-own-permissions)
+ [Conceda acesso de leitura aos grupos de segurança do Firewall Manager](#fms-example0)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Firewall Manager em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e passe para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o console do Firewall Manager
Para acessar o AWS Firewall Manager console, você deve ter um conjunto mínimo de permissões. Essas permissões devem autorizar você a listar e visualizar detalhes sobre os recursos do Firewall Manager na sua Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o console do Firewall Manager, anexe também o Firewall Manager `ConsoleAccess` ou a política `ReadOnly` AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Conceda acesso de leitura aos grupos de segurança do Firewall Manager
O Firewall Manager permite o acesso a recursos entre contas, mas não permite que você crie proteções de recursos entre contas. Você só pode criar proteções para recursos de dentro da conta que possui esses recursos.
Veja a seguir um exemplo de política que concede permissões para as ações `fms:Get`, `fms:List` e `ec2:DescribeSecurityGroups` em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"fms:Get*",
"fms:List*",
"ec2:DescribeSecurityGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# AWS políticas gerenciadas para AWS Firewall Manager
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: `AWSFMAdminFullAccess`
Use a política `AWSFMAdminFullAccess` AWS gerenciada para permitir que seus administradores acessem AWS Firewall Manager recursos, incluindo todos os tipos de política do Firewall Manager. Essa política não inclui permissões para configurar notificações do Amazon Simple Notification Service no AWS Firewall Manager. Para saber mais sobre como configurar o acesso ao Amazon Simple Notification Service, consulte [Configurando o acesso ao Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-setting-up.html).
Para ver a lista e os detalhes das políticas, consulte o console do IAM em [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary). O restante desta seção oferece uma visão geral das configurações de políticas.
**Instruções de permissão**
Esta política é agrupada em declarações com base no conjunto de permissões.
+ **AWS Firewall Manager recursos de política** - Permite permissões administrativas completas aos recursos em AWS Firewall Manager, incluindo todos os tipos de política do Firewall Manager.
+ **Grave AWS WAF registros no Amazon Simple Storage Service** - Permite que o Firewall Manager grave e leia AWS WAF registros no Amazon S3.
+ **Criar função vinculada ao serviço**: permite que o administrador crie uma função vinculada ao serviço, que permite que o Firewall Manager acesse recursos em outros serviços em seu nome. Essa permissão permite criar a função vinculada ao serviço somente para uso pelo Firewall Manager. Para saber mais sobre como o Firewall Manager usa funções vinculadas ao serviço, consulte [Usar funções vinculadas ao serviço para o Firewall Manager](fms-using-service-linked-roles.md).
+ **AWS Organizations**: permite que os administradores usem o Firewall Manager para uma organização no AWS Organizations. Depois de habilitar o acesso confiável para o Firewall Manager em AWS Organizations, os membros da conta de administrador podem ver as descobertas em toda a organização. Para obter informações sobre como usar AWS Organizations com AWS Firewall Manager, consulte [Usando AWS Organizations com outros AWS serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no *Guia AWS Organizations do usuário*.
**Categorias de permissão**
A lista a seguir lista os tipos de permissões na política e as permissões que elas fornecem.
+ `fms`— Trabalhe com AWS Firewall Manager recursos.
+ `waf` e `waf-regional`: trabalhe com políticas do AWS WAF Classic.
+ `elasticloadbalancing`— Associe os ACLsto Elastic Load Balancers da AWS WAF web.
+ `firehose`— Visualize informações sobre AWS WAF registros.
+ `organizations`— Trabalhe com os recursos da AWS Organizations.
+ `shield`: visualize o estado de assinatura das políticas do AWS Shield .
+ `route53resolver`— Trabalhe com o Route 53 Private DNS para grupos de VPCs regras em um Route 53 Private DNS for VPCs policy.
+ `wafv2`— Trabalhe com AWS WAFV2 políticas.
+ `network-firewall`— Trabalhe com AWS Network Firewall políticas.
+ `ec2`: visualize as zonas e regiões de disponibilidade da política.
+ `s3`— Visualize informações sobre AWS WAF registros.
