# Gerenciamento de acesso para recursos da AWS
<a name="access"></a>

O AWS Identity and Access Management (IAM) é um serviço da Web que ajuda você a controlar o acesso aos recursos da AWS de forma segura. Quando um [principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) faz uma solicitação no AWS, o código de aplicação do AWS verifica se o principal está autenticado (fez login) e autorizado (tem permissões). Você gerencia o acesso na AWS criando políticas e anexando-as às identidades do IAM ou aos recursos da AWS. As políticas são documentos JSON no AWS que, quando anexadas a uma identidade ou recurso, definem suas permissões. Para obter mais informações sobre os tipos e os usos de políticas, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).

Para obter mais detalhes sobre o restante do processo de autenticação e autorização, consulte [Como o IAM funciona](intro-structure.md).

![\[AccessManagement_Diagram\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/access-diagram_800.png)


Ao fazer uma autorização, o código de aplicação do AWS usa os valores do [contexto da solicitação](intro-structure.md#intro-structure-request) para buscar as políticas correspondentes e determinar se ela será permitida ou negada. 

AWSO verifica cada política que se aplica ao contexto da solicitação. Se uma única política negar a solicitação, a AWS negará toda a solicitação e interromperá a avaliação de políticas. Esse processo é chamado de *negação explícita*. Como as solicitações são *negadas por padrão*, o IAM autorizará sua solicitação apenas se todas as partes de sua solicitação forem permitidas pelas políticas aplicáveis. A [lógica de avaliação](reference_policies_evaluation-logic.md) para uma solicitação em uma única conta segue estas regras:
+ Por padrão, todas as solicitações são implicitamente negadas. (Opcionalmente, por padrão, Usuário raiz da conta da AWS tem acesso total.) 
+ Uma permissão explícita em uma política baseada em recurso ou identidade substitui esse padrão.
+ Se houver um limite de permissões, SCP de AWS Organizations ou política de sessão, isso poderá substituir a permissão com uma negação implícita.
+ Uma negação explícita em qualquer política substitui todas as permissões.

Depois que sua solicitação for autenticada e autorizada, a AWS aprovará a solicitação. Se você precisar fazer uma solicitação em uma conta diferente, uma política na outra conta deverá permitir que você acesse o recurso. Além disso, a entidade do IAM que você usa para fazer a solicitação deve ter uma política baseada em identidade que permita a solicitação.

## Recursos de gerenciamento de acesso
<a name="access_resources"></a>

Para obter mais informações sobre permissões e criação de políticas, consulte os seguintes recursos:

Os registroa a seguir no AWS Security Blog abrangem formas comuns de gravar políticas para acesso a buckets e objetos do Amazon S3.
+ [Writing IAM Policies: How to Grant Access to an Amazon S3 Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [Writing IAM policies: Grant Access to User-Specific Folders in an Amazon S3 Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [IAM Policies and Bucket Policies and ACLs\$1 Nossa\$1 (Controlar o acesso aos recursos do S3)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)
+ [Uma introdução às permissões em nível de recursos do RDS](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [Desmistificação de permissões em nível de recursos do EC](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)

# Políticas e permissões no AWS Identity and Access Management
<a name="access_policies"></a>

Gerencie o acesso na AWS criando políticas e anexando-as a identidades do IAM (usuários, grupos de usuários ou perfis) ou a recursos da AWS. Uma política é um objeto na AWS que, quando associado a uma identidade ou um recurso, define suas permissões. A AWS avalia essas políticas quando uma entidade principal do IAM (usuário ou perfil) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON. A AWS oferece suporte a sete tipos de políticas: políticas baseadas em identidade, políticas baseadas em recursos, limites de permissões, políticas de controle de serviços (SCPs) do AWS Organizations, políticas de controle de recursos (RCPs) do AWS Organizations, listas de controle de acesso (ACL) e políticas de sessão.

As políticas do IAM definem permissões para uma ação independentemente do método usado para executar a operação. Por exemplo, se uma política permitir a ação [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), um usuário com essa política poderá obter informações de usuários no Console de gerenciamento da AWS, na AWS CLI ou na API da AWS. Ao criar um usuário do IAM, você pode optar por permitir acesso ao console ou programático. Se o acesso ao console for permitido, o usuário do IAM poderá fazer login nele usando suas credenciais. Se o acesso programático for permitido, o usuário poderá usar as chaves de acesso para trabalhar com a CLI ou a API.

## Tipos de políticas
<a name="access_policy-types"></a>

Os seguintes tipos de políticas, listados em ordem do usado com mais frequência a menos usado, estão disponíveis para uso na AWS. Para obter mais detalhes, consulte as seções a seguir para cada tipo de política.
+ **[Políticas baseadas em identidade](#policies_id-based)**: anexe políticas [gerenciadas](#managedpolicy) e [em linha](#inline) a identidades do IAM (usuários, grupos aos quais os usuários pertencem ou funções). As políticas baseadas em identidade concedem permissões a uma identidade.
+ **[Políticas baseadas em recurso](#policies_resource-based)**: anexe políticas em linha a recursos. Os exemplos de políticas baseadas em recurso mais comuns são as políticas de bucket do Amazon S3 e as políticas de confiança de funções do IAM. As políticas baseadas em recurso concedem permissões à entidade principal que é especificada na política. As entidades principais podem ser na mesma conta como o recurso ou em outras contas.
+ **[Limites de permissões](#policies_bound)**: use uma política gerenciada como o limite de permissões para uma entidade do IAM (usuário ou função). Essa política define o número máximo de permissões que as políticas baseadas em identidade podem conceder a uma entidade, mas não concede permissões. Os limites de permissões não definem o número máximo de permissões que uma política baseada em recurso pode conceder a uma entidade.
+ **[SCPs do AWS Organizations](#policies_scp)**: use uma política de controle de serviço (SCP) do AWS Organizations para definir o número máximo de permissões para usuários do IAM e perfis do IAM nas contas da sua organização ou unidade organizacional (UO). As SCPs limitam as permissões que as políticas baseadas em identidade ou políticas baseadas em recurso concedem a usuários do IAM ou perfis do IAM na conta. As SCPs não concedem permissões.
+ **[RCPs do AWS Organizations](#policies_rcp)**: use uma política de controle de recurso (RCP) do AWS Organizations para definir o número máximo de permissões para recursos nas contas da sua organização ou unidade organizacional (UO). As RCPs limitam as permissões que as políticas baseadas em identidade e recursos podem conceder aos recursos nas contas da sua organização. As RCPs não concedem permissões.
+ **[Listas de controle de acesso (ACLs))](#policies_acl)**: use ACLs para controlar quais entidades de segurança em outras contas podem acessar o recurso ao qual a ACL está anexada. As ACLs são semelhantes às políticas baseadas em recurso, embora sejam o único tipo de política que não usa a estrutura de documento de política JSON. As ACLs são políticas de permissões entre contas que concedem permissões para a entidade principal especificada. As ACLs não podem conceder permissões para entidades na mesma conta.
+ **[Políticas de sessão](#policies_session)**: transmita políticas de sessão avançadas ao usar a AWS CLI ou a API da AWS para assumir uma função ou um usuário federado. As políticas de sessão limitam as permissões que as políticas baseada em identidade do usuário ou função concedem à sessão. As políticas de sessão limitam as permissões para uma sessão criada, mas não concedem permissões. Para obter mais informações, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

### Políticas baseadas em identidade
<a name="policies_id-based"></a>

As Políticas baseadas em identidade são documentos de política de permissões JSON que controlam quais ações uma identidade (usuários, grupos de usuários e funções) pode realizar, em quais recursos e em que condições. As políticas baseadas em identidade podem ser categorizadas em:
+ **Políticas gerenciadas**: políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e perfis na Conta da AWS. Existem dois tipos de políticas gerenciadas:
  + **Políticas gerenciadas pela AWS**: políticas gerenciadas que são criadas e gerenciadas pela AWS.
  + **Políticas gerenciadas pelo cliente**: políticas gerenciadas que você criar e gerenciar na sua Conta da AWS. As políticas gerenciadas pelo cliente oferecem um controle mais preciso de suas políticas do que as políticas gerenciadas pela AWS.
+ **Políticas em linha**: políticas adicionadas diretamente a um único usuário, grupo ou perfil. As políticas em linha mantêm um relacionamento estrito de um para um entre uma política e uma identidade. Elas são excluídas quando você exclui a identidade.

Para saber como escolher entre políticas gerenciadas e em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](access_policies-choosing-managed-or-inline.md).

### Políticas baseadas em recursos
<a name="policies_resource-based"></a>

Políticas baseadas em recurso são documentos de política JSON que você anexa a um recurso, como um bucket do Amazon S3. Essas políticas concedem permissão à entidade principal especificada para executar ações específicas nesse recurso e definem em que condições isso se aplica. As políticas baseadas em recursos são políticas em linha. Não há políticas baseadas em recursos gerenciadas. 

Para permitir o acesso entre contas, você pode especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Adicionar uma entidade principal entre contas à política baseada em recurso é apenas metade da tarefa de estabelecimento da relação de confiança. Quando a entidade principal e o recurso estiverem em Contas da AWS separadas, também será necessário usar uma política baseada em identidade para conceder o acesso a essa entidade principal para o recurso. No entanto, se uma política baseada em recurso conceder acesso a uma entidade principal na mesma conta, nenhuma política baseada em identidade adicional será necessária. Para obter instruções detalhadas sobre a concessão de acesso entre serviços, consulte [Tutorial do IAM: Delegar acesso entre contas da AWS usando funções do IAM](tutorial_cross-account-with-roles.md).

O serviço do IAM oferece suporte a apenas um tipo de política baseada em recurso chamada *política de confiança* de uma função, que é anexada a uma função do IAM. Uma função do IAM é uma identidade e um recurso que é compatível com as políticas baseadas em recurso. Por esse motivo, você deve anexar uma política de confiança e uma política baseada em identidade a uma função do IAM. As políticas de confiança definem quais entidades principais (contas, usuários, funções e usuários federados) podem assumir a função. Para saber como as funções do IAM diferem de outras políticas baseadas em recurso, consulte [Acesso a recursos entre contas no IAM](access_policies-cross-account-resource-access.md).

Para ver quais outros serviços oferecem suporte a políticas baseadas em recurso, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md). Para saber mais sobre as políticas baseadas em recursos, consulte [Políticas baseadas em identidade e em recurso](access_policies_identity-vs-resource.md). Para saber se as entidades de contas fora de sua zona de confiança (organização confiável ou conta) têm acesso para assumir as suas funções, consulte [O que é o IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

### Limites de permissões do IAM
<a name="policies_bound"></a>

Um limite de permissões é um recurso avançado no qual você define as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM. Quando você definir um limite de permissões para uma entidade, ela poderá executar apenas as ações que são permitidas por ambas as políticas baseadas em identidade e seus limites de permissões. Se você especificar um perfil, sessão ou usuário no elemento da entidade principal de uma política baseada em recursos, não será necessária uma permissão explícita no limite de permissão. Contudo, se você especificar um ARN de perfil no elemento da entidade principal de uma política baseada em recursos, será necessária uma permissão explícita no limite de permissão. Em ambos os casos, uma negação explícita no limite da permissão é efetiva. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações sobre esses limites de permissões, consulte [Limites de permissões para entidades do IAM](access_policies_boundaries.md).

### Políticas de controle de serviço (SCPs) do AWS Organizations
<a name="policies_scp"></a>

Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as contas. As SCPs são políticas JSON que especificam o máximo de permissões para usuários do IAM e perfis do IAM nas contas de uma organização ou unidade organizacional (UO). A SCP limita as permissões para entidades principais em contas-membro, o que inclui cada Usuário raiz da conta da AWS. Uma negação explícita em qualquer uma dessas políticas se sobrepõe a uma permissão nas outras políticas.

Para obter mais informações sobre o AWS Organizations e as SCPs, consulte [Políticas de controle de serviço (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.

### Políticas de controle de recursos (RCPs) do AWS Organizations
<a name="policies_rcp"></a>

Se você habilitar todos os atributos em uma organização, poderá usar políticas de controle de recursos (RCPs) para aplicar centralmente controles de acesso a recursos em várias Contas da AWS. As RCPs são políticas JSON que podem ser usadas para definir o máximo de permissões disponíveis para recursos em suas contas sem atualizar as políticas do IAM anexadas a cada recurso que você possui. A RCP limita as permissões para recursos nas contas-membro e pode afetar as permissões efetivas para identidades, incluindo o Usuário raiz da conta da AWS, independentemente de pertencerem a sua organização. Uma negação explícita em qualquer RCP aplicável substitui uma permissão em outras políticas que possam estar associadas a identidades ou recursos individuais.

Para obter mais informações sobre o AWS Organizations e as RCPs, incluindo uma lista dos Serviços da AWS que oferecem suporte às RCPs, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia do usuário do AWS Organizations*.

### Listas de controle de acesso (ACLs)
<a name="policies_acl"></a>

As listas de controle de acesso (ACLs) são políticas de serviço que permitem controlar quais entidades principais em outra conta podem acessar um recurso. As ACLs não podem ser usadas para controlar o acesso a um principal na mesma conta. As ACLs são semelhantes às políticas baseadas em recurso, embora sejam o único tipo de política que não usa o formato de documento de política JSON. Amazon S3, AWS WAF e Amazon VPC são exemplos de serviços que oferecem compatibilidade com ACLs. Para saber mais sobre ACLs, consulte [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.

### Políticas de sessão
<a name="policies_session"></a>

As políticas de sessão são políticas avançadas que você transmite como um parâmetro quando você cria de forma programática uma sessão temporária para um perfil ou uma entidade principal de usuário federado do AWS STS. As permissões para uma sessão são a interseção das políticas baseadas em identidade para a entidade (usuário ou função) do IAM usada para criar a sessão e as políticas da sessão. As permissões também podem ser provenientes de uma política baseada em recursos. Uma negação explícita em qualquer uma dessas políticas substitui a permissão.

É possível criar uma sessão de perfil e transmitir políticas de sessão de forma programática usando as operações de API `AssumeRole`, `AssumeRoleWithSAML` ou `AssumeRoleWithWebIdentity`. É possível passar um único documento de política JSON de sessão em linha usando o parâmetro `Policy`. É possível usar o parâmetro `PolicyArns` para especificar até 10 políticas de sessão gerenciadas. Para obter mais informações sobre a criação de uma sessão de função, consulte [Permissões de credenciais de segurança temporárias](id_credentials_temp_control-access.md).

Ao criar uma sessão de entidade principal de usuário federado do AWS STS, use as chaves de acesso do usuário do IAM para chamar de forma programática a operação da API `GetFederationToken`. Você também deve transmitir as políticas da sessão. As permissões da sessão resultam da interseção da política baseada em identidade do usuário e da política de sessão. Para obter mais informações sobre a criação de uma sessão de usuário federado, consulte [Solicitar credenciais por meio de um intermediador de identidades personalizado](id_credentials_temp_request.md#api_getfederationtoken).

Uma política baseada em recurso pode especificar o ARN do usuário ou função como uma entidade principal. Nesse caso, as permissões da política baseada em recurso são adicionadas à função ou política baseada em identidade do usuário antes que a sessão seja criada. A política de sessão limita o total de permissões concedidas pela política baseada em recurso e política baseada em identidade. As permissões da sessão resultante são a interseção das políticas de sessão e das políticas baseadas em recurso, mais a interseção das políticas de sessão e das políticas baseadas em identidade.

![\[Avaliação da política de sessão com uma política baseada em recurso especificando o ARN da entidade\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/EffectivePermissions-session-rbp-id.png)


Uma política baseada em recurso pode especificar o ARN da sessão como uma entidade principal. Nesse caso, as permissões da política baseada em recurso são adicionadas depois que a sessão for criada. As permissões da política baseada em recurso não são limitadas pela política de sessão. A sessão resultante tem todas as permissões da política baseada em recurso *além da* interseção da política baseada em identidade e da política de sessão.

![\[Avaliação da política de sessão com uma política baseada em recurso especificando o ARN da sessão\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/EffectivePermissions-session-rbpsession-id.png)


Um limite de permissões pode definir o número máximo de permissões para um usuário ou uma função que é usada para criar uma sessão. Nesse caso, as permissões da sessão resultam da interseção da política de sessão, do limite de permissões e da política baseada em identidade. No entanto, um limite de permissões não limita as permissões concedidas por uma política baseada em recurso que especifica o ARN da sessão resultante.

![\[Avaliação da política de sessão com um limite de permissões\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Políticas e o usuário-raiz
<a name="access_policies-root"></a>

O Usuário raiz da conta da AWS é afetado por alguns tipos de políticas, mas não por outros. Você não pode anexar políticas baseadas em identidade ao usuário-raiz e não pode definir o limite de permissões para o usuário-raiz. No entanto, você pode especificar o usuário-raiz como a entidade principal em uma política baseada em recurso ou uma ACL. Um usuário-raiz ainda é o membro de uma conta. Se essa conta for membro de uma organização no AWS Organizations, o usuário-raiz será afetado por SCPs e RCPs para a conta.

## Visão geral das políticas de JSON
<a name="access_policies-json"></a>

A maioria das políticas é armazenada na AWS como documentos JSON. As políticas baseadas em identidade e as políticas usadas para definir limites de permissões são documentos de política JSON que você anexa a um usuário ou a uma função. Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. As SCPs e RCPs são documentos de políticas JSON com sintaxe restrita que você anexa a uma raiz de organização do AWS Organizations, unidade organizacional (UO) ou conta. As ACLs também são anexadas a um recurso, mas você deve usar uma sintaxe diferente. As políticas de sessão são políticas JSON que você fornece ao assumir uma sessão de função ou usuário federado.

Você não precisa compreender a sintaxe JSON. É possível usar o editor visual no Console de gerenciamento da AWS para criar e editar políticas gerenciadas pelo cliente sem nunca ter usado o JSON. No entanto, se você usar políticas em linha para grupos ou políticas complexas, ainda será necessário criar e editar essas políticas no editor de JSON usando o console. Para obter informações sobre como usar o editor visual, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md) e [Editar políticas do IAM](access_policies_manage-edit.md).

 Quando você cria ou edita uma política JSON, o IAM pode executar a validação de políticas para ajudar você a criar uma política eficaz. O IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de políticas adicionais com recomendações para ajudar você a refinar ainda mais suas políticas. Para saber mais sobre validação de política, consulte [Validação de política do IAM](access_policies_policy-validator.md). Para saber mais sobre as verificações de política do IAM Access Analyzer e as recomendações práticas, consulte [Validação de política do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). 

### Estrutura de documento de política JSON
<a name="policies-introduction"></a>

Como mostrado na figura a seguir, um documento de política JSON inclui estes elementos:
+ Informações opcionais da política na parte superior do documento
+ Uma ou mais instruções individuais**

Cada instrução inclui informações sobre uma única permissão. Se uma política incluir várias instruções, a AWS aplicará um `OR` lógico a todas as instruções ao avaliá-las. Se várias políticas se aplicarem a uma solicitação, a AWS aplicará um `OR` lógico a todas essas políticas ao avaliá-las. 

![\[Estrutura de documento de política JSON\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/AccessPolicyLanguage_General_Policy_Structure.diagram.png)


As informações em uma instrução estão contidas em uma série de elementos.
+ **Version** – especifique a versão do idioma da política que deseja usar. É recomendável usar a versão `2012-10-17 ` mais recente. Para obter mais informações, consulte . [Elementos de política JSON do IAM: Version](reference_policies_elements_version.md)
+ **Statement** – use este elemento de política principal como um contêiner para os elementos a seguir. É possível incluir mais de uma instrução em uma política.
+ **Sid** (opcional): inclua um ID de instrução opcional para diferenciar entre suas instruções.
+ **Effect**: use `Allow` ou `Deny` para indicar se a política permite ou nega acesso.
+ **Principal** (obrigatório em algumas circunstâncias): se você criar uma política baseada em recurso, deverá indicar a conta, o usuário, o perfil ou a entidade principal do usuário federado do AWS STS ao qual deseja permitir ou negar acesso. Se estiver criando uma política de permissões do IAM para anexar a um usuário ou a uma função, você não poderá incluir esse elemento. A entidade principal é implícita como esse usuário ou função.
+ **Action** – inclua uma lista de ações que a política permite ou nega.
+ **Resource**: (obrigatório em algumas circunstâncias): se você criar uma política de permissões do IAM, deverá especificar uma lista de recursos aos quais as ações se aplicam. Se você criar uma política baseada em recursos, isso dependerá do recurso que você está usando para determinar se esse elemento é necessário ou não.
+ **Condition** (opcional): especifique as circunstâncias sob as quais a política concede a permissão.

Para saber mais sobre esses e outros elementos mais avançados de políticas, consulte [Referência de elemento de política JSON do IAM](reference_policies_elements.md). 

### Várias instruções e várias políticas
<a name="policies-syntax-multiples"></a>

Se desejar definir mais de uma permissão para uma entidade (usuário ou função), você poderá usar várias instruções em uma única política. Você também pode anexar várias políticas. Se você tentar definir várias permissões em uma única instrução, sua política poderá não conceder o acesso esperado. É recomendável dividir políticas por tipo de recurso. 

Devido ao [tamanho limitado das políticas](reference_iam-quotas.md), poderá ser necessário usar várias políticas para permissões mais complexas. Também é uma boa ideia criar agrupamentos funcionais de permissões em uma política gerenciada pelo cliente separada. Por exemplo, crie uma política para gerenciamento de usuários do IAM, uma para autogerenciamento e outra política para gerenciamento de buckets do S3. Independentemente da combinação de várias instruções e de várias políticas, a AWS [avalia](reference_policies_evaluation-logic.md) suas políticas da mesma forma.

Por exemplo, a política a seguir tem três instruções, cada uma delas define um conjunto separado de permissões em uma única conta. As instruções definem o seguinte:
+ A primeira instrução, com um `Sid` (ID de instrução) de `FirstStatement`, permite que o usuário com a política anexada altere sua própria senha. O elemento `Resource` nessa instrução é "`*`" (o que significa "todos os recursos"). No entanto, na prática, a operação de API `ChangePassword` (ou o comando da CLI `change-password` equivalente) afeta somente a senha do usuário que faz a solicitação. 
+ A segunda instrução permite que o usuário liste todos os buckets do Amazon S3 na sua Conta da AWS. O elemento `Resource` nessa instrução é `"*"` (o que significa "todos os recursos"). Porém, como as políticas não concedem acesso aos recursos em outras contas, o usuário pode listar somente os buckets na sua própria Conta da AWS. 
+ A terceira instrução permite que o usuário liste e recupere qualquer objeto que esteja em um bucket chamado `amzn-s3-demo-bucket-confidential-data`, mas somente quando o usuário estiver autenticado com autenticação multifator (MFA). O elemento `Condition` na política impõe a autenticação MFA.

  Quando uma instrução de política contém um elemento `Condition`, ela só entrará em vigor quando o elemento `Condition` for verdadeiro. Nesse caso, a `Condition` é avaliada como verdadeira quando o usuário é autenticado por MFA. Se o usuário não for autenticado por MFA, essa `Condition` será avaliada como falsa. Nesse caso, a terceira instrução dessa política não se aplicará, e o usuário não terá acesso ao bucket `amzn-s3-demo-bucket-confidential-data`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}
```

------

### Exemplos de sintaxe de política JSON
<a name="policies-syntax-examples"></a>

A seguinte política baseada em identidade permite que a entidade principal implícita liste um único bucket do Amazon S3 chamado `amzn-s3-demo-bucket`: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}
```

------

A seguinte política baseada em recurso pode ser anexada a um bucket do Amazon S3. A política permite que membros de uma Conta da AWS específica execute qualquer ação do Amazon S3 no bucket denominado `amzn-s3-demo-bucket`. Ela permite qualquer ação que pode ser executada em um bucket ou em seus objetos. (Como a política concede confiança apenas à conta, os usuários individuais da conta ainda devem receber permissões para as ações especificadas do Amazon S3.) 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Para visualizar políticas de exemplo para cenários comuns, consulte [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md).

## Conceder privilégio mínimo
<a name="grant-least-priv"></a>

Ao criar políticas do IAM, siga a orientação de segurança padrão de concessão de *privilégio mínimo* ou conceda apenas as permissões necessárias para realizar uma tarefa. Determine o que os usuários e as funções precisam fazer e, em seguida, crie políticas que permitam que eles executem *apenas* essas tarefas. 

Comece com um conjunto mínimo de permissões e conceda permissões adicionais conforme necessário. Fazer isso é mais seguro do que começar com permissões que são muito lenientes e tentar restringi-las superiormente.

Como alternativa ao privilégio mínimo, você pode usar [políticas gerenciadas pela AWS](access_policies_managed-vs-inline.md#aws-managed-policies) ou políticas com permissões com curinga `*` para iniciar as políticas. Considere o risco de segurança de conceder às suas entidades de segurança mais permissões do que elas precisam para realizar um trabalho. Monitore esses entidades de segurança para saber quais permissões elas estão usando. Em seguida, escreva políticas de privilégio mínimos.

O IAM fornece várias opções para ajudar você a refinar as permissões concedidas.
+ **Compreender agrupamentos de nível de acesso**: você pode usar agrupamentos no nível de acesso para entender o nível de acesso que a política concede. As [ações da política](reference_policies_elements_action.md) são classificadas como `List`, `Read`, `Write`, `Permissions management` ou `Tagging`. Por exemplo, você pode escolher ações dos níveis de acesso `List` e `Read` para conceder acesso somente leitura a seus usuários. Para saber como usar resumos de políticas para entender as permissões no nível de acesso, consulte [Níveis de acesso em resumos de política](access_policies_understand-policy-summary-access-level-summaries.md).
+ **Validar suas políticas**: você pode executar a validação de políticas usando o IAM Access Analyzer ao criar e editar políticas de JSON. Recomendamos que você revise e valide todas as políticas existentes. O IAM Access Analyzer fornece mais de 100 verificações de política para validar suas políticas. Ele gera avisos de segurança quando uma instrução em sua política permite o acesso que consideramos excessivamente permissivo. É possível usar as recomendações práticas fornecidas por meio dos avisos de segurança à medida que trabalha para conceder privilégios mínimos. Para saber mais sobre as verificações de política fornecidas pelo IAM Access Analyzer, consulte [Validação da política do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Gerar uma política com base na atividade de acesso**: para ajudar você a refinar as permissões que você concede, gere uma política do IAM baseada na atividade de acesso de uma entidade do IAM (usuário ou função). O IAM Access Analyzer revisa seus logs do AWS CloudTrail e gera um modelo de política que contém as permissões que foram usadas pela entidade no período especificado. É possível usar o modelo para criar uma política gerenciada com permissões refinadas e anexá-la à entidade do IAM. Dessa forma, você concede apenas as permissões de que o usuário ou a função precisa para interagir com os recursos da AWS para seu caso de uso específico. Para saber mais, consulte [Geração de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ **Usar as informações do último acesso**: outro recurso que pode ajudar com privilégios mínimos são as *informações do último acesso*. Visualize essas informações na guia **Access Advisor** (Consultor de acesso) na página de detalhes do console do IAM de um usuário, um grupo, uma função ou uma política do IAM. As informações do último acesso também incluem informações sobre as ações que foram acessadas pela última vez para alguns serviços, como Amazon EC2, IAM, Lambda e Amazon S3. Se você fizer login usando credenciais da conta de gerenciamento do AWS Organizations, poderá visualizar as informações do último acesso ao serviço na seção **AWS Organizations** do console do IAM. Você também pode usar a AWS CLI ou a API da AWS para recuperar um relatório das informações acessadas por último de entidades ou políticas no IAM ou no AWS Organizations. Você pode usar esta informação para identificar permissões desnecessárias, de forma que você possa refinar suas políticas do IAM ou do AWS Organizations para melhor aderir ao princípio de privilégio mínimo. Para obter mais informações, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).
+ **Revisar eventos da conta no AWS CloudTrail**: para reduzir ainda mais as permissões, você pode visualizar os eventos da sua conta em AWS CloudTrail **Event history** (Histórico do evento). Os logs de eventos do CloudTrail incluem informações de eventos detalhadas que você pode usar para reduzir as permissões da política. Os logs incluem apenas as ações e os recursos de que suas entidades do IAM precisam. Para obter mais informações, consulte [Visualizar eventos do CloudTrail no console do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) no *Guia do usuário do AWS CloudTrail*.



Para obter mais informações, consulte os tópicos de políticas para serviços individuais a seguir, os quais fornecem exemplos de como gravar políticas para recursos específicos do serviço.
+ [Usar políticas baseadas em recursos para o DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html) no *Guia do desenvolvedor do Amazon DynamoDB*
+ [Políticas de bucket para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.
+ [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do usuário do Amazon Simple Storage Service*

# Políticas gerenciadas e em linha
<a name="access_policies_managed-vs-inline"></a>

Ao definir as permissões para uma identidade no IAM, você deve decidir se deseja usar uma política gerenciada pela AWS, uma política gerenciada pelo cliente ou uma política em linha. Os tópicos a seguir oferecem mais informações sobre cada um dos tipos de políticas baseadas em identidade e quando usá-las.

A tabela a seguir descreve essas políticas:


| Tipo de política | Descrição | Quem gerencia a política? | Modificar permissões? | Número de entidades principais aplicadas à política? | 
| --- | --- | --- | --- | --- | 
| [AWSPolíticas gerenciadas pela](#aws-managed-policies) | Política autônoma criada e administrada pela AWS. | AWS | Não | Muitas | 
| [Políticas gerenciadas pelo cliente](#customer-managed-policies) | Política que você cria para casos de uso específicos, e você poderá alterá-las ou atualizá-las com a frequência que desejar. | You | Sim | Muitas | 
| [Políticas em linha](#inline-policies) | Política criada para uma única identidade do IAM (usuário, grupo ou perfil) que mantém uma estrita relação de um para um entre uma política e uma identidade. | You | Sim | Um | 

**Topics**
+ [AWSPolíticas gerenciadas pela](#aws-managed-policies)
+ [Políticas gerenciadas pelo cliente](#customer-managed-policies)
+ [Políticas em linha](#inline-policies)
+ [Escolher entre políticas gerenciadas e políticas em linha](access_policies-choosing-managed-or-inline.md)
+ [Converter uma política em linha em uma política gerenciada](access_policies-convert-inline-to-managed.md)
+ [Políticas gerenciadas pela AWS defasadas](access_policies_managed-deprecated.md)

## AWSPolíticas gerenciadas pela
<a name="aws-managed-policies"></a>

Uma *política gerenciada pela AWS* é uma política independente que é criada e administrada pela AWS. A *política independente* significa que a política tem seu próprio nome do recurso da Amazon (ARN) que inclui o nome da política. Por exemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` é uma política gerenciada da AWS. Para obter mais informações sobre ARNs do , consulte [ARNs do IAM](reference_identifiers.md#identifiers-arns). Para obter uma lista das políticas gerenciadas pela AWS dos Serviços da AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).

As políticas gerenciadas pela AWS facilitam a atribuição das devidas permissões aos usuários, perfis e grupos do IAM. É mais rápido do que escrever as políticas por conta própria e contém permissões para vários casos de uso comuns.

Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Ocasionalmente, a AWS atualizará as permissões definidas em uma política gerenciada da AWS. Quando a AWS faz isso, a atualização afeta todas as entidades principais (usuários, grupos e perfis do IAM) às quais a política está anexada. É mais provável que a atualização de uma política gerenciada pela AWS ocorra quando um novo serviço da AWS for iniciado ou novas chamadas de API se tornarem disponíveis para os serviços existentes. Por exemplo, a política gerenciada pela AWS denominada **ReadOnlyAccess** fornece acesso somente leitura a todos os recursos e Serviços da AWS. Quando a AWS lança um novo serviço, a AWS atualiza a política **ReadOnlyAccess** para adicionar permissões somente leitura para o novo serviço. As permissões atualizadas são aplicadas a todas as entidades principais às quais política estiver anexada.

*Políticas gerenciadas pela AWS de acesso total*: elas definem permissões para administradores de serviço concedendo acesso total a um serviço. Os exemplos incluem:
+ [AmazonDynamoDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)

*Políticas gerenciadas pela AWS para usuários avançados*: essas políticas fornecem acesso total aos recursos e Serviços da AWS, mas não permitem gerenciar usuários e grupos do IAM. Os exemplos incluem:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html) 
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)

*Políticas gerenciadas pela AWS de acesso parcial*: elas fornecem níveis específicos de acesso aos Serviços da AWS sem fornecer permissões de nível de acesso de [gerenciamento de permissões](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level). Os exemplos incluem:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) 

*Políticas gerenciadas pela AWS de funções de trabalho*: essas políticas se alinham estreitamente a funções de trabalho bastante usadas no setor de TI e facilitam a concessão de permissões para essas funções de trabalho. Uma das principais vantagens de usar políticas de função de trabalho é que elas são mantidas e atualizadas pela AWS à medida que novos serviços e operações de API são introduzidos. Por exemplo, a função de trabalho [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) fornece acesso total e delegação de permissões para cada serviço e recurso na AWS. Recomendamos usar essa política apenas para o administrador da conta. Para usuários avançados que exigem acesso completo a todos os serviços, exceto o acesso limitado ao IAM e ao AWS Organizations, use a função de trabalho [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html). Para obter uma lista e as descrições das políticas de função de trabalho, consulte [AWSPolíticas gerenciadas pela para funções de trabalho](access_policies_job-functions.md).

O seguinte diagrama ilustra as políticas gerenciadas pela AWS. O diagrama mostra três políticas gerenciadas pela AWS: **AdministratorAccess**, **PowerUserAccess** e **AWSCloudTrailReadOnlyAccess**. Uma única política gerenciada pela AWS pode ser anexada a entidades principais em diferentes Contas da AWS e a entidades principais diferentes em uma única Conta da AWS.

![\[Diagrama de políticas gerenciadas pela AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)


## Políticas gerenciadas pelo cliente
<a name="customer-managed-policies"></a>

Você pode criar políticas autônomas na sua Conta da AWS, que podem ser anexadas às entidades principais (usuários, grupos e perfis do IAM). Crie essas *políticas gerenciadas pelo cliente* para seus casos de uso específicos e você poderá alterá-las e atualizá-las quantas vezes quiser. Assim como nas políticas gerenciadas pela AWS, ao anexar uma política a uma entidade principal, você atribui à entidade as permissões que estão definidas na política. Quando você atualiza permissões na política, as alterações são aplicadas a todas as entidades principais às quais a política esteja anexada.

Uma ótima forma de criar uma política gerenciada pelo cliente é começar copiando uma política gerenciada pela AWS. Dessa forma, você sabe que a política está correta no início e basta personalizá-la para seu ambiente.

O seguinte diagrama ilustra as políticas gerenciadas pelo cliente. Cada política é uma entidade no IAM com seu próprio [nome de recurso da Amazon (ARN)](reference_identifiers.md#identifiers-arns) que inclui o nome da política. Observe que a mesma política pode ser anexada a várias entidades de segurança, por exemplo, a mesma política **DynamoDB-books-app** é anexada a duas funções do IAM distintas.

Para obter mais informações, consulte . [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md)

![\[Diagrama de políticas gerenciadas pelo cliente\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)


## Políticas em linha
<a name="inline-policies"></a>

A política em linha é uma política criada para uma única identidade do IAM (um usuário, grupo de usuários ou perfil). As políticas em linha mantêm um relacionamento estrito de um para um entre uma política e uma identidade. Elas são excluídas quando você exclui a identidade. Você pode criar uma política e incorporá-la em uma identidade, seja ao criar a identidade ou posteriormente. Se a política puder ser aplicada a mais de uma entidade, é melhor usar uma política gerenciada.

O seguinte diagrama ilustra as políticas em linha. Cada política é uma parte inerente do usuário, do grupo ou da função. Observe que dois perfis incluem a mesma política (**DynamoDB-books-app**), mas eles não compartilham uma única política. Cada perfil tem sua própria cópia da política.

![\[Diagrama de políticas em linha\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)


# Escolher entre políticas gerenciadas e políticas em linha
<a name="access_policies-choosing-managed-or-inline"></a>

Considere seus casos de uso ao decidir entre políticas gerenciadas e em linha. Na maioria dos casos, recomendamos que você use políticas gerenciadas em vez de políticas em linha.

**nota**  
É possível usar políticas gerenciadas e em linha juntas para definir permissões comuns e exclusivas para uma entidade principal.

As políticas gerenciadas fornecem os seguintes recursos:

**Capacidade de reutilização**  
Uma única política gerenciada pode ser anexada a várias entidades principais (usuários, grupos e funções). Você pode criar uma biblioteca de políticas que definem permissões úteis para sua Conta da AWS e anexar essas políticas a entidades principais, conforme necessário.

**Gerenciamento de alterações central**  
Quando você alterar uma política gerenciada, a alteração será aplicada a todas as entidades principais às quais a política estiver anexada. Por exemplo, se você quiser adicionar permissões para uma nova API da AWS, poderá atualizar uma política gerenciada pelo cliente ou associar uma política gerenciada pela AWS para adicionar a permissão. Se você estiver usando uma política gerenciada pela AWS, a AWS atualizará a política. Quando uma política gerenciada é atualizada, as alterações são aplicadas a todas as entidades principais às quais a política gerenciada está anexada. Por outro lado, para alterar uma política em linha, é necessário editar individualmente cada identidade que a contém. Por exemplo, se um grupo e um perfil contiverem a mesma política em linha, você deverá editar individualmente as duas entidades principais para alterar essa política. 

**Versionamento e reversão**  
Quando você altera uma política gerenciada pelo cliente, a política alterada não substitui a política existente. Em vez disso, o IAM cria uma nova versão da política gerenciada. O IAM armazena até cinco versões de suas políticas gerenciadas pelo cliente. Você pode usar as versões da política para reverter uma política para uma versão anterior, conforme necessário.   
Uma versão de política é diferente de um elemento de política `Version`. O elemento de política `Version` é usado em uma política e define a versão da linguagem da política. Para saber mais sobre as versões de política, consulte [Versionamento de políticas do IAM](access_policies_managed-versioning.md). Para saber mais sobre o elemento de política `Version`, consulte [Elementos de política JSON do IAM: Version](reference_policies_elements_version.md).

**Como delegar o gerenciamento de permissões**  
Você pode permitir que os usuários na sua Conta da AWS anexem e desanexem políticas sem deixar de manter o controle das permissões definidas nessas políticas. Para isso, você pode designar alguns usuários como administradores completos, ou seja, administradores que podem criar, atualizar e excluir políticas. Em seguida, você pode designar outros usuários como administradores limitados. Esses administradores limitados que podem anexar políticas a outras entidades principais, mas somente as políticas que você permitiu que eles anexassem.  
Para obter mais informações sobre como delegar permissões, consulte [Controle de acesso a políticas](access_controlling.md#access_controlling-policies). 

**Limites de caracteres de política maiores**  
O limite máximo de tamanho em caracteres para as políticas gerenciadas é maior do que o limite para as políticas em linha. Se você atingir o limite de tamanho em caracteres da política em linha, poderá criar mais grupos do IAM e anexar a política gerenciada ao grupo.  
Para obter mais informações sobre cotas e limites, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md). 