## AWS política gerenciada: `FMSServiceRolePolicy`
Essa política permite AWS Firewall Manager gerenciar AWS recursos em seu nome no Firewall Manager e em serviços integrados. Esta política é anexada à função vinculada ao serviço `AWSServiceRoleForFMS`. Para saber mais sobre a função vinculada ao serviço do , consulte [Usar funções vinculadas ao serviço para o Firewall Manager](fms-using-service-linked-roles.md).
Para obter detalhes sobre a política, consulte o console do IAM em [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).
## AWS política gerenciada: AWSFMAdmin ReadOnlyAccess
Concede acesso somente de leitura a todos os recursos do AWS Firewall Manager.
Para ver a lista e os detalhes das políticas, consulte o console do IAM em [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary). O restante desta seção oferece uma visão geral das configurações de políticas.
**Categorias de permissão**
A lista a seguir lista os tipos de permissões na política e as informações às quais as permissões permitem acesso somente para leitura.
+ `fms`— AWS Firewall Manager recursos.
+ `waf`e `waf-regional` — Políticas AWS WAF clássicas.
+ `firehose`— AWS WAF troncos.
+ `organizations`— Recursos da AWS Organizations.
+ `shield`— AWS Shield políticas.
+ `route53resolver`— DNS privado do Route 53 para grupos de VPCs regras em um DNS privado do Route 53 para VPCs política.
+ `wafv2`— Seus grupos de AWS WAFV2 regras e grupos de regras de regras AWS gerenciadas que estão disponíveis em AWS WAFV2.
+ `network-firewall`— grupos de AWS Network Firewall regras e metadados de grupos de regras.
+ `ec2`— AWS Network Firewall política de zonas e regiões de disponibilidade.
+ `s3`— AWS WAF troncos.
## AWS política gerenciada: AWSFMMember ReadOnlyAccess
Concede acesso somente para leitura aos recursos AWS Firewall Manager dos membros. Para ver a lista e os detalhes das políticas, consulte o console do IAM em [AWSFMMemberReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMMemberReadOnlyAccess$serviceLevelSummary).
## Atualizações do Firewall Manager para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Firewall Manager desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página de histórico de documentos do Firewall Manager em [Histórico do documento](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy): política atualizada | Adicionadas permissões à política de serviço do Firewall Manager. Foram adicionadas as seguintes permissões necessárias para a Amazon CloudFront: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/fms-security-iam-awsmanpol.html) | 2025-05-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy): política atualizada | Adicionadas permissões à política de serviço do Firewall Manager. Incluídas permissões de `BatchGetResourceConfig` para obter o status de configuração de recursos em lotes. Veja a política atualizada no console do IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2025-02-10 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy): política atualizada | Permissões adicionadas para a política de perfil de serviço do Firewall Manager. Foi adicionada a capacidade de ler as informações de configuração TLS do Firewall de Rede. Veja a política atualizada no console do IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2024-07-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy): política atualizada | Permissões adicionadas para gerenciar a rede ACLs. Veja a política atualizada no console do IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2024-04-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy): política atualizada | Permissões adicionadas que permitem que o Firewall Manager descreva se as AWS Config regras especificadas estão em conformidade. Veja a política atualizada no console do IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2023-04-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy): política atualizada | Permissões adicionadas que permitem que o Firewall Manager descreva os atributos da instância e da interface de rede do Amazon EC2. Veja a política atualizada no console do IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2022-11-15 |
| [AWSFMAdminReadOnlyAccess](#security-iam-awsmanpol-AWSFMAdminReadOnlyAccess): política atualizada | Permissões adicionadas para apoiar AWS WAFV2, Shield, Network Firewall, DNS Firewall, grupo de segurança Amazon VPC e políticas. Veja a política atualizada no console do IAM: [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary). | 2022-11-02 |
| [AWSFMAdminFullAccess](#security-iam-awsmanpol-AWSFMAdminFullAccess): política atualizada | Permissões adicionadas para apoiar AWS WAFV2, Shield, Network Firewall, DNS Firewall, grupo de segurança Amazon VPC e políticas. Permissões do Amazon SNS removidas. Veja a política atualizada no console do IAM: [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary). | 2022-10-21 |
| `FMSServiceRolePolicy`— Novas permissões para políticas AWS Firewall Manager de firewall de terceiros | Essa alteração permite que o Firewall Manager crie e exclua os endpoints da VPC do Amazon EC2 associados a uma política de firewall de terceiros. | 2022-03-30 |