**Atualizações automáticas para políticas gerenciadas pela AWS**  
A AWS mantém políticas gerenciadas pela AWS e as atualiza quando necessário, por exemplo, para adicionar permissões para novos serviços da AWS), sem precisar fazer alterações. As atualizações são aplicadas automaticamente às entidades principais às quais você tenha anexado a política gerenciada pela AWS. 

## Introdução a serviços gerenciados
<a name="access_policies-get-started-managed-policy"></a>

Recomendamos o uso de políticas que [concedam privilégios mínimos](access_policies.md#grant-least-priv) ou conceder apenas as permissões necessárias para executar uma tarefa. A maneira mais segura de conceder privilégio mínimo é escrever uma política gerenciada pelo cliente apenas com as permissões necessárias para sua equipe. Você deve criar um processo para permitir que sua equipe solicite mais permissões quando necessário. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](access_policies_create-console.md) que fornecem à sua equipe apenas as permissões de que precisam.

Para começar a adicionar permissões às suas identidades do IAM (usuários, grupos de usuários e funções), você pode usar as [AWSPolíticas gerenciadas pela](access_policies_managed-vs-inline.md#aws-managed-policies). As políticas gerenciadas pela AWS não concedem permissões de privilégio mínimo. Você deve considerar o risco de segurança de conceder às suas entidades de segurança mais permissões do que elas precisam para realizar um trabalho.

Você pode anexar políticas gerenciadas pela AWS, incluindo funções de trabalho, a qualquer identidade do IAM. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

Para alternar para permissões de privilégio mínimo, você pode executar o AWS Identity and Access Management and Access Analyzer para monitorar as entidades de segurança com políticas gerenciadas pela AWS. Depois de saber quais permissões elas estão usando, você pode escrever ou gerar uma política gerenciada pelo cliente apenas com as permissões necessárias para sua equipe. Isso é menos seguro, mas oferece mais flexibilidade à medida que você aprende como sua equipe está usando a AWS. Para obter mais informações, consulte [Geração de política do IAM Access Analyzer](access-analyzer-policy-generation.md).

AWSAs políticas gerenciadas pela são criadas para fornecer permissões para vários casos de uso comuns. Para obter mais informações sobre políticas gerenciadas pela AWS projetadas para funções de trabalho específicas, consulte [AWSPolíticas gerenciadas pela para funções de trabalho](access_policies_job-functions.md).

Para obter uma lista de políticas gerenciadas pela AWS, consulte o [Guia de referência de políticas gerenciadas pela AWS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).

## Usar políticas em linha
<a name="policies-using-inline-policies"></a>

As políticas em linha são úteis se você desejar manter um relacionamento rigorosamente individual entre uma política e a identidade à qual ela é aplicada. Por exemplo, se você deseja ter certeza de que as permissões em uma política não sejam atribuídas acidentalmente a uma identidade diferente da pretendida. Quando você usa uma política em linha, as permissões nela não podem ser anexadas acidentalmente à identidade errada. Além disso, quando você usa o Console de gerenciamento da AWS para excluir a identidade, as políticas incorporadas nela também são excluídas porque fazem parte da entidade principal.

# Converter uma política em linha em uma política gerenciada
<a name="access_policies-convert-inline-to-managed"></a>

Se tiver políticas em linha na conta, você poderá convertê-las em políticas gerenciadas. Para fazer isso, copie a política para uma nova política gerenciada. Depois, anexe a nova política à identidade que tem a política em linha. Depois disso, exclua a política em linha. 

## Converter uma política em linha em uma política gerenciada
<a name="access_policies-convert-inline-to-managed-procedure"></a>

**Para converter uma política em linha em uma política gerenciada**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **User groups** (Grupos de usários), **Users** (Usuários) ou **Roles** (Funções).

1. Na lista, selecione o nome do grupo de usuários, usuário ou função que tem a política que você deseja remover.

1. Escolha a aba **Permissões**.

1. Para grupos do IAM, selecione o nome da política em linha que você deseja remover. Em usuários e perfis, escolha **Mostrar mais *n***, se necessário, e depois expanda a política em linha que você deseja remover.

1. Escolha **Copiar** para copiar o documento da política JSON para a política.

1. No painel de navegação, selecione **Políticas**.

1. Escolha **Criar política** e depois escolha a opção **JSON**.

1. Substitua o texto existente pelo texto da sua política JSON e escolha **Avançar**.

1. Insira um nome e uma descrição opcional para a política e escolha **Criar política**.

1. No painel de navegação, escolha **User groups** (Grupos de usuários), **Users** (Usuários) ou **Roles** (Funções) e, novamente, escolha o nome do grupo de usuários, usuário ou função que tem a política que você deseja remover.

1. Escolha a guia **Permissões** e depois escolha **Adicionar permissões**.

1. Para grupos do IAM, marque a caixa de seleção ao lado do nome da nova política, escolha **Adicionar permissões** e depois **Anexar política**. Para usuários ou funções, escolha **Add permissions (Adicionar permissões)**. Na página seguinte, escolha **Anexar políticas existentes diretamente**, marque a caixa de seleção ao lado do nome da nova política, escolha **Próximo** e depois **Adicionar permissões**.

   Você será direcionado para a página **Summary** (Resumo) do grupo de usuários, do usuário ou da função.

1. Marque a caixa de seleção ao lado da política em linha que você deseja remover e escolha **Remover**.

# Políticas gerenciadas pela AWS defasadas
<a name="access_policies_managed-deprecated"></a>

Para simplificar a atribuição de permissões, a AWS [fornece políticas gerenciadas](access_policies_managed-vs-inline.md), políticas predefinidas que estão prontas para serem anexadas a usuários, grupos e funções do IAM.

Às vezes, a AWS precisa adicionar uma nova permissão a uma política existente, como quando um novo serviço é introduzido. Adicionar uma nova permissão a uma política existente não interrompe nem remove nenhum recurso ou capacidade.

No entanto, a AWS pode optar por criar uma *nova* política quando as alterações necessárias podem afetar os clientes se elas forem aplicadas a uma política existente. Por exemplo, a remoção de permissões de uma política existente pode interromper as permissões de alguma entidade do IAM ou aplicação que depende dela, podendo interromper uma operação essencial.

Portanto, quando uma alteração é necessária, a AWS cria uma nova política inteiramente nova com as alterações necessárias e a disponibiliza para os clientes. A política antiga é, então, marcada como *preterida*. Para obter mais informações, consulte [Deprecated AWS managed policies](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) no *AWS Managed Policy Reference Guide*.

# Estabeleça barreiras de proteção para permissões usando perímetros de dados
<a name="access_policies_data-perimeters"></a>

As barreiras de proteção do perímetro de dados devem servir como limites sempre ativos para ajudar a proteger seus dados em um amplo conjunto de contas e recursos da AWS. Os perímetros de dados seguem as práticas recomendadas de segurança do IAM para [estabelecer barreiras de proteção de permissões em várias contas](best-practices.md#bp-permissions-guardrails). Essas barreiras de proteção de permissões em toda a organização não substituem seus controles de acesso refinados existentes. Em vez disso, elas funcionam como **controles de acesso de baixa granularidade** que ajudam a melhorar sua estratégia de segurança, garantindo que usuários, perfis e recursos sigam um conjunto de padrões de segurança definidos. 

Um perímetro de dados é um conjunto de barreiras de proteção de permissão em seu ambiente da AWS que ajudam a garantir que somente suas identidades confiáveis acessem recursos confiáveis das redes esperadas. 
+ Identidades confiáveis: entidades principais (perfis ou usuários do IAM) em suas AWS contas e AWS serviços agindo em seu nome.
+ Recursos confiáveis: recursos de propriedade de suas contas da AWS ou de serviços da AWS que atuam em seu nome.
+ Redes esperadas: seus data centers on-premises e nuvens privadas virtuais (VPCs) ou redes de serviços da AWS agindo em seu nome.

**nota**  
Em alguns casos, talvez seja necessário ampliar o perímetro de dados para incluir o acesso de seus parceiros comerciais confiáveis. Você deve considerar todos os padrões de acesso aos dados pretendidos ao criar uma definição de identidades e recursos confiáveis e redes esperadas específicas para sua empresa e seu uso dos Serviços da AWS.

Os controles de perímetro de dados devem ser tratados como qualquer outro controle de segurança dentro do programa de gerenciamento de riscos e segurança da informação. Isso significa que você deve realizar uma análise de ameaças para identificar riscos potenciais em seu ambiente de nuvem e, com base em seus próprios critérios de aceitação de riscos, selecionar e implementar controles de perímetro de dados apropriados. Para melhor informar a abordagem iterativa baseada em riscos para a implementação do perímetro de dados, você precisa entender quais riscos de segurança e vetores de ameaças são abordados pelos controles de perímetro de dados, bem como suas prioridades de segurança.

## Controles de perímetro de dados
<a name="access_policies_data-perimeters-controls"></a>

Os controles de baixa granularidade do perímetro de dados ajudam você a atingir seis objetivos de segurança distintos em três perímetros de dados por meio da implementação de diferentes combinações de [Tipos de políticas](access_policies.md#access_policy-types) e [chaves de condição](reference_policies_condition-keys.md).

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/access_policies_data-perimeters.html)

É possível pensar nos perímetros de dados como a criação de um limite firme em torno de seus dados para evitar padrões de acesso não intencionais. Embora os perímetros de dados possam impedir um amplo acesso não intencional, você ainda precisa tomar decisões de controle de acesso refinadas. Estabelecer um perímetro de dados não diminui a necessidade de ajustar continuamente as permissões usando ferramentas como o [IAM Access Analyzer](what-is-access-analyzer.md) como parte de sua jornada para obter o [privilégio mínimo](best-practices.md#grant-least-privilege).

Para impor controles de perímetro de dados em recursos para os quais as RPCs não oferecem suporte no momento, é possível usar políticas baseadas em recursos que são anexadas diretamente aos recursos. Para obter uma lista de serviços que oferecem suporte a RCPs e a políticas baseadas em recursos, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) e [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md).

Para impor controles de perímetro de rede, recomendamos que você use `aws:VpceOrgID`, `aws:VpceOrgPaths` e `aws:VpceAccount` somente se todos os serviços aos quais você deseja restringir o acesso forem atualmente suportados. O uso dessas chaves de condição com serviços não suportados pode levar a resultados de autorização não intencionais. Para obter uma lista de serviços compatíveis as chaves, consulte as [AWSChaves de contexto de condições globais da](reference_policies_condition-keys.md). Se você precisar aplicar os controles em uma variedade maior de serviços, considere usar `aws:SourceVpc` e `aws:SourceVpce` em vez disso.

## Perímetro de identidade
<a name="access_policies_data-perimeters-identity"></a>

Um perímetro de identidade é um conjunto de controles de acesso preventivos de baixa granularidade que ajudam a garantir que somente identidades confiáveis possam acessar seus recursos e que somente identidades confiáveis sejam permitidas em sua rede. As identidades confiáveis geralmente incluem entidades principais (perfis ou usuários) em suas contas da AWS e serviços da AWS que atuam em seu nome. Todas as outras identidades são consideradas não confiáveis e são impedidas pelo perímetro de identidade, a menos que uma exceção explícita seja concedida.

As seguintes chaves de condição globais ajudam a impor controles de perímetro de identidade com base na sua definição de identidades confiáveis. Use essas chaves nas políticas de controle de recursos para restringir o acesso a recursos, ou nas [políticas de endpoint da VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) para restringir o acesso a suas redes.

### Identidades pertencentes a você
<a name="data-perimeters-identity-owned-by-you"></a>

Você pode usar as seguintes chaves de condição para definir as entidades principais do IAM que você cria e gerencia em sua Contas da AWS.
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid) — É possível usar essa chave de condição para garantir que as entidades principais do IAM que fazem a solicitação pertençam à organização especificada em AWS Organizations.
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths): é possível usar essa chave de condição para garantir que o usuário do IAM, o perfil do IAM, a entidade principal do usuário federado do AWS STS, a entidade principal federada SAML, a entidade principal federada OIDC ou a Usuário raiz da conta da AWS que fez a solicitação pertençam à unidade organizacional (OU) especificada no AWS Organizations.
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) — É possível usar essa chave de condição para garantir que os recursos só possam ser acessados pela conta da entidade principal especificada na política.

### Identidades dos serviços da AWS que atuam em seu nome
<a name="data-perimeters-identity-owned-by-service"></a>

Você pode usar as seguintes chaves de condição para permitir que os serviços da AWS usem suas próprias identidades para acessar seus recursos quando agirem em seu nome.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) e [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (ou [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) e [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)): é possível usar essas chaves de condição para garantir que, quando as [entidades principais do AWS service (Serviço da AWS)](reference_policies_elements_principal.md#principal-services) acessarem seus recursos, eles o façam somente em nome de um recurso na organização, unidade organizacional ou conta especificada em AWS Organizations.

Para obter mais informações, consulte [Estabelecendo um perímetro de dados em AWS: permitir que somente identidades confiáveis acessem os dados da empresa](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/).

## Perímetro de recurso
<a name="access_policies_data-perimeters-resource"></a>

Um perímetro de recurso é um conjunto de controles de acesso preventivos de baixa granularidade que ajudam a garantir que somente as suas identidades somente possam acessar recursos confiáveis e que somente recursos confiáveis possam ser acessados de sua rede. Os recursos confiáveis geralmente incluem recursos de propriedade de suas contas da AWS ou de serviços da AWS que atuam em seu nome.

As seguintes chaves de condição globais ajudam a impor controles de perímetro de recursos com base na sua definição de recursos confiáveis. Use essas chaves nas [Políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) para restringir quais recursos podem ser acessados por suas identidades ou nas [Políticas de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) para restringir quais recursos podem ser acessados de suas redes.

### Recursos pertencentes a você
<a name="data-perimeters-resource-owned-by-you"></a>

Você pode usar as seguintes chaves de condição para definir os recursos da AWS que você cria e gerencia em suas Contas da AWS.
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid) — É possível usar essa chave de condição para garantir que o recurso que está sendo acessado pertence à organização especificada em AWS Organizations.
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths) — É possível usar essa chave de condição para garantir que o recurso que está sendo acessado pertence à unidade organizacional especificada em AWS Organizations.
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount): é possível usar essa chave de condição para garantir que o recurso que está sendo acessado pertence a Conta da AWS especificada.

### Recursos dos serviços da AWS que atuam em seu nome
<a name="data-perimeters-resource-owned-by-service"></a>

Em alguns casos, talvez seja necessário permitir o acesso a recursos próprios da AWS, recursos que não pertencem à sua organização e que são acessados por suas entidades principais ou por serviços da AWS que atuam em seu nome. Para obter mais informações sobre esses cenários, consulte [Estabelecendo um perímetro de dados emAWS: permitir somente recursos confiáveis da minha organização](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/).

## Perímetro de rede
<a name="access_policies_data-perimeters-network"></a>

Um perímetro de rede é um conjunto de controles de acesso preventivos de baixa granularidade que ajudam a garantir que suas identidades possam acessar recursos somente de redes esperadas e que seus recursos só possam ser acessados de redes esperadas. As redes esperadas geralmente incluem seus data centers on-premises e nuvens privadas virtuais (VPCs) e redes de serviços da AWS agindo em seu nome. 

As seguintes chaves de condição globais ajudam a impor controles de perímetro de rede com base na sua definição de redes esperadas. Use essas chaves nas [políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) para restringir as redes com as quais suas identidades podem se comunicar, ou nas [políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) para restringir o acesso aos recursos às redes esperadas.

### Redes pertencentes a você
<a name="data-perimeters-network-owned-by-you"></a>

Você pode usar as seguintes chaves de condição para definir as redes que seus funcionários e aplicações devem usar para acessar seus recursos, como seu intervalo de IP CIDR corporativo e suas VPCs.
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip) — É possível usar essa chave de condição para garantir que o endereço IP do solicitante esteja dentro de um intervalo de IP especificado.
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc) — É possível usar essa chave de condição para garantir que o endpoint da VPC pelo qual a solicitação passa pertença à VPC especificada.
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce) — É possível usar essa chave de condição para garantir que a solicitação passe pelo endpoint da VPC especificada.
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount): você pode usar esta chave de condição para garantir que as solicitações cheguem por meio de endpoints de VPC pertencentes à conta da AWS especificada.
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths): você pode usar essa chave de condição para garantir que as entidades principais do IAM que fazem a solicitação pertençam à unidade organizacional (UO) especificada em AWS Organizations.
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid): você pode usar essa chave de condição para garantir que as solicitações cheguem por meio de endpoints da VPC pertencentes a contas na organização especificada em AWS Organizations.

`aws:VpceAccount`, `aws:VpceOrgPaths`, e `aws:VpceOrgID` são particularmente úteis para implementar controles de perímetro de rede que escalam automaticamente com o uso do seu endpoint da VPC, sem exigir atualizações nas políticas ao criar novos endpoints. Consulte a [AWSChaves de contexto de condições globais da](reference_policies_condition-keys.md) para obter a lista de Serviços da AWS compatíveis essas chaves.

### Redes dos serviços da AWS que atuam em seu nome
<a name="data-perimeters-network-owned-by-service"></a>

Você pode usar as seguintes chaves de condição para permitir que os serviços da AWS acessem seus recursos a partir de suas redes quando agirem em seu nome.
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) — É possível usar essa chave de condição para garantir que Serviços da AWS possa fazer solicitações em nome de sua entidade principal usando [Sessões de acesso direto](access_forward_access_sessions.md) (FAS).
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) — É possível usar essa chave de condição para garantir que Serviços da AWS possa acessar seus recursos usando [AWSResponsáveis pelos serviços da](reference_policies_elements_principal.md#principal-services).

 Há cenários adicionais em que você precisa permitir o acesso aos Serviços da AWS que acessa esses recursos de fora da rede. Para obter mais informações, consulte [Estabelecendo um perímetro de dados em AWS: permitir acesso aos dados da empresa somente de redes confiáveis](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/).

## Recursos para saber mais sobre perímetros de dados
<a name="access_policies_data-perimeters-resources"></a>

Os seguintes recursos podem ajudá-lo a saber mais sobre os perímetros de dados em todo a AWS.
+ [Perímetros de dadosna AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/) — Saiba mais sobre os perímetros de dados e seus benefícios e casos de uso.
+  [Série de postagens do blog: Estabelecendo um perímetro de dados na AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) — Essas postagens do blog abordam orientações prescritivas sobre como estabelecer seu perímetro de dados em grande escala, incluindo considerações importantes sobre segurança e implementação.
+  [Exemplos de políticas de perímetro de dados](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) — Este repositório do GitHub contém exemplos de políticas que abrangem alguns padrões comuns para ajudar você a implementar um perímetro de dados na AWS.
+ [Auxiliar de perímetro de dados](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) — Essa ferramenta ajuda você a projetar e antecipar o impacto de seus controles de perímetro de dados analisando a atividade de acesso em seus logs [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

# Limites de permissões para entidades do IAM
<a name="access_policies_boundaries"></a>

A AWS oferece suporte a *limites de permissões* para entidades (usuários ou funções) do IAM. Um limite de permissões é um recurso avançado para usar uma política gerenciada para definir as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM. O limite de permissões de uma entidade permite que a entidade execute somente as ações permitidas por ambas as políticas baseadas em identidade e seus limites de permissões.

Para obter mais informações sobre tipos de política, consulte [Tipos de políticas](access_policies.md#access_policy-types).

**Importante**  
Não use declarações de política baseadas em recursos que incluam um elemento de política `NotPrincipal` com um efeito `Deny` para usuários ou perfis do IAM que tenham uma política de limite de permissões anexada. O elemento `NotPrincipal` com um efeito `Deny` sempre negará qualquer entidade principal do IAM que tenha uma política de limite de permissões anexada, independentemente dos valores especificados no elemento `NotPrincipal`. Isso faz com que alguns usuários ou perfis do IAM que, de outra forma, teriam acesso ao recurso, percam o acesso. Recomendamos alterar suas declarações de política baseadas em recursos para usar o operador de condição [`ArnNotEquals`](reference_policies_elements_condition_operators.md#Conditions_ARN) com a chave de contexto [`aws:PrincipalArn`](reference_policies_condition-keys.md#condition-keys-principalarn) para limitar o acesso, em vez do elemento `NotPrincipal`. Para obter informações sobre o elemento `NotPrincipal`, consulte [Elementos da política JSON da AWS: NotPrincipal](reference_policies_elements_notprincipal.md).

Você pode usar uma política gerenciada pela AWS ou uma política gerenciada pelo cliente para definir o limite para uma entidade (usuário ou função) do IAM. Essa política limita o número máximo de permissões para o usuário ou a função.

Por exemplo, suponha que o usuário do IAM chamado `Shirley` deva ter permissão para gerenciar apenas o Amazon S3, o Amazon CloudWatch e o Amazon EC2. Para impor essa regra, você pode usar a seguinte política para definir o limite de permissões para a usuária `Shirley`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Quando você usa uma política para definir o limite de permissões para um usuário, ela limita as permissões do usuário, mas não fornece permissões por conta própria. Neste exemplo, a política define as permissões máximas de `Shirley` como todas as operações no Amazon S3, CloudWatch e Amazon EC2. Shirley nunca poderá executar operações em qualquer outro serviço, incluindo o IAM, mesmo que ela tenha uma política de permissões que permita isso. Por exemplo, você pode adicionar a política a seguir à usuária `Shirley`:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Esta política permite criar um usuário no IAM. Se você anexar essa política de permissões à usuária `Shirley`, e Shirley tentar criar um usuário, a operação falhará. A falha ocorre porque o limite de permissões não permite a operação `iam:CreateUser`. Dadas essas duas políticas, Shirley não tem permissão para executar nenhuma operação na AWS. Você deve adicionar uma política de permissões diferente para permitir ações em outros serviços, como o Amazon S3. Como alternativa, você pode atualizar o limite de permissões para permitir que ela crie um usuário no IAM.

## Avaliar permissões efetivas com limites
<a name="access_policies_boundaries-eval-logic"></a>

O limite de permissões para uma entidade do IAM (usuário ou função) define o número máximo de permissões que a entidade pode ter. Isso pode alterar as permissões efetivas para esse usuário ou função. As permissões efetivas para uma entidade são as permissões que são concedidas por todas as políticas que afetam o usuário ou a função. Dentro de uma conta, as permissões para uma entidade podem ser afetadas por políticas baseadas em identidade, políticas baseadas em recurso, limites de permissões, SCPs de AWS Organizations ou políticas de sessão. Para obter mais informações sobre os diversos tipos diferentes de políticas, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).

Se algum desses tipos de política negar explicitamente o acesso de uma operação, a solicitação será negada. As permissões concedidas a uma entidade por vários tipos de permissões são mais complexas. Para obter mais detalhes sobre como o AWS avalia as políticas, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md).

**Políticas baseadas em identidade com limites**: as políticas baseadas em identidade são políticas em linha ou gerenciadas que são anexadas a um usuário, grupo de usuários ou função. As políticas baseadas em identidade concedem permissão para a entidade, e os limites de permissões limitam essas permissões. As permissões efetivas são a interseção de ambos os tipos de política. Uma negação explícita em qualquer uma dessas políticas substitui a permissão.

![\[Avaliação das políticas baseadas em identidade com limites de permissões\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/permissions_boundary.png)


**Políticas baseadas em recurso**: as políticas baseadas em recurso controlam como a entidade de segurança pode acessar o recurso ao qual a política está anexada.

*Políticas baseadas em recursos para usuários do IAM*  
Na mesma conta, as políticas baseadas em recursos que concedem permissões a um ARN de usuário do IAM (que não é uma sessão de entidade principal de usuário federado do AWS STS) não são limitadas por uma negação implícita em uma política baseada em identidade ou limite de permissões.  

![\[Avaliação de uma política baseada em recurso, limite as permissões e política baseada em identidade\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/EffectivePermissions-rbp-boundary-id.png)


*Políticas baseadas em recursos para funções do IAM *  
**Função do IAM**: as políticas baseadas em recursos que concedem permissões a um ARN de função do IAM são limitadas por uma negação implícita em um limite de permissões ou política de sessão.  
**Sessão de função do IAM**: na mesma conta, as políticas baseadas em recursos que concedem permissões a um ARN de sessão de função do IAM concedem permissões diretamente à sessão de função assumida. As permissões concedidas diretamente a uma sessão não são limitadas por uma negação implícita em uma política baseada em identidade, um limite de permissões ou uma política de sessão. Quando você assume uma função e faz uma solicitação, a entidade principal que faz a solicitação é o ARN da sessão de função do IAM e não o ARN da função em si.

*Políticas baseadas em recursos para sessões de entidades principais de usuários federados do AWS STS*  
**Sessões de entidades principais de usuários federados do AWS STS**: uma sessão de entidade principal de usuário federado do AWS STS é uma sessão criada mediante o chamado de [`GetFederationToken`](id_credentials_temp_request.md#api_getfederationtoken). Quando um usuário federado faz uma solicitação, a entidade principal que faz a solicitação é o ARN do usuário federado e não o ARN do usuário do IAM que federou. Na mesma conta, as políticas baseadas em recursos que concedem permissões a um ARN de usuário federado concedem permissões diretamente para a sessão. As permissões concedidas diretamente a uma sessão não são limitadas por uma negação implícita em uma política baseada em identidade, um limite de permissões ou uma política de sessão.  
No entanto, se uma política baseada em recursos conceder permissão ao ARN do usuário do IAM que se federou, as solicitações feitas pela entidade principal do usuário federado do AWS STS durante a sessão serão limitadas por uma negação implícita em um limite de permissão ou política de sessão.

**SCPs do AWS Organizations**: as SCPs são aplicadas a uma conta inteira do Conta da AWS. Eles limitam as permissões para todas as solicitações feitas por um principal na conta. Uma entidade (usuário ou função) do IAM pode fazer uma solicitação que é afetada por uma SCP, um limite de permissões e uma política baseada em identidade. Nesse caso, a solicitação é permitida somente se todos os três tipos de política a permitem. As permissões efetivas são a interseção de todos os três tipos de política. Uma negação explícita em qualquer uma dessas políticas substitui a permissão.

![\[Avaliação de um SCP, limite de permissões e política baseada em identidade\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/EffectivePermissions-scp-boundary-id.png)


É possível saber [se sua conta é membro de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account) no AWS Organizations. Os membros da organização podem ser afetados por uma SCP. Para visualizar esses dados usando o comando da AWS CLI ou operação de API da AWS, você deve ter permissões para a ação `organizations:DescribeOrganization` da sua entidade do AWS Organizations. Você deve ter permissões adicionais para executar a operação no console do AWS Organizations. Para saber se uma SCP está negando acesso a uma solicitação específica ou alterar as permissões efetivas, entre em contato com o administrador do AWS Organizations.

**Políticas de sessão**: são políticas avançadas que você transmite como um parâmetro quando cria de forma programática uma sessão temporária para um perfil ou um usuário federado. As permissões para uma sessão vêm da entidade (usuário ou função) do IAM usada para criar a sessão e da política da sessão. As permissões de política baseada em identidade da entidade são limitadas pela política de sessão e pelo limite de permissões. As permissões efetivas para esse conjunto de tipos de política são a interseção de todos os três tipos de política. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações as políticas de sessão, consulte [Políticas de Sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

![\[Avaliação de uma política de sessão, limite as permissões e política baseada em identidade\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Delegar responsabilidade para outras pessoas usando limites de permissões
<a name="access_policies_boundaries-delegate"></a>

Você pode usar limites de permissões para delegar tarefas de gerenciamento de permissões, como a criação de usuários, aos usuários do IAM em sua conta. Isso permite que outras pessoas executem tarefas em seu nome com um limite específico de permissões.

Por exemplo, suponha que María seja a administradora da Conta da AWS da X-Company. Ela quer delegar as tarefas de criação de usuários para Zhang. No entanto, ela deve garantir que Zhang crie usuários que sigam as seguintes regras da empresa:
+ Os usuários não podem usar o IAM para criar ou gerenciar usuários, grupos, funções ou políticas.
+ Os usuários têm acesso negado ao bucket `logs` do Amazon S3 e não podem acessar a instância `i-1234567890abcdef0` do Amazon EC2.
+ Os usuários não podem remover suas próprias políticas de limite.

Para impor essas regras, María executa as seguintes tarefas, para as quais os detalhes são incluídos a seguir:

1. María cria a política gerenciada `XCompanyBoundaries` para uso como um limite de permissões para todos os novos usuários na conta.

1. María cria a política gerenciada `DelegatedUserBoundary` e atribui-a como o limite de permissões a Zhang. Maria anota o ARN de seu usuário do admin e o usa na política para impedir que Zhang o acesse.

1. María cria a política gerenciada `DelegatedUserPermissions` e anexa-a como uma política de permissões a Zhang.

1. María informa Zhang sobre suas novas responsabilidades e limitações.

**Tarefa 1:** María deve primeiro criar uma política gerenciada para definir o limite para os novos usuários. María permitirá que Zhang forneça aos usuários as políticas de permissões de que precisam, mas ela deseja que esses usuários sejam restringidos. Para fazer isso, ela cria a seguinte política gerenciada pelo cliente com o nome `XCompanyBoundaries`. Essa política faz o seguinte:
+ Permite que os usuários tenham acesso total a vários serviços
+ Permite acesso autogerenciado limitado no console do IAM. Isso significa que eles podem alterar a senha depois de fazer login no console. Eles não podem definir a senha inicial. Para permitir isso, adicione a ação `"*LoginProfile"` à instrução `AllowManageOwnPasswordAndAccessKeys`.
+ Nega aos usuários o acesso ao bucket de logs do Amazon S3 ou à instância `i-1234567890abcdef0` do Amazon EC2

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ServiceBoundaries",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*",
                "dynamodb:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

Cada instrução tem uma finalidade diferente:

1. A instrução `ServiceBoundaries` dessa política permite acesso total aos serviços especificados da AWS. Isso significa que as ações de um novo usuário nesses serviços são limitadas apenas pelas políticas de permissões que são anexadas ao usuário.

1. A instrução `AllowIAMConsoleForCredentials` permite acesso para listar todos os usuários do IAM. Esse acesso é necessário para navegar na página **Usuários** no Console de gerenciamento da AWS. Ele também permite visualizar os requisitos de senha da conta, que é necessário ao alterar sua própria senha.

1. A instrução `AllowManageOwnPasswordAndAccessKeys` permite que os usuários gerenciem apenas suas próprias chaves de acesso programático e a senha do console. Isso é importante se Zhang ou outro administrador atribuir a um novo usuário uma política de permissões com acesso total ao IAM. Nesse caso, esse usuário pode alterar suas próprias permissões ou as de outros usuários. Essa instrução impede que isso ocorra.

1. A instrução `DenyS3Logs` nega explicitamente o acesso ao bucket de `logs`.

1. A instrução `DenyEC2Production` nega explicitamente o acesso à instância de `i-1234567890abcdef0`.

**Tarefa 2:** María deseja permitir que Zhang crie todos os usuários da X-Company, mas apenas com o limite de permissões `XCompanyBoundaries`. Ela cria a seguinte política gerenciada pelo cliente chamada `DelegatedUserBoundary`. Essa política define o número máximo de permissões que Zhang pode ter.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOrChangeOnlyWithBoundary",
            "Effect": "Allow",
            "Action": [
                "iam:AttachUserPolicy",
                "iam:CreateUser",
                "iam:DeleteUserPolicy",
                "iam:DetachUserPolicy",
                "iam:PutUserPermissionsBoundary",
                "iam:PutUserPolicy"
            ],
            "Resource": "*",
            "Condition": {
               "StringEquals": {
                 "iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"
                }
            }
        },
        {
            "Sid": "CloudWatchAndOtherIAMTasks",
            "Effect": "Allow",
            "Action": [
              "cloudwatch:*",
              "iam:CreateAccessKey",
              "iam:CreateGroup",
              "iam:CreateLoginProfile",
              "iam:CreatePolicy",
              "iam:DeleteGroup",
              "iam:DeletePolicy",
              "iam:DeletePolicyVersion",
              "iam:DeleteUser",
              "iam:GetAccountPasswordPolicy",
              "iam:GetGroup",
              "iam:GetLoginProfile",
              "iam:GetPolicy",
              "iam:GetPolicyVersion",
              "iam:GetRolePolicy",
              "iam:GetUser",
              "iam:GetUserPolicy",
              "iam:ListAccessKeys",
              "iam:ListAttachedRolePolicies",
              "iam:ListAttachedUserPolicies",
              "iam:ListEntitiesForPolicy",
              "iam:ListGroups",
              "iam:ListGroupsForUser",
              "iam:ListMFADevices",
              "iam:ListPolicies",
              "iam:ListPolicyVersions",
              "iam:ListRolePolicies",
              "iam:ListSSHPublicKeys",
              "iam:ListServiceSpecificCredentials",
              "iam:ListSigningCertificates",
              "iam:ListUserPolicies",
              "iam:ListUsers",
              "iam:SetDefaultPolicyVersion",
              "iam:SimulateCustomPolicy",
              "iam:SimulatePrincipalPolicy",
              "iam:UpdateGroup",
              "iam:UpdateLoginProfile",
              "iam:UpdateUser"
            ],
            "NotResource": "arn:aws:iam::123456789012:user/Maria"
        },
        {
            "Sid": "NoBoundaryPolicyEdit",
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:policy/XCompanyBoundaries",
                "arn:aws:iam::123456789012:policy/DelegatedUserBoundary"
            ]
        },
        {
            "Sid": "NoBoundaryUserDelete",
            "Effect": "Deny",
            "Action": "iam:DeleteUserPermissionsBoundary",
            "Resource": "*"
        }
    ]
}
```

------

Cada instrução tem uma finalidade diferente:

1. A instrução `CreateOrChangeOnlyWithBoundary` permite que Zhang crie usuários do IAM, mas somente se ele usar a politica `XCompanyBoundaries` para definir o limite de permissões. Essa instrução também permite que ele defina o limite de permissões para os usuários existentes, mas apenas usando a mesma política. Finalmente, essa instrução permite que Zhang gerencie políticas de permissões para usuários com esse limite de permissões definido.

1. A instrução `CloudWatchAndOtherIAMTasks` permite que Zhang conclua tarefas de gerenciamento de outro usuário, grupo e política. Ele tem permissões para redefinir senhas e criar chaves de acesso para qualquer usuário do IAM não listado no elemento `NotResource` da política. Isso permite a ele ajudar os usuários com problemas de login.

1. A instrução `NoBoundaryPolicyEdit` nega a Zhang o acesso para atualizar a política `XCompanyBoundaries`. Ele não tem permissão para alterar nenhuma política usada para definir o limite de permissões para si mesmo ou para outros usuários.

1. A instrução `NoBoundaryUserDelete` nega a Zhang o acesso para excluir o limite de permissões para si mesmo ou outros usuários.

Em seguida, María atribui a política `DelegatedUserBoundary` [como o limite de permissões](id_users_change-permissions.md#users_change_permissions-set-boundary-console) para o usuário `Zhang`. 

**Tarefa 3:** como o limite de permissões limita o número máximo de permissões, mas não concede acesso por conta própria, Maria deve criar uma política de permissões para Zhang. Ela cria a seguinte política chamada `DelegatedUserPermissions`. Esta política define as operações que Zhang pode executar, dentro do limite definido.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IAM",
            "Effect": "Allow",
            "Action": "iam:*",
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLimited",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetDashboard",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListDashboards",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3BucketContents",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::ZhangBucket"
        }
    ]
}
```

------

Cada instrução tem uma finalidade diferente:

1. A instrução `IAM` da política permite a Zhang acesso total ao IAM. No entanto, como seu limite de permissões permite apenas algumas operações do IAM, suas permissões efetivas do IAM são limitadas apenas pelo seu limite de permissões.

1. A instrução `CloudWatchLimited` permite que Zhang execute cinco ações no CloudWatch. Seu limite de permissões permite todas as ações no CloudWatch, portanto, suas permissões efetivas do CloudWatch são limitadas apenas por sua política de permissões.

1. A instrução `S3BucketContents` permite que Zhang liste o bucket `ZhangBucket` do Amazon S3. No entanto, seu limite de permissões não permite nenhuma ação do Amazon S3, portanto, ele não pode executar nenhuma operação do S3, independentemente de sua política de permissões.
**nota**  
As políticas de Zhang permitem que ele crie um usuário que acessa recursos do Amazon S3 que ele não pode acessar. Ao delegar essas ações administrativas, Maria efetivamente confia a Zhang o acesso ao Amazon S3. 

Em seguida, María anexa a política `DelegatedUserPermissions` como a política de permissões para o usuário `Zhang`. 

**Tarefa 4:** Ela fornece a Zhang as instruções para criar um novo usuário. Ela informa que ele pode criar novos usuários com qualquer permissão que eles precisem, mas deve atribuir a eles a política `XCompanyBoundaries` como um limite de permissões.

Zhang executa as seguintes tarefas:

1. Zhang cria um usuário com o Console de gerenciamento da AWS. Ele digita o nome do usuário `Nikhil` e permite acesso ao console para o usuário. Ele desmarca a caixa de seleção ao lado de **Requires password reset** (Requer redefinição de senha), porque as políticas acima permitem que os usuários alterem a senha somente depois que fizerem login no console do IAM.

1. Na página **Set permissions (Definir permissões)**, Zhang escolhe as políticas de permissões **IAMFullAccess** e **AmazonS3ReadOnlyAccess** que permitem que Nikhil faça seu trabalho. 

1. Zhang ignora a seção **Set permissions boundary (Definir limite de permissões)** esquecendo as instruções de María.

1. Zhang revisa os detalhes do usuário e seleciona **Create user (Criar usuário)**.

   A operação falha e o acesso é negado. O limite de permissões `DelegatedUserBoundary` de Zhang exige que qualquer usuário que ele crie tenha a política `XCompanyBoundaries` usada como um limite de permissões.

1. Zhang retorna à página anterior. Na seção **Set permissions boundary (Definir limite de permissões)**, ele escolhe a política `XCompanyBoundaries`. 

1. Zhang revisa os detalhes do usuário e seleciona **Create user (Criar usuário)**.

   O usuário é criado. 

Quando Nikhil faz login, ele tem acesso ao IAM e ao Amazon S3, com exceção das operações que são negadas pelo limite de permissões. Por exemplo, ele pode alterar sua própria senha no IAM, mas não pode criar outro usuário ou editar suas políticas. Nikhil tem acesso somente leitura ao Amazon S3.

Se alguém adiciona uma política baseada em recurso ao bucket do `logs` que permite que Nikhil coloque um objeto no bucket, ele ainda não pode acessar o bucket. O motivo é que as ações no bucket `logs` são explicitamente negadas por seu limite de permissões. Uma negação explícita em qualquer tipo de política resulta em uma solicitação negada. No entanto, se uma política baseada em recurso anexada a um segredo do Secrets Manager permitir que Nikhil execute a ação `secretsmanager:GetSecretValue`, Nikhil poderá recuperar e descriptografar o segredo. O motivo é que as operações do Secrets Manager não são explicitamente negadas por seu limite de permissões, e as negações implícitas nos limites de permissões não limitam as políticas baseadas em recurso.

# Políticas baseadas em identidade e em recurso
<a name="access_policies_identity-vs-resource"></a>

Uma política é um objeto na AWS que, quando associado a uma identidade ou recurso, define suas permissões. Quando você cria uma política de permissões para restringir o acesso a um recurso, você pode escolher uma *política baseada em identidade* ou uma *política baseada em recurso*.