| `FMSServiceRolePolicy`— Novas permissões para AWS Network Firewall políticas | Foram adicionadas novas permissões para apoiar a implantação de firewalls para políticas de Network Firewall. As novas permissões permitem a recuperação de informações sobre zonas de disponibilidade para contas que estão no escopo de uma política. | 2022-02-16 |
| `FMSServiceRolePolicy`— Novas permissões para AWS Shield políticas | Foram adicionadas novas permissões para recuperar tags para recursos AWS WAF regionais e AWS WAF globais. Foram adicionadas permissões AWS WAF regionais para recuperar a web ACLs usando um ARN de recurso. Permissões adicionadas para suportar a mitigação automática da camada DDo S do aplicativo Shield. | 2022-01-07 |
| `FMSServiceRolePolicy`— Novas permissões para AWS Shield políticas | Foi adicionada nova permissão para recuperar tags para recursos do Elastic Load Balancing. | 2021-11-18 |
| `FMSServiceRolePolicy`— Novas permissões para grupos e AWS Network Firewall políticas de segurança | Foram adicionadas novas permissões para permitir o registro centralizado de AWS Network Firewall políticas. Além disso, permissões do Amazon EC2 somente para leitura foram adicionadas para suportar mudanças no serviço Config que afetam a AWS Firewall Manager forma como consulta recursos para políticas de grupos de segurança. | 2021-09-29 |
| `FMSServiceRolePolicy`— Formatos ARN para recursos AWS WAF | Atualizou o `FMSServiceRolePolicy` para padronizar os formatos de ARN para recursos AWS WAF . Os formatos ARN atualizados são `arn:aws:waf:*:*:*` e `arn:aws:waf-regional:*:*:*`. | 2021-08-12 |
| `FMSServiceRolePolicy` — Outras regiões na China | AWS Firewall Manager habilitou `FMSServiceRolePolicy` para as regiões BJS e ZHY na China. | 2021-08-12 |
| `FMSServiceRolePolicy`: atualização para a política existente | Foram adicionadas novas permissões para AWS Firewall Manager permitir o gerenciamento do Firewall Amazon Route 53 Resolver DNS. Essa alteração permite que o Firewall Manager configure associações de Firewall DNS Amazon Route 53 Resolver . Isso permite que você use o Firewall Manager para fornecer proteções de firewall de DNS para você VPCs em toda a organização em. AWS Organizations | 2021-03-17 |
| O Firewall Manager começou a rastrear as alterações | O Firewall Manager começou a monitorar as alterações em suas políticas AWS gerenciadas. | 2021-03-02 |
# Solução de problemas AWS Firewall Manager de identidade e acesso
Usar as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o Firewall Manager e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Firewall Manager](#fms-security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#fms-security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Firewall Manager](#fms-security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no Firewall Manager
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `fms:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fms:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `fms:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não tem autorização para executar a ação `iam:PassRole`, as suas políticas deverão ser atualizadas para permitir a passagem de um perfil para o Firewall Manager.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro de exemplo a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta usar o console para executar uma ação no Firewall Manager. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Firewall Manager
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Firewall Manager oferece suporte a esses atributos, consulte [Como AWS Shield funciona com o IAM](shd-security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre usar perfis e políticas baseadas em recursos para acesso entre contas, consulte [Como os perfis do IAM diferem de políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) no *Guia do usuário do IAM*.
# Usar funções vinculadas ao serviço para o Firewall Manager
AWS Firewall Manager usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculada diretamente ao Firewall Manager. As funções vinculadas ao serviço são predefinidas pelo Firewall Manager e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do Firewall Manager porque você não precisa adicionar as permissões necessárias manualmente. O Firewall Manager define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Firewall Manager pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
É possível excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da função. Isso protege seus recursos do Firewall Manager, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões para funções vinculadas ao serviço para o Firewall Manager
AWS Firewall Manager usa o nome da função vinculada ao serviço AWSService RoleFor FMS para permitir que o Firewall Manager chame AWS serviços em seu nome para gerenciar políticas de firewall e AWS Organizations recursos da conta. Essa política é anexada à função AWS gerenciada`AWSServiceRoleForFMS`. Para obter mais informações sobre a função gerenciada, consulte [AWS política gerenciada: `FMSServiceRolePolicy`](fms-security-iam-awsmanpol.md#security-iam-awsmanpol-FMSServiceRolePolicy).