As **políticas baseadas em identidade** são anexadas a um usuário, grupo ou função do IAM. Essas políticas permitem que você especifique o que cada identidade pode fazer (suas respectivas permissões). Por exemplo, você pode anexar a política ao usuário do IAM chamado John, informando que ele tem permissão para executar a ação `RunInstances` do Amazon EC2. A política poderia afirmar ainda que John tem permissão para obter itens de uma tabela do Amazon DynamoDB chamada `MyCompany`. Você também pode permitir que John gerencie suas próprias credenciais de segurança do IAM. As políticas baseadas em identidade podem ser [em linha ou gerenciadas](access_policies_managed-vs-inline.md).

**Políticas baseadas em recurso** são anexadas a um recurso. Por exemplo, é possível anexar políticas baseadas em recurso a buckets do Amazon S3, filas do Amazon SQS, endpoints da VPC, chaves de criptografia do AWS Key Management Service e tabelas e fluxos do Amazon DynamoDB. Para obter uma lista de serviços que oferecem suporte a políticas baseadas em recursos, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md).

Com as políticas baseadas em recursos, você pode especificar quem tem acesso ao recurso e quais ações essas pessoas podem realizar nele. Para saber se as entidades de contas fora de sua zona de confiança (organização confiável ou conta) têm acesso para assumir as suas funções, consulte [O que é o IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html). As políticas baseadas em recursos são apenas em linha, não gerenciadas.

**nota**  
*Políticas baseadas em recursos* são diferentes das *permissões no nível do recurso*. Você pode anexar as políticas baseadas em recursos diretamente em um recurso, como indicado neste tópico. As permissões no nível do recurso referem-se à capacidade de usar [ARNs](reference_identifiers.md#identifiers-arns) para especificar recursos individuais em uma política. As políticas baseadas em recursos são compatíveis apenas com alguns serviços da AWS. Para obter uma lista de serviços que são compatíveis com políticas baseadas em recursos e permissões no nível do recurso, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md).

Para saber como as políticas baseadas em identidade e as baseadas em recurso interagem na mesma conta, consulte [Avaliação de políticas para solicitações em uma única conta](reference_policies_evaluation-logic_policy-eval-basics.md).

Para saber como as políticas interagem entre contas, consulte [Lógica de avaliação de política entre contas](reference_policies_evaluation-logic-cross-account.md).

Para compreender melhor esses conceitos, exiba a figura a seguir. O administrador da conta `123456789012` anexou *políticas baseadas na identidade* aos usuários `John`, `Carlos` e `Mary`. Algumas das ações nessas políticas podem ser realizadas em recursos específicos. Por exemplo, o usuário `John` pode realizar algumas ações em `Resource X`. Esta é uma *permissão no nível do recurso* em uma política baseada em identidade. O administrador também adicionou *políticas baseadas em recurso* a `Resource X`, `Resource Y` e `Resource Z`. As políticas baseadas em recurso permitem especificar quem pode acessar esse recurso. Por exemplo, a política baseada em recurso em `Resource X` permite a lista de usuários `John` e `Mary` e o acesso de leitura ao recurso.

![\[Políticas baseadas em identidade x baseadas em recurso\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)


O exemplo de conta `123456789012` permite que os seguintes usuários realizem as ações listadas:
+ **John**: John pode realizar as ações de listar e ler no `Resource X`. Ele recebe essa permissão pela política baseada em identidade pelo usuário e a política baseada em recurso em `Resource X`.
+ **Carlos**: Carlos pode realizar as ações de listar, ler e gravar no `Resource Y`, mas seu acesso ao `Resource Z` é negado. A política baseada em identidade em Carlos permite que ele realize ações de listagem e leitura em `Resource Y`. A política baseada em recurso `Resource Y` também dá a ele permissões de gravação. No entanto, embora a política baseada em identidade dê a ele acesso a `Resource Z`, a política baseada em recurso `Resource Z` nega esse acesso. Uma `Deny` explícita substitui uma `Allow`, e o acesso a `Resource Z` é negado. Para obter mais informações, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md). 
+ **Mary**: Mary pode realizar as operações de listar, ler e gravar no `Resource X`, no `Resource Y` e no `Resource Z`. A política baseada em identidade permite mais ações em mais recursos do que as políticas baseadas em recursos, mas nenhuma delas nega acesso.
+ **Zhang**: Zhang tem total acesso ao `Resource Z`. Zhang não tem políticas baseadas em identidade, mas a política baseada em recurso `Resource Z` dá a ele acesso total ao recurso. Zhang também pode executar ações de listagem e leitura no `Resource Y`.

As políticas baseadas em identidade e as baseadas em recurso são políticas de permissões e avaliadas juntas. Para uma solicitação a que somente políticas de permissões se apliquem, a AWS primeiro verifica todas as políticas de um `Deny`. Caso haja alguma, a solicitação é negada. Em seguida, o AWS verifica cada `Allow`. Se, pelo menos uma declaração de política permitir a ação na solicitação, a solicitação será permitida. Não importa se a `Allow` está na política baseada em identidade ou na política baseada em recurso.

**Importante**  
Essa lógica só se aplica quando a solicitação é feita em uma única Conta da AWS. Para solicitações feitas de uma conta para outra, o solicitante em `Account A` deve ter uma política baseada em identidade que permita fazer uma solicitação para o recurso em `Account B`. Além disso, a política baseada em recurso no `Account B` deve permitir o solicitante em `Account A` para acessar o recurso. Deve haver políticas em ambas as contas que permitam a operação, caso contrário, a solicitação falhará. Para obter mais informações sobre políticas baseadas em recursos para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](access_policies-cross-account-resource-access.md).

Um usuário com permissões específicas pode solicitar um recurso que também tenha uma política de permissões anexada a ele. Nesse caso, a AWS avalia os dois conjuntos de permissões ao determinar se concede ou não acesso ao recurso. Para obter informações sobre como as políticas são avaliadas, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md). 

**nota**  
O Amazon S3 oferece suporte às políticas baseadas em identidade e às políticas baseadas em recurso (referenciadas como *políticas de bucket*). Além disso, o Amazon S3 oferece suporte a um mecanismo de permissões conhecido como uma *lista de controle de acesso (ACL)* que não depende de políticas e permissões do IAM. Você pode usar políticas do IAM em combinação com as ACLs do Amazon S3. Para mais informações, acesse [Controle de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) no *Guia do usuário do Amazon Simple Storage Service*. 

# Controlar o acesso a recursos da AWS usando as políticas
<a name="access_controlling"></a>

Você pode usar uma política para controlar o acesso a recursos no IAM ou em toda a AWS.

Para usar uma [política](access_policies.md) para controlar o acesso na AWS, você deve entender como a AWS concede acesso. A AWS é composta de coleções de *recursos*. Um usuário do IAM é um recurso. Um bucket do Amazon S3 é um recurso. Quando usa a API da AWS, a AWS CLI ou o Console de gerenciamento da AWS para executar uma ação (como a criação de um usuário), você envia uma *solicitação* para essa operação. Sua solicitação especifica uma ação, um recurso, uma *entidade principal* (usuário ou função), uma *conta principal* e qualquer informação necessária. Todas essas informações fornecem o *contexto*.

AWSO verifica se você (a entidade principal) está autenticado (cadastrado) e autorizado (tem permissão) para executar a ação especificada no recurso especificado. Durante a autorização, o AWS verifica todas as políticas aplicáveis ao contexto da sua solicitação. A maioria das políticas é armazenada no AWS, como [documentos JSON](access_policies.md#access_policies-json) e especifica as permissões para as entidades principais. Para obter mais informações sobre os tipos e os usos de políticas, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).

AWSA autorizará a solicitação somente se cada parte de sua solicitação tiver permissão concedida pelas políticas. Para visualizar um diagrama desse processo, consulte [Como o IAM funciona](intro-structure.md). Para obter detalhes sobre como a AWS determina se uma solicitação deve obter permissão, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md). 

Ao criar uma política do IAM, você pode controlar o acesso ao seguinte:
+ **[Entidades de segurança](#access_controlling-principals)**: controle o que a pessoa que faz a solicitação (a [entidade de segurança](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)) tem permissão para fazer. 
+ **[Identidades do IAM](#access_controlling-identities)**: controle quais identidades (usuários, perfis e grupos do IAM) podem ser acessadas e como.
+ **[Políticas do IAM](#access_controlling-policies)**: controle quem pode criar, editar e excluir políticas gerenciadas pelo cliente e quem pode anexar e desvincular todas as políticas gerenciadas.
+ **[Recursos da AWS](#access_controlling-resources)**: controle quem tem acesso aos recursos usando uma política baseada em identidade ou uma política baseada em recurso.
+ **[Contas da AWS](#access_controlling-principal-accounts)**: controle se uma solicitação tem permissão apenas para membros de uma conta específica.

Com as políticas, você pode especificar quem tem acesso aos recursos da AWS e quais ações essas pessoas podem realizar neles. Cada usuário do IAM começa sem permissões. Em outras palavras, por padrão, os usuários não podem fazer nada, nem mesmo visualizar suas próprias chaves de acesso. Para dar permissão a um usuário para fazer algo, você pode adicionar a permissão para esse usuário, ou seja, anexar uma política ao usuário. Ou você pode adicionar o usuário a um grupo de usuários que tenha a permissão pretendida.

Por exemplo, você pode conceder a um usuário permissão para listar suas próprias chaves de acesso. Você também pode expandir essa permissão e também permitir que cada usuário crie, atualize e exclua suas próprias chaves. 

Quando você concede permissões a um grupo de usuários, todos os usuários nesse grupo de usuários obtêm essas permissões. Por exemplo, você pode dar ao grupo de usuários Administradores permissão para executar qualquer uma das ações do IAM em qualquer um dos recursos da Conta da AWS. Outro exemplo: você pode dar ao grupo de usuários Gerentes permissão para descrever as instâncias do Amazon EC2 da Conta da AWS.

Para obter informações sobre como delegar permissões básicas aos usuários, perfis e grupos do IAM, consulte [Permissões necessárias para acessar recursos do IAM](access_permissions-required.md). Para obter exemplos adicionais de políticas que ilustram permissões básicas, consulte [Exemplos de política para administrar recursos do IAM](id_credentials_delegate-permissions_examples.md).

## Controlar o acesso de entidades principais do
<a name="access_controlling-principals"></a>

Você pode usar as políticas para controlar o que a pessoa que está fazendo a solicitação (a entidade principal) pode fazer. Para fazer isso, você deve anexar uma política baseada em identidade à identidade da pessoa (usuário, grupo de usuários ou função). Você também pode usar um [limite de permissões](access_policies_boundaries.md) para definir as permissões máximas que uma entidade (usuário ou função) pode ter.

Por exemplo, suponha que você queira que o usuário Zhang Wei tenha acesso total ao CloudWatch, Amazon DynamoDB, Amazon EC2 e Amazon S3. Você pode criar duas políticas diferentes para que possa separá-las posteriormente se precisar de um conjunto de permissões para outro usuário. Ou você pode colocar as duas permissões em uma única política e, em seguida, anexar essa política ao usuário do IAM que se chama Zhang Wei. Você também pode anexar uma política a um grupo de usuários ao qual Zhang pertence, ou a uma função que Zhang pode assumir. Como resultado, quando Zhang visualiza o conteúdo de um bucket do S3, suas solicitações são permitidas. Se ele tentar criar um novo usuário do IAM, a solicitação será negada pois ele não tem permissão. 

Você pode usar um limite de permissões para Zhang para ter certeza de que ele nunca terá acesso ao bucket `amzn-s3-demo-bucket1` do S3. Para fazer isso, determine o *número máximo* de permissões que deseja que Zhang tenha. Nesse caso, você controla o que ele faz usando suas políticas de permissões. Aqui, você só se importa com que ele não tenha acesso ao bucket confidencial. Portanto, você usa a política a seguir para definir o limite de Zhang para permitir todas as ações da AWS para o Amazon S3 e alguns outros serviços, mas negar acesso ao bucket `amzn-s3-demo-bucket1` do S3. Como o limite de permissões não permite nenhuma ação do IAM, ele impede que Zhang exclua seu limite (ou de alguém).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsBoundarySomeServices",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*",
                "dynamodb:*",
                "ec2:*",
                "s3:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsBoundaryNoConfidentialBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}
```

------

Quando você atribui uma política como essa como um limite de permissões a um usuário, lembre-se de que ela não concede permissões. Ela define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para obter mais informações sobre esses limites de permissões, consulte [Limites de permissões para entidades do IAM](access_policies_boundaries.md).

Para obter informações detalhadas sobre os procedimentos mencionados anteriormente, consulte estes recursos:
+ Para saber mais sobre como criar uma política do IAM que possa ser anexada a uma entidade de segurança, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md).
+ Para saber mais sobre como anexar uma política do IAM a uma entidade de segurança, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).
+ Para ver um exemplo de política que concede acesso total ao EC2, consulte [Amazon EC2: permite acesso total ao EC2 dentro de uma região específica, de forma programática e no console](reference_policies_examples_ec2_region.md).
+ Para permitir o acesso somente leitura a um bucket do S3, use as duas primeiras instruções do seguinte exemplo de política: [Amazon S3: permite acesso de leitura e gravação a objetos em um bucket do S3 de forma programática e no console](reference_policies_examples_s3_rw-bucket-console.md).
+ Para ver um exemplo de política que permite que os usuários definam suas credenciais, como a senha do console, chaves de acesso programático e dispositivos MFA, consulte [AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage.md).

## Controle de acesso a identidades
<a name="access_controlling-identities"></a>

Você pode usar políticas do IAM para controlar o que os usuários podem fazer em uma identidade criando uma política que você anexa a todos os usuários por meio de um grupo de usuários. Para fazer isso, crie uma política que limita o que pode ser feito em uma identidade ou quem pode acessá-la.

Por exemplo, você pode criar um grupo de usuários chamado **AllUsers** e, em seguida, anexá-lo a todos os usuários. Ao criar o grupo de usuários, é possível conceder acesso a todos os usuários para que eles definam suas credenciais conforme descrito na seção anterior. Em seguida, você pode criar uma política que negue o acesso para alterar o grupo de usuários, a menos que o nome do usuário seja incluído na condição da política. Mas essa parte da política nega acesso a qualquer pessoa, com exceção dos usuários listados. Também é necessário incluir permissões para permitir todas as ações de gerenciamento do grupo de usuários para todos no grupo de usuários. Por fim, anexe essa política ao grupo de usuários para que ela se aplique a todos os usuários. Dessa forma, quando um usuário não especificado na política tentar fazer alterações no grupo de usuários, a solicitação será negada. 

**Para criar esta política com o editor visual**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

   Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.

1. Escolha **Criar política**.

1. Na seção **Editor de políticas**, escolha a opção **Visual**.

1. Em **Selecionar um serviço**, escolha **IAM**.

1. Em **Ações permitidas**, digite **group** na caixa de pesquisa. O editor visual mostra todas as ações do IAM que contêm a palavra `group`. Marque todas as caixas de seleção.

1. Escolha **Recursos** para especificar os recursos para a sua política. Com base nas ações que escolheu, você deverá ver os tipos de recursos **grupo** e **usuário**.
   + **grupo**: escolha **Adicionar ARN**. Em **Recurso em**, selecione a opção **Qualquer conta**. Marque a caixa de seleção **Qualquer nome de grupo com caminho** e digite o nome do grupo de usuários **AllUsers**. Selecione **Adicionar ARNs**.
   + **usuário**: marque a caixa de seleção ao lado de **Qualquer um nessa conta**.

   Uma das ações que você escolheu, `ListGroups`, não oferece suporte ao uso de recursos específicos. Você não precisa escolher **Todos os recursos** para essa ação. Quando você salva a política ou visualiza a política no editor de **JSON**, pode ver que o IAM cria automaticamente um novo bloco de permissões concedendo permissão para essa ação em todos os recursos.

1. Para adicionar outro bloco de permissões, escolha **Adicionar mais permissões**.

1. Escolha **Selecionar um serviço** e depois escolha **IAM**.

1. Escolha **Ações permitidas** e depois escolha **Mudar para negar permissões**. Ao fazer isso, o bloco inteiro é usado para negar permissões.

1. Digite **group** na caixa de pesquisa. O editor visual mostra todas as ações do IAM que contêm a palavra `group`. Marque as caixas de seleção ao lado das seguintes ações:
   + **CreateGroup**
   + **DeleteGroup**
   + **RemoveUserFromGroup**
   + **AttachGroupPolicy**
   + **DeleteGroupPolicy**
   + **DetachGroupPolicy**
   + **PutGroupPolicy**
   + **UpdateGroup**

1. Escolha **Recursos** para especificar os recursos para a sua política. Com base nas ações que escolheu, você deve ver o tipo de recurso **grupo**. Escolha **Add ARNs**. Em **Recurso em**, selecione a opção **Qualquer conta**. Em **Qualquer nome de grupo com caminho** digite o nome do grupo de usuários **AllUsers**. Selecione **Adicionar ARNs**.

1. Escolha **Condições da solicitação - *opcional*** e depois escolha **Adicionar outra condição**. Preencha o formulário com os valores a seguir:
   + **Chave de condição**: escolha **aws:username**
   + **Qualifier** (Qualificador): escolha **Default** (Padrão)
   + **Operator** (Operador): escolha **StringNotEquals**
   + **Valor**: digite **srodriguez** e escolha **Adicionar** para adicionar outro valor. Digite **mjackson** e escolha **Adicionar** para adicionar outro valor. Digite **adesai** e escolha **Adicionar condição**.

   Essa condição garante que o acesso será negado às ações de gerenciamento do grupo de usuáros especificado quando o usuário que está fazendo a chamada não estiver incluído na lista. Como isso nega a permissão de forma explícita, ela substitui o bloco anterior que permitia que esses usuários chamassem as ações. Os usuários da lista não têm acesso negado e recebem permissão no primeiro bloco de permissões para que possam gerenciar totalmente o grupo de usuários.

1. Quando terminar, escolha **Próximo**.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** na opção de editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e criar**, em **Nome da política**, digite **LimitAllUserGroupManagement**. Em **Descrição**, digite **Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group**. Revise **Permissões definidas nessa política** para ter certeza de que você concedeu as permissões que pretendia. Em seguida, escolha **Criar política** para salvar sua nova política.

1. Anexe a política ao seu grupo de usuários. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

Como alternativa, você pode criar a mesma política usando este exemplo de documento de política JSON. Para visualizar esta política JSON, consulte [IAM: permite que os usuários do IAM gerenciem um grupo de forma programática e no console](reference_policies_examples_iam_users-manage-group.md). Para obter instruções detalhadas para criar uma política usando um documento JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

## Controle de acesso a políticas
<a name="access_controlling-policies"></a>

Você pode controlar como seus usuários aplicam as políticas gerenciadas da AWS. Para fazer isso, anexe esta política a todos os seus usuários. Idealmente, você pode fazer isso usando um grupo de usuários.

Por exemplo, você pode criar uma política que permita aos usuários anexar apenas as políticas gerenciadas da AWS [IAMUserChangePassword](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/IAMUserChangePassword) e [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/PowerUserAccess) a um novo usuário, grupo de usuários ou função do IAM.

Para as políticas gerenciadas pelo cliente, você pode controlar quem pode criar, atualizar e excluir essas políticas. Você pode controlar quem pode anexar políticas às entidades principais (usuários, perfis e grupos do IAM) e quem pode desanexá-las. Você também pode controlar quais políticas um usuário pode anexar e desanexar de quais entidades.

Por exemplo, você pode atribuir permissões a um administrador de conta para criar, atualizar e excluir políticas. Em seguida, você atribui permissões a um líder de equipe ou outro administrador limitado para anexar e desanexar essas políticas às entidades principais que o administrador limitado gerencia.

Para obter mais informações, consulte estes recursos:
+ Para saber mais sobre como criar uma política do IAM que possa ser anexada a uma entidade de segurança, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md).
+ Para saber mais sobre como anexar uma política do IAM a uma entidade de segurança, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).
+ Para ver um exemplo de política para limitar o uso de políticas gerenciadas, consulte [IAM: limita as políticas gerenciadas que podem ser aplicadas a um usuário, grupo ou função do IAM](reference_policies_examples_iam_limit-managed.md).

### Controle de permissões para a criação, atualização e exclusão de políticas gerenciadas pelo cliente
<a name="policies-controlling-access-create-update-delete"></a>

Você pode usar [políticas do IAM](access_policies.md) para controlar quem tem permissão para criar, atualizar e excluir as políticas gerenciadas pelo cliente na sua Conta da AWS. A lista a seguir contém operações de API que fazem parte diretamente da criação, atualização e exclusão de políticas ou versões de política: 
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

As operações da API na lista anterior correspondem a ações que você pode permitir ou negar ou seja, permissões que você pode conceder usando uma política do IAM. 

Considere a seguinte política de exemplo. Ela permite que um usuário crie, atualize (isto é, crie uma nova versão da política), exclua e defina uma versão padrão para todas as políticas gerenciadas pelo cliente na Conta da AWS. O exemplo de política também permite que o usuário liste as políticas e obtenha políticas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Exemplo de política que permite criar, atualizar, excluir, listar, obter e definir a versão padrão para todas as políticas**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:CreatePolicy",
      "iam:CreatePolicyVersion",
      "iam:DeletePolicy",
      "iam:DeletePolicyVersion",
      "iam:GetPolicy",
      "iam:GetPolicyVersion",
      "iam:ListPolicies",
      "iam:ListPolicyVersions",
      "iam:SetDefaultPolicyVersion"
    ],
    "Resource": "*"
  }
}
```

Você pode criar políticas que limitam o uso dessas operações da API para afetar somente as políticas gerenciadas que você especificar. Por exemplo, talvez você queira permitir que um usuário defina a versão padrão e exclua versões de políticas, mas somente para políticas específicas gerenciadas pelo cliente. Isso é feito especificando-se o ARN da política no elemento `Resource` da política que concede essas permissões. 

O exemplo a seguir mostra uma política que permite que um usuário exclua versões de política e defina a versão padrão. Mas essas ações são permitidas somente para as políticas gerenciadas pelo cliente que incluem o caminho /TEAM-A/. O ARN da política gerenciada pelo cliente é especificado no elemento `Resource` da política. (Neste exemplo, o ARN inclui um caminho e um caractere curinga e, portanto, corresponde a todas as políticas gerenciadas pelo cliente que incluem o caminho /TEAM-A/). Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

Para obter mais informações sobre o uso de caminhos nos nomes de políticas gerenciadas pelo cliente, consulte [Nomes amigáveis e caminhos](reference_identifiers.md#identifiers-friendly-names). 

**Example Exemplo de política que permite excluir versões de política e definir a versão padrão somente para políticas específicas**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:DeletePolicyVersion",
            "iam:SetDefaultPolicyVersion"
        ],
        "Resource": "arn:aws:iam::111122223333:policy/TEAM-A/*"
    }
}
```

### Controle de permissões para anexar e desvincular políticas gerenciadas
<a name="policies-controlling-access-attach-detach"></a>

Você também pode usar as políticas do IAM para permitir que os usuários trabalhem apenas com políticas gerenciadas específicas. Em suma, você pode controlar quais permissões um usuário pode conceder a outras entidades principais. 

A lista a seguir mostra as operações da API que fazem parte diretamente da anexação e desanexação de políticas gerenciadas às entidades principais:
+  [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)

Você pode criar políticas que limitam o uso dessas operações da API para afetar somente as políticas gerenciadas e/ou as entidades principais que você especifica. Por exemplo, talvez você queira permitir que um usuário anexe políticas gerenciadas, mas somente as políticas gerenciadas que você especificar. Ou, talvez você queira permitir que um usuário anexe políticas gerenciadas, mas somente às entidades principais que você especificar. 

O exemplo de política a seguir permite que um usuário só anexe políticas gerenciadas a perfis e grupos do IAM que incluam o caminho /TEAM-A/. Os ARNs do grupo de usuários e da função são especificados no elemento `Resource` da política. (Neste exemplo, os ARNs incluem um caminho e um caractere curinga e, por isso, correspondem a todos os perfis e grupos do IAM que incluem o caminho /TEAM-A/). Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Exemplo de política que permite anexar políticas gerenciadas somente a grupos de usuários ou funções específicos**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ]
    }
}
```

Você pode limitar ainda mais as ações no exemplo anterior para afetar somente políticas específicas. Ou seja, você pode controlar quais permissões um usuário pode anexar a outras entidades de segurança, adicionando uma condição à política. 

No exemplo a seguir, a condição garante que as permissões `AttachGroupPolicy` e `AttachRolePolicy` sejam concedidas somente quando a política sendo anexada corresponda a uma das políticas especificadas. A condição usa a `iam:PolicyARN` [chave de condição](reference_policies_elements_condition.md) para determinar qual política (ou políticas) pode ser anexada. A política de exemplo a seguir expande o exemplo anterior. Ela permite que um usuário só anexe as políticas gerenciadas que incluem o caminho /TEAM-A/ aos perfis e grupos do IAM que incluam o caminho /TEAM-A/. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ],
        "Condition": {
            "ArnLike": {
                "iam:PolicyARN": "arn:aws:iam::111122223333:policy/TEAM-A/*"
            }
        }
    }
}
```

------

Esta política usa o operador de condição `ArnLike`, mas você também pode usar o operador de condição `ArnEquals` porque esses dois operadores de condição se comportam de forma idêntica. Para obter mais informações sobre `ArnLike` e `ArnEquals`, consulte [Operadores de condição de nome do recurso da Amazon (ARN)](reference_policies_elements_condition_operators.md#Conditions_ARN) na seção *Tipos de condição* da *Referência sobre elementos de políticas*. 

Por exemplo, é possível limitar o uso dessas ações para envolver somente as políticas gerenciadas que você especifica. Isso é feito especificando-se o ARN da política no elemento `Condition` da política que concede essas permissões. Por exemplo, para especificar o ARN de uma política gerenciada pelo cliente:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"}
}
```

Você pode especificar o ARN de uma política gerenciada da AWS no elemento `Condition` da política. O ARN de uma política gerenciada da AWS usa o alias especial `aws` no ARN da política, em vez de um ID de conta, como neste exemplo:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"}
}
```

## Controlar o acesso aos recursos
<a name="access_controlling-resources"></a>

Você pode controlar o acesso aos recursos usando uma política baseada em identidade ou em recurso. Em uma política baseada em identidade, você anexa a política a uma identidade e especifica que recursos essa identidade pode acessar. Em uma política baseada em recursos, você anexa uma política ao recurso que deseja controlar. Na política, você especifica quais entidades principais podem acessar esse recurso. Para obter mais informações sobre ambos os tipos de políticas, consulte [Políticas baseadas em identidade e em recurso](access_policies_identity-vs-resource.md).

Para obter mais informações, consulte estes recursos:
+ Para saber mais sobre como criar uma política do IAM que possa ser anexada a uma entidade de segurança, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md).
+ Para saber mais sobre como anexar uma política do IAM a uma entidade de segurança, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).
+ O Amazon S3 oferece suporte ao uso de políticas baseadas em recurso em seus buckets. Para obter mais informações, consulte [Exemplos de políticas de buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html).
<a name="NoDefaultPermissions"></a>
**Criadores de recursos não têm permissões automaticamente**  
Se você fizer login usando as credenciais do Usuário raiz da conta da AWS, terá permissão para executar qualquer ação nos recursos que pertencem à conta. No entanto, isso não é verdadeiro para usuários do IAM. Um usuário do IAM pode receber acesso para criar um recurso, mas as permissões do usuário, mesmo para esse recurso, são limitadas ao que foi explicitamente concedido. Isso significa que só pelo fato de criar um recurso, como uma função do IAM, você não tem automaticamente permissão para editar ou excluir essa função. Além disso, sua permissão pode ser revogada a qualquer momento pelo proprietário da conta ou por outro usuário que tenha recebido acesso para gerenciar suas permissões.

## Controle de acesso a entidades de segurança em uma conta específica
<a name="access_controlling-principal-accounts"></a>

Você pode conceder diretamente aos usuários do IAM em sua própria conta acesso aos seus recursos. Se os usuários de outra conta precisarem de acesso a seus recursos, você poderá criar uma função do IAM. Uma função é uma entidade que inclui permissões, mas que não está associada a um usuário específico. Os usuários de outras contas podem, então, assumir a função e acessar os recursos de acordo com as permissões que você tiver atribuído à função. Para obter mais informações, consulte [Acesso a um usuário do IAM em outra Conta da AWS de sua propriedade](id_roles_common-scenarios_aws-accounts.md).

**nota**  
Alguns serviços oferecem suporte a políticas baseadas em recurso, conforme descrito em [Políticas baseadas em identidade e em recurso](access_policies_identity-vs-resource.md) (como o Amazon S3, Amazon SNS e Amazon SQS). Para esses serviços, uma alternativa ao uso de funções é anexar uma política ao recurso (bucket, tópico ou fila) que você deseja compartilhar. A política baseada em recurso pode especificar a conta da AWS com permissões para acessar o recurso.

# Controle de acesso para usuários e funções do IAM usando etiquetas
<a name="access_iam-tags"></a>

Use as informações da seção a seguir para controlar quem pode acessar os usuários e as funções do IAM e quais recursos os usuários e as funções podem acessar. Para obter mais informações gerais e exemplos de controle de acesso a outros recursos da AWS, incluindo recursos do IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

**nota**  
Para obter detalhes sobre a distinção entre maiúsculas e minúsculas para chaves de tag e valores de chave de tag, consulte [Case sensitivity](id_tags.md#case-sensitivity).

As etiquetas podem ser anexadas ao *recurso* do IAM, transmitidas na *solicitação*, ou anexadas à *entidade de segurança* que está fazendo a solicitação. Um usuário ou uma função do IAM pode ser um recurso e uma entidade de segurança. Por exemplo, é possível escrever uma política que permita que um usuário liste os grupos de um usuário. Essa operação é permitida somente se o usuário que está fazendo a solicitação (o principal) tiver a mesma tag `project=blue` que o usuário que está tentando visualizar. Neste exemplo, o usuário pode visualizar a associação ao grupo de qualquer usuário, incluindo ele mesmo, desde que esteja trabalhando no mesmo projeto.

Para controlar o acesso com base em tags, forneça informações sobre a tag no [elemento de condição](reference_policies_elements_condition.md) de uma política. Ao criar uma política do IAM, você pode usar etiquetas do IAM e a chave de condição da etiqueta associada para controlar o acesso a qualquer um das seguintes opções:
+ **[Recurso](access_tags.md#access_tags_control-resources)**: controle o acesso aos recursos do usuário ou da função com base em suas etiquetas. Para fazer isso, use a chave de condição **aws:ResourceTag/*key-name*** para especificar o par de chave-valor da tag a ser associado ao recurso. Para obter mais informações, consulte [Controlar o acesso aos recursos do AWS](access_tags.md#access_tags_control-resources).
+ **[Solicitação](access_tags.md#access_tags_control-requests)**: controle quais etiquetas podem ser transmitidas em uma solicitação do IAM. Para isso, use a chave de condição **aws:RequestTag/*key-name*** para especificar quais etiquetas podem ser adicionadas, alteradas ou removidas de um usuário ou de uma função do IAM. Essa chave é usada da mesma forma para recursos do IAM e outros recursos da AWS. Para obter mais informações, consulte [Controlar o acesso durante solicitações do AWS](access_tags.md#access_tags_control-requests).
+ **[Entidade de segurança](#access_iam-tags_control-principals)**: controle o que a pessoa que está fazendo a solicitação (a entidade de segurança) tem permissão para fazer com base nas etiquetas anexadas ao usuário ou à função do IAM dessa pessoa. Para isso, use a chave de condição **aws:PrincipalTag/*key-name*** para especificar quais etiquetas devem ser anexadas ao usuário ou à função do IAM até a solicitação ser permitida.
+ **[Qualquer parte do processo de autorização](#access_iam-tags_control-tag-keys)**: use a chave de condição **aws:TagKeys** para controlar se chaves de tag específicas podem ser usadas em uma solicitação ou por uma entidade principal. Neste caso, o valor da chave não importa. Essa chave se comporta de forma semelhante para o IAM e outros serviços da AWS. No entanto, quando você etiqueta um usuário no IAM, isso também controla se a entidade de segurança pode fazer a solicitação para qualquer serviço. Para obter mais informações, consulte [Controlar o acesso com base em chaves de tag](access_tags.md#access_tags_control-tag-keys).

É possível criar uma política do IAM com o editor visual, usando JSON ou importando uma política gerenciada existente. Para obter detalhes, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md).

**nota**  
Também é possível passar [tags de sessão](id_session-tags.md) ao assumir um perfil do IAM ou federar um usuário. Elas são válidas somente durante a sessão.

## Controle de acesso de entidades de segurança do IAM
<a name="access_iam-tags_control-principals"></a>

Você pode controlar as ações que o principal tem permissão para realizar com base nas tags associadas à identidade dessa pessoa. 

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que qualquer usuário nesta conta visualize a associação ao grupo de qualquer usuário, inclusive a sua própria, desde que esteja trabalhando no mesmo projeto. Essa operação só é permitida quando a tag de recurso do usuário e a tag da entidade principal têm o mesmo valor para a chave de tag `project`. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:ListGroupsForUser",
            "Resource": "arn:aws:iam::111222333444:user/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
            }
        }]
}
```

------

## Controlar o acesso com base em chaves de tag
<a name="access_iam-tags_control-tag-keys"></a>

Você pode usar tags em suas políticas do IAM para controlar quais chaves de tag específicas podem ser usadas em um recurso ou por uma entidade principal.

Este exemplo mostra como é possível criar uma política baseada em identidade que só permita remover a tag com a chave `temporary` dos usuários. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:UntagUser",
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
    }]
}
```

------

# Controlar o acesso a recursos da AWS usando tags
<a name="access_tags"></a>

Você pode usar etiquetas para controlar o acesso aos recursos da AWS que forem compatíveis com o etiquetamento, incluindo recursos do IAM. Também é possível etiquetar usuários e funções do IAM para controlar o que eles podem acessar. Para saber como etiquetar usuários e funções do IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md). Além disso, você pode controlar o acesso aos seguintes recursos do IAM: políticas gerenciadas pelo cliente, provedores de identidade do IAM, perfis de instância, certificados de servidor e dispositivos com MFA virtuais. Para visualizar um tutorial de como criar e testar uma política que permite que funções do IAM com etiquetas de entidade de segurança acessem recursos com etiquetas correspondentes, consulte [Tutorial do IAM: Definir permissões para acessar recursos da AWS com base em etiquetas](tutorial_attribute-based-access-control.md). Use as informações na seção a seguir para controlar o acesso a outros recursos da AWS, incluindo recursos do IAM, sem etiquetar usuários ou funções do IAM.

Antes de usar tags para controlar o acesso aos recursos da AWS, você deve entender como a AWS concede acesso. A AWS é composta por conjuntos de *recursos*. Uma instância do Amazon EC2 é um recurso. Um bucket do Amazon S3 é um recurso. É possível usar a API da AWS, a AWS CLI ou o Console de gerenciamento da AWS para executar uma operação, como a criação de um bucket no Amazon S3. Ao fazer isso, você envia uma *solicitação* para essa operação. Sua solicitação especifica uma ação, um recurso, uma *entidade principal* (usuário ou função), uma *conta principal* e qualquer informação necessária. Todas essas informações fornecem o *contexto*.

AWSO verifica se você (a entidade principal) está autenticado (cadastrado) e autorizado (tem permissão) para executar a ação especificada no recurso especificado. Durante a autorização, o AWS verifica todas as políticas aplicáveis ao contexto da sua solicitação. A maioria das políticas é armazenada no AWS, como [documentos JSON](access_policies.md#access_policies-json) e especifica as permissões para as entidades principais. Para obter mais informações sobre os tipos e os usos de políticas, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).

AWSA autorizará a solicitação somente se cada parte de sua solicitação tiver permissão concedida pelas políticas. Para visualizar um diagrama e saber mais sobre a infraestrutura do IAM, consulte [Como o IAM funciona](intro-structure.md). Para obter detalhes sobre como o IAM determina se uma solicitação é permitida, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md).

As etiquetas devem ser levadas em consideração nesse processo porque podem ser anexadas ao *recurso* ou transmitidas na *solicitação* para serviços que oferecem suporte a marcação. Para controlar o acesso com base em tags, forneça informações sobre a tag no [elemento de condição](reference_policies_elements_condition.md) de uma política. Para saber se um serviço da AWS oferece suporte ao controle de acesso usando tags, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md) e procure os serviços que contêm **Sim** na coluna **ABAC**. Selecione o nome do serviço para visualizar a documentação de controle de acesso e a autorização desse serviço.

Depois, é possível criar uma política do IAM que permite ou nega o acesso a um recurso com base na etiqueta desse recurso. Nessa política, é possível usar as chaves de condição da tag para controlar o acesso a qualquer um dos seguintes:
+ **[Recurso](#access_tags_control-resources)**: controle o acesso aos recursos de produtos da AWS com base nas etiquetas desses recursos. Para isso, use a chave de condição **aws:ResourceTag/*key-name*** para determinar se o acesso ao recurso será permitido com base nas tags anexadas a ele.
+ **[Solicitação](#access_tags_control-requests)**: controle quais etiquetas podem ser transmitidas em uma solicitação. Para fazer isso, use a chave de condição **aws:RequestTag/*key-name*** para especificar quais pares de chave-valor de tag podem ser transmitidos em uma solicitação para aplicar uma tag em um recurso da AWS.
+ **[Qualquer parte do processo de autorização](#access_tags_control-tag-keys)**: use a chave de condição **aws:TagKeys** para controlar se as chaves de etiquetas específicas podem estar em uma solicitação. 

Você pode criar uma política do IAM visualmente, usando JSON ou importando uma política gerenciada existente. Para obter detalhes, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md).

**nota**  
Alguns serviços permitem que os usuários especifiquem etiquetas ao criar o recurso, caso tenham permissões para usar a ação que cria o recurso.

## Controlar o acesso aos recursos do AWS
<a name="access_tags_control-resources"></a>

É possível usar condições em suas políticas do IAM para controlar o acesso aos recursos da AWS com base nas etiquetas desse recurso. Você pode fazer isso usando a chave de condição global `aws:ResourceTag/tag-key` ou uma chave específica do serviço. Alguns serviços oferecem suporte apenas à versão dessa chave que é específica do serviço e não à versão global. 

**Atenção**  
Não tente controlar quem pode passar por uma função marcando a função e, em seguida, usando a chave de condição `ResourceTag` em uma política com a ação `iam:PassRole`. Os resultados dessa abordagem não são confiáveis. Para obter mais informações sobre as permissões necessárias para transmitir uma função a um serviço, consulte [Conceda permissões a um usuário para passar um perfil para um serviço da AWS](id_roles_use_passrole.md).

 Este exemplo mostra como é possível criar uma política baseada em identidade que permita iniciar ou interromper instâncias do Amazon EC2. Essas operações são permitidas apenas se a etiqueta `Owner` da instância tiver o valor do nome do usuário. Esta política define permissões para acesso programático e do console. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário chamado `richard` tentar iniciar uma instância do Amazon EC2, a instância deve ser etiquetada como `Owner=richard` ou `owner=richard`. Caso contrário, o acesso será negado a ele. A chave de tag `Owner` corresponde a `Owner` e `owner` porque os nomes da chave de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [Elementos de política JSON do IAM: Condition](reference_policies_elements_condition.md).

Este exemplo mostra como criar uma política baseada em identidade que use a etiqueta `team` de entidade principal no ARN do recurso. A política concede permissão para excluir filas do Amazon Simple Queue Service, mas somente se o nome da fila começar com o nome da equipe seguido de `-queue`. Por exemplo, `qa-queue` se `qa` for o nome da equipe para a etiqueta da entidade principal `team`.

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Sid": "AllQueueActions",
        "Effect": "Allow",
        "Action": "sqs:DeleteQueue",
        "Resource": "arn:aws:sqs:us-east-2:111122223333:${aws:PrincipalTag/team}-queue"
      }
}
```

------

## Controlar o acesso durante solicitações do AWS
<a name="access_tags_control-requests"></a>

É possível usar condições em suas políticas do IAM para controlar quais pares de chave-valor da tag podem ser passados em uma solicitação que aplica tags a um recurso da AWS.