A função vinculada ao serviço do AWSService RoleFor FMS confia no serviço para assumir a função. `fms.amazonaws.com`
A política de permissões da função permite que o Firewall Manager conclua as seguintes ações nos recursos especificados:
+ `waf`- Gerencie a Web AWS WAF clássica ACLs, as permissões de grupos de regras e as ACLs associações da web em sua conta.
+ `ec2` - Gerencie grupos de segurança em interfaces de rede elásticas e instâncias do Amazon EC2. Gerencie a rede ACLs nas sub-redes da Amazon VPC.
+ `vpc` - Gerencie sub-redes, tabelas de rotas, tags e endpoints na Amazon VPC.
+ `wafv2`- Gerencie a AWS WAF web ACLs, as permissões do grupo de regras e as ACLs associações da web em sua conta.
+ `cloudfront`- Crie uma web ACLs para proteger as CloudFront distribuições.
+ `config`- Gerencie as AWS Config regras de propriedade do Firewall Manager em sua conta.
+ `iam`- Gerencie essa função vinculada ao serviço e crie as funções obrigatórias e vinculadas ao serviço AWS WAF Shield se configurar o registro e as políticas do Shield. AWS WAF
+ `organization`- Crie uma função vinculada ao serviço de propriedade do Firewall Manager para gerenciar AWS Organizations recursos usados pelo Firewall Manager.
+ `shield`- Gerencie AWS Shield proteções e configurações de mitigação L7 para recursos em sua conta.
+ `ram`- Gerencie o compartilhamento AWS RAM de recursos para grupos de regras do Firewall DNS e grupos de regras do Firewall de Rede.
+ `network-firewall`- Gerencie recursos de propriedade do Firewall Manager e AWS Network Firewall recursos dependentes da Amazon VPC em sua conta.
+ `route53resolver` - Gerencie associações de Firewall DNS de propriedade do Firewall Manager em sua conta.
Veja a política completa no console do IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
## Criar uma função vinculada ao serviço para o Firewall Manager
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o login do Firewall Manager no Console de gerenciamento da AWS, ou faz uma `PutLoggingConfiguration` solicitação na CLI do Firewall Manager ou na API do Firewall Manager, o Firewall Manager cria a função vinculada ao serviço para você.
Você deve ter a permissão `iam:CreateServiceLinkedRole` para habilitar o registro em log.
Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você habilita o registro em log do Firewall Manager, o Firewall Manager cria a função vinculada ao serviço novamente.
## Editar uma função vinculada ao serviço para o Firewall Manager
O Firewall Manager não permite que você edite a função vinculada ao serviço AWSService RoleFor FMS. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir uma função vinculada ao serviço para o Firewall Manager
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o serviço Firewall Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Excluir o perfil vinculado a serviço usando o IAM**
Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada ao serviço do AWSService RoleFor FMS. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões com suporte a funções vinculadas ao serviço do Firewall Manager
O Firewall Manager oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints e cotas do Firewall Manager](https://docs.aws.amazon.com/general/latest/gr/firewallmanager.html).
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
O problema de “confused deputy” é uma questão de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS Firewall Manager concedem outro serviço ao recurso. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
A maneira mais eficaz de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com caracteres curinga (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:fms:*:account-id:*`
Se o valor de `aws:SourceArn` não contiver o ID da conta, como um ARN de bucket do Amazon S3, você deverá usar ambas as chaves de contexto de condição global para limitar as permissões.
O valor de `aws:SourceArn` deve ser a AWS conta do AWS Firewall Manager administrador.
O exemplo a seguir mostra como é possível usar a chave de contexto de condição global `aws:SourceArn` no Firewall Manager, a fim de evitar o problema de “confused deputy”.
O exemplo a seguir mostra como evitar o problema de “confused deputy” usando a chave de contexto de condição global `aws:SourceArn` na política de confiança da função do Firewall Manager. Substitua *Region* e *account-id* pelas próprias informações.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "servicename.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fms:us-east-1:123456789012:${*}",
"arn:aws:fms:us-east-1:123456789012:policy/*"
]
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------