Este exemplo mostra como você pode criar uma política baseada em identidade que permita usar a ação `CreateTags` do Amazon EC2 para anexar tags a uma instância. É possível anexar tags somente se a tag contiver a chave `environment` e os valores `preprod` ou `production`. Se quiser, você poderá usar o modificador `ForAllValues` com a chave de condição `aws:TagKeys` para indicar que somente a chave `environment` é permitida na solicitação. Isso impede que os usuários incluam outras chaves, mesmo acidentalmente, ao usar `Environment` em vez de `environment`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:CreateTags",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/environment": [
                    "preprod",
                    "production"
                ]
            },
            "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
        }
    }
}
```

------

## Controlar o acesso com base em chaves de tag
<a name="access_tags_control-tag-keys"></a>

É possível usar uma condição em suas políticas do IAM para controlar se as chaves de etiquetas específicas podem ser usadas em uma solicitação.

Ao usar políticas para controlar o acesso usando etiquetas, convém usar a [chave de condição `aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys). Os serviços da AWS que oferecem suporte a etiquetas podem permitir que você crie vários nomes de chaves de etiqueta que diferem apenas em termos de maiúsculas ou minúsculas, como etiquetar uma instância do Amazon EC2 com `stack=production` e `Stack=test`. Os nomes das chaves não diferenciam maiúsculas de minúsculas em condições da política. Isso significa que, se você especificar `"aws:ResourceTag/TagKey1": "Value1"` no elemento de condição da política, a condição corresponderá a uma chave de tag de recurso chamada `TagKey1` ou `tagkey1`, mas não ambas. Para evitar etiquetas duplicadas com uma chave que varia de acordo com o caso, use a condição `aws:TagKeys` para definir as chaves de etiqueta que seus usuários podem aplicar ou use políticas de etiquetas, disponíveis no AWS Organizations. Para obter mais informações, consulte [Políticas de tags](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) no *Guia do usuário do AWS Organizations*. 

Este exemplo mostra como você pode criar uma política baseada em identidade que permita criar e marcar um segredo do Secrets Manager, mas apenas com as chaves de tag `environment` ou `cost-center`. A condição `Null` garante que a condição seja avaliada como `false` se não houver tags na solicitação.

```
{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:CreateSecret",
            "secretsmanager:TagResource"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:TagKeys": "false"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "environment",
                    "cost-center"
                ]
            }
        }
}
```

# Acesso a recursos entre contas no IAM
<a name="access_policies-cross-account-resource-access"></a>

Para alguns serviços da AWS, você pode conceder acesso entre contas para os seus recursos usando o IAM. Para fazer isso, você pode anexar uma política de recurso diretamente ao recurso que você deseja compartilhar ou usar um perfil como um proxy.

Para compartilhar o recurso diretamente, ele deve ser compatível com [políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-resource-based-policies). Ao contrário de uma política baseada em identidade, uma política baseada em recursos especifica quem (qual entidade principal) pode acessar esse recurso.

Use um perfil como proxy quando quiser acessar recursos em outra conta que não sejam compatíveis com políticas baseadas em recursos.

Para obter detalhes sobre as diferenças entre esses tipos de política, consulte [Políticas baseadas em identidade e em recurso](access_policies_identity-vs-resource.md).

**nota**  
As funções do IAM e as políticas baseadas em recurso delegam o acesso entre contas em uma única partição. Por exemplo, você tem uma conta no Oeste dos EUA (Norte da Califórnia) na partição `aws` padrão. Você também tem uma conta na China na partição `aws-cn`. Você não pode usar uma política baseada em recursos na sua conta na China para permitir acesso a usuários na sua conta da AWS padrão.

## Acesso entre contas usando perfis
<a name="access_policies-cross-account-using-roles"></a>

Nem todos os serviços da AWS são compatíveis com políticas baseadas em recursos. Para esses serviços, você pode usar perfis do IAM entre contas para centralizar o gerenciamento de permissões ao fornecer acesso entre contas a vários serviços. Um perfil do IAM entre contas é um perfil do IAM que inclui uma [política de confiança](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#term_trust-policy) que permite que as entidades principais do IAM em outra conta da AWS assumam o perfil. Simplificando, você pode criar um perfil em uma conta da AWS que delega permissões específicas para outra conta da AWS.

Para obter informações sobre como anexar uma política a uma identidade do IAM, consulte [Gerenciar políticas do IAM](access_policies_manage.md).

**nota**  
Quando uma entidade principal muda para um perfil para usar temporariamente as permissões do perfil, ela abre mão de suas permissões originais e assume as permissões atribuídas ao perfil que assumiu.

Vamos dar uma olhada no processo geral aplicado ao software de parceiro da APN que precisa acessar uma conta de cliente.

1. O cliente cria um perfil do IAM na própria conta com uma política que permite acessar os recursos do Amazon S3 que o parceiro da APN exige. Neste exemplo, o nome do perfil é `APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:*",
               "Resource": [
                   "arn:aws:s3:::bucket-name"
               ]
           }
       ]
   }
   ```

------

1. Em seguida, o cliente especifica que o perfil pode ser assumido pela conta da AWS do parceiro fornecendo o ID da Conta da AWS do parceiro da APN na [política de confiança](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) do perfil `APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/APN-user-name"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. O cliente fornece o nome do recurso da Amazon (ARN) do perfil ao parceiro da APN. O ARN é o nome totalmente qualificado do perfil.

   ```
   arn:aws:iam::Customer-Account-ID:role/APNPartner
   ```
**nota**  
Recomendamos usar uma ID externa em situações multilocatárias. Para obter detalhes, consulte [Acesso às Contas da AWS de propriedade de terceiros](id_roles_common-scenarios_third-party.md).

1. Quando o software do parceiro da APN precisa acessar a conta do cliente, o software chama a API [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) no AWS Security Token Service com o ARN do perfil na conta do cliente. O STS retorna uma  credencial da AWS temporária que permite que o software faça seu trabalho.

Para ver outro exemplo de concessão de acesso entre contas usando perfis, consulte [Acesso a um usuário do IAM em outra Conta da AWS de sua propriedade](id_roles_common-scenarios_aws-accounts.md). Você também pode seguir o [Tutorial do IAM: Delegar acesso entre contas da AWS usando funções do IAM](tutorial_cross-account-with-roles.md).

## Acesso entre contas usando políticas baseadas em recursos
<a name="access_policies-cross-account-using-resource-based-policies"></a>

Quando uma conta acessa um recurso por meio de outra conta usando uma política baseada em recursos, a entidade principal ainda trabalha na conta confiável e não precisa abrir mão de suas permissões para receber as permissões do perfil. Em outras palavras, a entidade principal continua a ter acesso aos recursos na conta confiável ao mesmo tempo em que tem acesso ao recurso na conta de confiança. Isso é útil para tarefas como cópia de informações de ou para o recurso compartilhado em outra conta.

As entidades de segurança que você pode especificar em uma política baseada em recurso incluem contas, usuários do IAM, entidades principais de usuários federados do AWS STS, entidades principais federadas SAML, entidades principais federadas OIDC, perfis do IAM, sessões de perfis assumidos ou serviços da AWS. Para obter mais informações, consulte [Especificar uma entidade principal](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying).

Para saber se as entidades principais de contas fora de sua zona de confiança (organização ou conta confiável) têm acesso para assumir seus perfis, consulte [Identificar recursos compartilhados com uma entidade principal externa](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification).

A lista a seguir inclui alguns dos serviços da AWS que oferecem suporte às políticas baseadas em recursos. Para obter uma lista completa do número crescente de serviços da AWS que compatíveis com a anexação de políticas de permissão aos recursos em vez de nos principais, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md)e procure os serviços que têm **Sim** na coluna **Baseadas em recursos**.
+ **Buckets do Amazon S3**: a política é anexada ao bucket, mas controla o acesso ao bucket e aos objetos nele. Para obter mais informações, consulte [Bucket policies for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) no *Guia do usuário do Amazon Simple Storage Service*. Em alguns casos, pode ser melhor usar funções para acesso entre contas ao Amazon S3. Para mais informações, consulte as [demonstrações de exemplo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) no *Guia do usuário do Amazon Simple Storage Service*.
+ **Tópicos do Amazon Simple Notification Service (Amazon SNS)**: para obter mais informações, acesse [Casos de exemplo para controle de acesso do Amazon SNS](https://docs.aws.amazon.com//sns/latest/dg/sns-access-policy-use-cases.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
+ **Filas do Amazon Simple Queue Service (Amazon SQS)**: para obter mais informações, acesse [Apêndice: A linguagem da política de acesso](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) no *Guia do desenvolvedor do Amazon Simple Queue Service*. 

## Políticas baseadas em recursos para delegar permissões da AWS
<a name="access_policies-cross-account-delegating-resource-based-policies"></a>

Se um recurso conceder permissões às entidades de segurança em sua conta, você poderá delegar essas permissões a identidades do IAM específicas. As identidades são usuários, grupos de usuários ou funções na conta. Você delega permissões anexando uma política à identidade. Você pode conceder até o máximo de permissões permitidas pela conta proprietária do recurso.

**Importante**  
No acesso entre contas, uma entidade principal precisa de uma `Allow` na política de identidade **e** uma política baseada em recursos.

Suponha que uma política baseada em recursos permita acesso administrativo total a um recurso a todos os principais na conta. Em seguida, você pode delegar acesso total, acesso somente leitura ou qualquer outro acesso parcial aos principais na sua conta da AWS. Como alternativa, se a política baseada em recursos permitir somente permissões de lista, você só poderá delegar o acesso à lista. Se você tentar delegar mais permissões do que sua conta possui, os principais ainda terão apenas acesso de lista.

Para obter mais informações sobre como essas decisões são tomadas, consulte [Determinar se uma solicitação é permitida ou negada em uma conta](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html).

**nota**  
As funções do IAM e as políticas baseadas em recurso delegam o acesso entre contas em uma única partição. Por exemplo, não é possível adicionar acesso entre contas entre uma conta na partição padrão `aws` e uma conta na partição `aws-cn`. 

Por exemplo, presuma que você gerencie a `AccountA` e a `AccountB`. Na AccountA, você tem o bucket do Amazon S3 chamado `BucketA`.

![\[Uma política baseada em recursos criada para o bucket do Amazon S3 fornece permissões da AccountB para a AccountA.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/access_policies-cross-account.png)


1. Anexe uma política baseada em recursos ao `BucketA` que permite que todas as entidades principais na AccountB tenham acesso total aos objetos no bucket. Eles podem criar, ler ou excluir objetos nesse bucket. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PrincipalAccess",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::BucketA/*"
           }
       ]
   }
   ```

------

   A AccountA fornece acesso total à AccountB para o BucketA nomeando a AccountB como uma entidade principal na política baseada em recursos. Como resultado, a AccountB é autorizada a realizar qualquer ação no BucketA, e o administrador da AccountB pode delegar acesso aos seus usuários na AccountB.

   O usuário raiz da AccountB tem todas as permissões concedidas à conta. Portanto, o usuário raiz tem acesso total ao BucketA.

1. Na AccountB, anexe uma política ao usuário do IAM denominado User2. Essa política permite que o usuário tenha acesso somente leitura aos objetos no BucketA. Isso significa que o User2 pode visualizar os objetos, mas não criá-los, editá-los ou excluí-los. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect" : "Allow", 
               "Action" : [ 
                   "s3:Get*", 
                   "s3:List*" ], 
                   "Resource" : "arn:aws:s3:::BucketA/*" 
           } 
       ]
   }
   ```

------

   O nível máximo de acesso que a AccountB pode delegar é o nível de acesso concedido à conta. Nesse caso, a política baseada em recursos concedeu acesso total à AccountB, mas o User2 tem acesso somente leitura.

   O administrador da AccountB não concede acesso ao User1. Por padrão, os usuários não têm permissões, exceto aquelas explicitamente concedidas, então o User1 não tem acesso ao BucketA.

O IAM avalia as permissões de um principal no momento que este faz uma solicitação. Se você usar curingas (\$1) para fornecer aos usuários acesso total aos recursos, as entidades principais poderão acessar qualquer recurso ao qual a conta da AWS tenha acesso. Isso é verdadeiro mesmo para recursos que você adiciona ou aos quais obtém acesso após criar a política de usuário.

No exemplo anterior, se a AccountB tivesse anexado uma política ao User2 que permitisse acesso total aos recursos em todas as contas, o User2 teria acesso automaticamente a quaisquer recursos aos quais a AccountB tivesse acesso. Isso inclui o acesso ao BucketA e o acesso a quaisquer outros recursos concedido por políticas baseadas em recursos na AccountA.

Para obter mais informações sobre usos complexos de perfis, como conceder acesso a aplicações e serviços, consulte [Cenários comuns para perfis do IAM](id_roles_common-scenarios.md).

**Importante**  
Conceda acesso somente a entidades confiáveis e atribua o nível mínimo de acesso necessário. Sempre que a entidade confiável for outra conta da AWS, qualquer  entidade principal do IAM poderá ter acesso ao seu recurso. A conta confiável da AWS pode delegar acesso apenas na medida em que o acesso foi concedido; ela não pode delegar mais acessos do que o concedido para a própria conta.

Para obter informações sobre permissões, políticas e a linguagem de política de permissões usada para criar políticas, consulte [Gerenciamento de acesso para recursos da AWS](access.md).

# Sessões de acesso direto
<a name="access_forward_access_sessions"></a>

Sessões de acesso direto (FAS) é uma tecnologia do IAM usada pelos serviços da AWS para transmitir sua identidade, permissões e atributos de sessão quando um serviço da AWS faz uma solicitação em seu nome. O FAS usa as permissões da identidade que chama um serviço da AWS, combinadas com a identidade de um serviço da AWS, para fazer solicitações aos serviços subsequentes. As solicitações de FAS só são feitas aos serviços da AWS em nome de uma entidade principal do IAM depois que um serviço recebe uma solicitação que requeira interações com outros serviços ou recursos da AWS para ser atendida. Quando uma solicitação de FAS é feita:
+ O serviço que recebe a solicitação inicial de uma entidade principal do IAM verifica as permissões da entidade principal do IAM.
+ O serviço que recebe uma solicitação de FAS subsequente também verifica as permissões da mesma entidade principal do IAM.

Por exemplo, o FAS é usado pelo Amazon S3 para fazer chamadas ao AWS Key Management Service para descriptografar um objeto quando o [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) foi usado para criptografá-lo. Ao baixar um objeto criptografado com o SSE-KMS, um perfil denominado **data-reader** chama getObject no objeto do Amazon S3, não chama o AWS KMS diretamente. Depois de receber a solicitação getObject e autorizar o data-reader, o Amazon S3 faz uma solicitação de FAS ao AWS KMS para descriptografar o objeto do Amazon S3. Quando o KMS recebe a solicitação de FAS, ele verifica as permissões do perfil e só autoriza a solicitação de descriptografia se o data-reader tem as permissões corretas na chave do KMS. As solicitações para o Amazon S3 e o AWS KMS são autorizadas usando as permissões do perfil, e elas só são bem-sucedidas se o leitor de dados tem permissões tanto para o objeto do Amazon S3 quanto para a chave do AWS KMS.

![\[Um fluxograma de um perfil do IAM sendo passado como entidade principal para o Amazon S3 e depois para o AWS KMS.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/access-fas-example.png)


**nota**  
Solicitações de FAS adicionais podem ser feitas pelos serviços que receberam uma solicitação de FAS. Nesses casos, a entidade principal solicitante deve ter permissões para todos os serviços chamados por FAS.

## Solicitações de FAS e condições de política do IAM
<a name="access_fas_policy_conditions"></a>

Quando as solicitações de FAS são feitas, as chaves de condição [aws:CalledVia](reference_policies_condition-keys.md#condition-keys-calledvia), [aws:CalledViaFirst](reference_policies_condition-keys.md#condition-keys-calledviafirst) e [aws:CalledViaLast](reference_policies_condition-keys.md#condition-keys-calledvialast) são preenchidas com a entidade principal do serviço que iniciou a chamada de FAS. O valor da chave de condição [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) é definido como `true` sempre que uma solicitação de FAS é feita. No diagrama a seguir, a solicitação feita diretamente ao CloudFormation ainda não tem uma chave de condição `aws:CalledVia` ou `aws:ViaAWSService` configurada. Quando o CloudFormation e o DynamoDB fazem solicitações de FAS subsequentes em nome do perfil, os valores dessas chaves de condição são preenchidos.

![\[Um fluxograma de um perfil do IAM sendo passado como entidade principal para o CloudFormation e, em seguida, passando os valores de chave de condição para o DynamoDB e o AWS KMS.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/access-fas-example2.png)


Para permitir que uma solicitação de FAS seja feita, quando normalmente seria negada por uma instrução de política de negação com uma chave de condição testando os endereços IP ou as VPCs de origem, você deve usar chaves de condição para prever uma exceção para as solicitações de FAS em sua política de negação. Isso pode ser feito para todas as solicitações de FAS usando a chave de condição `aws:ViaAWSService`. Para permitir que apenas serviços específicos da AWS façam solicitações de FAS, use `aws:CalledVia`.

**Importante**  
Quando uma solicitação de FAS é feita após uma solicitação inicial ser ter sido feita por meio de um endpoint da VPC, os valores da chave de condição para `aws:SourceVpce`, `aws:SourceVpc` e `aws:VpcSourceIp` da solicitação inicial não são usados nas solicitações de FAS. Ao escrever políticas usando `aws:VPCSourceIP` ou `aws:SourceVPCE` para conceder acesso condicionalmente, você também deve usar `aws:ViaAWSService` ou `aws:CalledVia` permitir solicitações de FAS. Quando uma solicitação de FAS for feita depois que uma solicitação inicial for recebida por um endpoint público do serviço da AWS, as solicitações de FAS subsequentes serão feitas com o mesmo valor de chave de condição `aws:SourceIP`.

## Exemplo: permitir acesso ao Amazon S3 a partir de uma VPC ou com FAS
<a name="access_fas_example"></a>

No exemplo de política do IAM a seguir, as solicitações GetObject e as solicitações do Athena do Amazon S3 só serão permitidas se forem originadas de endpoints da VPC conectados a *example\$1vpc* ou se a solicitação for uma solicitação de FAS feita pelo Athena.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
          "vpc-111bbb22"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}
```

------

Para obter exemplos adicionais do uso de chaves de condição para permitir acesso de FAS, consulte o [repositório de exemplos de políticas de perímetro de dados](https://github.com/aws-samples/data-perimeter-policy-examples).

# Exemplos de políticas baseadas em identidade do IAM
<a name="access_policies_examples"></a>

Uma [política](access_policies.md) é um objeto na AWS que, quando associado a uma identidade ou um recurso, define suas permissões. A AWS avalia essas políticas quando uma entidade de segurança do IAM (usuário ou função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON que são anexados a uma identidade (usuário, grupo de usuários ou função) do IAM. As políticas baseadas em identidade incluem as políticas gerenciadas pela AWS, as políticas gerenciadas pelo cliente e as políticas em linha. Para saber como criar uma política do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

Por padrão, todas as solicitações são negadas, de modo que você deve fornecer acesso aos serviços, às ações e aos recursos que você pretende que a identidade acesse. Se você também quiser permitir acesso para concluir as ações especificadas no console do IAM, precisará fornecer permissões adicionais.

A seguinte biblioteca de políticas pode ajudar você a definir permissões para suas identidades do IAM. Depois de encontrar a política de que precisa, escolha **view this policy (visualizar essa política)** para visualizar o JSON da política. É possível usar o documento de política JSON como um modelo para suas próprias políticas.

**nota**  
Se você quiser enviar uma política para ser incluída neste guia de referência, use o botão **Feedback** na parte inferior desta página.

## Exemplos de políticas: AWS
<a name="policy_library_AWS"></a>
+ Permite acesso durante um intervalo específico de datas. ([Visualizar essa política](reference_policies_examples_aws-dates.md).)
+ Permite habilitar e desabilitar as regiões da AWS. ([Visualizar essa política](reference_policies_examples_aws-enable-disable-regions.md).)
+ Permite que os usuários autenticados por MFA gerenciem suas próprias credenciais na página **Credenciais de segurança**. ([Visualizar essa política](reference_policies_examples_aws_my-sec-creds-self-manage.md).)
+ Permite acesso específico ao usar MFA durante um intervalo específico de datas. ([Visualizar essa política](reference_policies_examples_aws_mfa-dates.md).)
+ Permite que os usuários gerenciem suas próprias credenciais na página **Credenciais de segurança**. ([Visualizar essa política](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).)
+ Permite que os usuários gerenciem seus próprios dispositivos de MFA na página **Credenciais de segurança**. ([Visualizar essa política](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).)
+ Permite que os usuários gerenciem suas próprias senhas na página **Credenciais de segurança**. ([Visualizar essa política](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).)
+ Permite que os usuários gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página **Credenciais de segurança**. ([Visualizar essa política](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md).)
+ Nega o acesso à AWS com base na região solicitada. ([Visualizar essa política](reference_policies_examples_aws_deny-requested-region.md).)
+ Nega acesso à AWS com base no endereço IP da fonte. ([Visualizar essa política](reference_policies_examples_aws_deny-ip.md).)

## Exemplo de política: AWS Data Exchange
<a name="policy_data_exchange"></a>
+ Negar acesso aos recursos do Amazon S3 fora da conta, exceto o AWS Data Exchange. ([Visualizar essa política](reference_policies_examples_resource_account_data_exch.md).)

## Exemplos de políticas: AWS Data Pipeline
<a name="policy_library_DataPipeline"></a>
+ Nega acesso a pipelines não criados pelo usuário ([Visualizar essa política](reference_policies_examples_datapipeline_not-owned.md).)

## Exemplo de políticas: Amazon DynamoDB
<a name="policy_library_DynamoDB"></a>
+ Permite acesso a uma tabela específica do Amazon DynamoDB ([Visualize esta política](reference_policies_examples_dynamodb_specific-table.md).)
+ Permite acesso aos atributos específicos do Amazon DynamoDB ([Visualize esta política](reference_policies_examples_dynamodb_attributes.md).)
+ Permite acesso no nível do item ao Amazon DynamoDB com base em um ID do Amazon Cognito ([Visualize esta política](reference_policies_examples_dynamodb_items.md).)

## Políticas de exemplo: Amazon EC2
<a name="policy_library_ec2"></a>
+ Permite anexar ou desvincular volumes do Amazon EBS para instâncias do Amazon EC2 com base em etiquetas ([Visualize esta política](reference_policies_examples_ec2_ebs-owner.md).)
+ Permite executar instâncias do Amazon EC2 em uma sub-rede específica, de forma programática e no console ([Visualize esta política](reference_policies_examples_ec2_instances-subnet.md).)
+ Permite gerenciar grupos de segurança do Amazon EC2 associados a uma VPC específica, de forma programática e no console ([Visualize esta política](reference_policies_examples_ec2_securitygroups-vpc.md).)
+ Permite iniciar ou interromper instâncias do Amazon EC2 etiquetadas por um usuário, de forma programática e no console ([Visualize esta política](reference_policies_examples_ec2_tag-owner.md).)
+ Permite iniciar ou interromper instâncias do Amazon EC2 com base em etiquetas de recurso e entidade de segurança, de forma programática e no console ([Visualize esta política](reference_policies_examples_ec2-start-stop-tags.md).)
+ Permite iniciar ou interromper instâncias do Amazon EC2 quando as etiquetas de recurso e entidade de segurança coincidem ([Visualize esta política](reference_policies_examples_ec2-start-stop-match-tags.md).)
+ Permite acesso total ao Amazon EC2 em uma região específica, de forma programática e no console. ([Visualizar essa política](reference_policies_examples_ec2_region.md).)
+ Permite iniciar ou interromper uma instância específica do Amazon EC2 e modificar um determinado grupo de segurança, de forma programática e no console ([Visualize esta política](reference_policies_examples_ec2_instance-securitygroup.md).)
+ Nega acesso a operações do Amazon EC2 específicas sem MFA ([Visualize esta política](reference_policies_examples_ec2_require-mfa.md).)
+ Limita o término de instâncias do Amazon EC2 a um intervalo de endereços IP específico ([Visualize esta política](reference_policies_examples_ec2_terminate-ip.md).)

## Exemplo de políticas do AWS Identity and Access Management (IAM)
<a name="policy_library_IAM"></a>
+ Permite acesso à API do simulador de políticas ([Visualizar essa política](reference_policies_examples_iam_policy-sim.md).)
+ Permite acesso ao console do simulador de políticas ([Visualizar essa política](reference_policies_examples_iam_policy-sim-console.md).)
+ Permite assumir funções que tenham uma tag específica, de forma programática e no console ([Visualizar essa política)](reference_policies_examples_iam-assume-tagged-role.md).
+ Permite e nega o acesso a vários serviços, de forma programática e no console ([Visualizar essa política)](reference_policies_examples_iam_multiple-services-console.md).
+ Permite adicionar uma etiqueta específica a um usuário do IAM com uma etiqueta específica diferente, de forma programática e no console ([Visualize esta política](reference_policies_examples_iam-add-tag.md).)
+ Permite adicionar uma etiqueta específica a qualquer usuário ou função do IAM, de forma programática e no console ([Visualize esta política](reference_policies_examples_iam-add-tag-user-role.md).)
+ Permite criar um novo usuário somente com tags específicas ([Visualizar essa política](reference_policies_examples_iam-new-user-tag.md).)
+ Permite gerar e recuperar os relatórios de credenciais do IAM ([Visualize esta política](reference_policies_examples_iam-credential-report.md).)
+ Permite gerenciar uma associação do grupo, de forma programática e no console ([Visualizar essa política)](reference_policies_examples_iam_manage-group-membership.md).
+ Permite gerenciar uma tag específica ([Visualizar essa política](reference_policies_examples_iam-manage-tags.md).)
+ Permite transmitir uma função do IAM para um serviço específico ([Visualize esta política](reference_policies_examples_iam-passrole-service.md).)
+ Permite o acesso somente leitura ao console do IAM sem gerar relatórios ([Visualize esta política](reference_policies_examples_iam_read-only-console-no-reporting.md).)
+ Permite o acesso somente leitura ao console do IAM ([Visualize esta política](reference_policies_examples_iam_read-only-console.md).)
+ Permite que usuários específicos gerenciem um grupo, de forma programática e no console ([Visualizar essa política)](reference_policies_examples_iam_users-manage-group.md).
+ Permite definir os requisitos de senha da conta, de forma programática e no console ([Visualizar essa política)](reference_policies_examples_iam_set-account-pass-policy.md).
+ Permite usar a API do simulador de políticas para usuários com um caminho específico ([Visualizar essa política](reference_policies_examples_iam_policy-sim-path.md).)
+ Permite usar o console do simulador de políticas para usuários com um caminho específico ([Visualizar essa política](reference_policies_examples_iam_policy-sim-path-console.md).)
+ Permite que os usuários do IAM autogerenciem um dispositivo com MFA. ([Visualizar essa política](reference_policies_examples_iam_mfa-selfmanage.md).)
+ Permite que usuários do IAM definam as próprias credenciais de forma programática e no console. ([Visualizar essa política](reference_policies_examples_iam_credentials_console.md).)
+ Permite a exibição das informações de último acesso do serviço para uma política do AWS Organizations no console do IAM. ([Visualizar essa política](reference_policies_examples_iam_service-accessed-data-orgs.md).)
+ Limita as políticas gerenciadas que podem ser aplicadas a um usuário, grupo de usuários ou função do IAM ([Visualize esta política](reference_policies_examples_iam_limit-managed.md).)
+ Permite acesso às políticas do IAM somente na sua conta ([Visualizar essa política](resource_examples_iam_policies_resource_account.md).)

## Exemplos de políticas: AWS Lambda
<a name="policy_library_Lambda"></a>
+ Permite que uma função do AWS Lambda acesse uma tabela do Amazon DynamoDB ([Visualize esta política](reference_policies_examples_lambda-access-dynamodb.md).)

## Políticas de exemplo: Amazon RDS
<a name="policy_library_RDS"></a>
+ Permite acesso total ao banco de dados do Amazon RDS em uma região específica. ([Visualizar essa política](reference_policies_examples_rds_region.md).)
+ Permite a restauração de bancos de dados do Amazon RDS de forma programática e no console ([Visualize esta política](reference_policies_examples_rds_db-console.md))
+ Permite aos proprietários de etiquetas o acesso total aos recursos do Amazon RDS que eles etiquetaram ([Visualize esta política](reference_policies_examples_rds_tag-owner.md).)

## Políticas de exemplo: Amazon S3
<a name="policy_library_S3"></a>
+ Permite que um usuário do Amazon Cognito acesse objetos no seu próprio bucket do Amazon S3 ([Visualize esta política](reference_policies_examples_s3_cognito-bucket.md).)
+ Permite que um usuário com credenciais temporárias acesse seu próprio diretório base do Amazon S3, de forma programática e no console ([Visualizar esta política](reference_policies_examples_s3_federated-home-directory-console.md)).
+ Permite acesso total ao S3, mas nega explicitamente o acesso ao bucket de produção se o administrador não estiver conectado usando MFA nos últimos trinta minutos ([Visualizar essa política)](reference_policies_examples_s3_full-access-except-production.md).
+ Permite que usuários do IAM acessem seu próprio diretório base do Amazon S3, de forma programática e no console ([Visualize esta política](reference_policies_examples_s3_home-directory-console.md).)
+ Permite que um usuário gerencie um único bucket do Amazon S3 e nega todas as outras ações e recursos da AWS ([Visualize esta política](reference_policies_examples_s3_deny-except-bucket.md).)
+ Permite acesso `Read` e `Write` a um bucket específico do Amazon S3 ([Visualize esta política](reference_policies_examples_s3_rw-bucket.md).)
+ Permite acesso `Read` e `Write` a um bucket específico do Amazon S3 de forma programática e no console ([Visualize esta política](reference_policies_examples_s3_rw-bucket-console.md).)

# AWS: Permite o acesso com base na data e hora
<a name="reference_policies_examples_aws-dates"></a>

Este exemplo mostra como é possível criar uma política do IAM que permita acesso a ações com base em data e hora. Esta política restringe o acesso às ações que ocorrem entre 1.º de abril de 2020 e 30 de junho de 2020 (UTC). Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Para saber mais sobre como usar várias condições dentro do bloco `Condition` de uma política do IAM, consulte [Vários valores em uma condição](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "service-prefix:action-name",
            "Resource": "*",
            "Condition": {
                "DateGreaterThan": {"aws:CurrentTime": "2020-04-01T00:00:00Z"},
                "DateLessThan": {"aws:CurrentTime": "2020-06-30T23:59:59Z"}
            }
        }
    ]
}
```

------

**nota**  
Você não pode usar uma variável de política com o operador de condição Date. Para saber mais, consulte [Elemento de condição](reference_policies_variables.md#policy-vars-conditionelement)

# AWS: permite habilitar e desabilitar regiões da AWS
<a name="reference_policies_examples_aws-enable-disable-regions"></a>

Este exemplo mostra como você pode criar uma política do IAM que permita que um administrador habilite e desabilite a região Ásia-Pacífico (Hong Kong) (ap-east-1). Esta política define permissões para acesso programático e do console. Essa configuração aparece na página **Configurações de contas** no Console de gerenciamento da AWS. Essa página inclui informações confidenciais em nível de conta que devem ser visualizadas e gerenciadas apenas por administradores de contas. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

**Importante**  
Você não pode habilitar ou desabilitar regiões habilitadas por padrão. Você só pode incluir regiões *desabilitadas* por padrão. Para obter mais informações, consulte [Como gerenciar regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) no *Referência geral da AWS*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableDisableHongKong",
            "Effect": "Allow",
            "Action": [
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"account:TargetRegion": "ap-east-1"}
            }
        },
        {
            "Sid": "ViewConsole",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança
<a name="reference_policies_examples_aws_my-sec-creds-self-manage"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários do IAM autenticados por [autenticação multifator (MFA)](id_credentials_mfa.md) gerenciem suas próprias credenciais na página **Credenciais de segurança**. Essa página do Console de gerenciamento da AWS exibe as informações de conta, como ID de conta e ID de usuário canônico. Os usuários também podem visualizar e editar as próprias senhas, chaves de acesso, dispositivos MFA e certificados X.509, chaves SSH e credenciais do Git. Esta política de exemplo inclui as permissões necessárias para visualizar e editar todas as informações na página. Ela também exige que o usuário seja configurados e autenticado usando MFA para que possa executar outras operações na AWS. Para permitir que os usuários gerenciem as próprias credenciais sem usar MFA, consulte [AWS: permite que usuários do IAM gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Para saber como os usuários podem acessar a página **Credenciais de segurança**, consulte [Como os usuários do IAM alteram a própria senha (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**nota**  
Este exemplo de política não permite que os usuários redefinam uma senha ao fazer login no Console de gerenciamento da AWS pela primeira vez. Recomendamos que você não conceda permissões a novos usuários até que eles façam login. Para obter mais informações, consulte [Como faço para criar usuários do IAM com segurança?](troubleshoot.md#troubleshoot_general_securely-create-iam-users). Isso também impede que os usuários com uma senha expirada redefinam sua senha ao fazerem login. É possível permitir isso adicionando `iam:ChangePassword` e `iam:GetAccountPasswordPolicy` à instrução `DenyAllExceptListedIfNoMFA`. Porém, não recomendamos isso porque permitir que os usuários alterem a senha sem MFA pode ser um risco de segurança.
Caso pretenda usar essa política para acesso programático, será necessário chamar [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) para autenticar com o MFA. Para obter mais informações, consulte [Acesso seguro à API com a MFA](id_credentials_mfa_configure-api-require.md).

**O que essa política faz?**
+ A instrução `AllowViewAccountInfo` permite que o usuário visualize informações no nível da conta. Essas permissões devem estar nas suas respectivas instruções, pois não oferecem suporte ou não precisam especificar um ARN de recurso. Em vez disso, as permissões especificam `"Resource" : "*"`. Essa instrução inclui as seguintes ações que permitem que o usuário visualize informações específicas: 
  + `GetAccountPasswordPolicy`: visualizar os requisitos de senha da conta ao mudar a própria senha de usuário do IAM.
  + `ListVirtualMFADevices`: visualize detalhes sobre um dispositivo com MFA virtual habilitado para o usuário.
+ A instrução `AllowManageOwnPasswords` permite que o usuário altere a própria senha. Essa instrução também inclui a ação `GetUser`, que é necessária para visualizar a maioria das informações na página **My security credentials (Minhas credenciais de segurança)**.
+ A instrução `AllowManageOwnAccessKeys` permite que o usuário crie, atualize e exclua as próprias chaves de acesso. O usuário também pode recuperar informações sobre quando a chave de acesso foi usada pela última vez.
+ A instrução `AllowManageOwnSigningCertificates` permite que o usuário carregue, atualize e exclua os próprios certificados de assinatura.
+ A instrução `AllowManageOwnSSHPublicKeys` permite que o usuário carregue, atualize e exclua as próprias chaves públicas SSH para o CodeCommit.
+ A instrução `AllowManageOwnGitCredentials` permite que o usuário crie, atualize e exclua as próprias credenciais do Git para o CodeCommit.
+ A instrução `AllowManageOwnVirtualMFADevice` permite que o usuário crie o próprio dispositivo de MFA virtual. O ARN do recurso dessa instrução permite que o usuário crie um dispositivo de MFA com qualquer nome, mas outras instruções da política permitem apenas que o usuário anexe o dispositivo ao usuário conectado.
+ A instrução `AllowManageOwnUserMFA` permite que o usuário visualize ou gerencie o dispositivo MFA virtual, U2F ou de hardware para o próprio usuário. O recurso ARN nesta instrução permite acesso apenas ao próprio usuário do IAM do usuário. Os usuários não podem visualizar ou gerenciar o dispositivo MFA para outros usuários. 
+ A instrução `DenyAllExceptListedIfNoMFA` nega acesso a todas as ações em todos os serviços da AWS, exceto algumas ações listadas, mas ***somente se*** o usuário não estiver conectado com MFA. A instrução usa uma combinação de `"Deny"` e `"NotAction"` para negar explicitamente acesso a cada ação que não está listada. Os itens listados não são negados ou permitidos por essa instrução. No entanto, as ações são permitidas por outras instruções na política. Para obter mais informações sobre a lógica dessa instrução, consulte [NotAction com Deny](reference_policies_elements_notaction.md). Se o usuário está conectado com MFA, ocorrerá uma falha no teste de `Condition`, e a instrução não negará nenhuma ação. Neste caso, outras políticas ou instruções para o usuário determinam as permissões do usuário.

  Essa instrução garante que, quando o usuário não estiver conectado com MFA, ele só poderá executar as ações listadas. Além disso, eles poderão executar as ações listadas somente se outra instrução ou política permitir acesso a essas ações. Isso não permite que um usuário crie uma senha no login, porque a ação `iam:ChangePassword` não deve ser permitida sem autorização de MFA.

  A versão `...IfExists` do operador `Bool` garante que se a chave `aws:MultiFactorAuthPresent` estiver ausente, a condição retornará verdadeiro. Isso significa que, ao acessar uma API com credenciais de longo prazo, como uma chave de acesso, o usuário terá seu acesso negado às operações de API não relacionadas ao IAM.

Esta política não permite que os usuários visualizem a página **Users** (Usuários) no console do IAM ou usem essa página para acessar suas próprias informações de usuário. Para permitir que isso aconteça, adicione ação `iam:ListUsers` às instruções `AllowViewAccountInfo` e `DenyAllExceptListedIfNoMFA`. Ela também não permite que os usuários alterem a senha na própria página de usuário. Para permitir isso, adicione as ações `iam:GetLoginProfile` e `iam:UpdateLoginProfile` à instrução `AllowManageOwnPasswords`. Para permitir que um usuário altere a senha em sua própria página de usuário sem fazer login usando MFA, adicione a ação `iam:UpdateLoginProfile` à instrução `DenyAllExceptListedIfNoMFA`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# AWS: permite acesso específico com MFA em datas específicas
<a name="reference_policies_examples_aws_mfa-dates"></a>

Este exemplo mostra como é possível criar uma política uma política baseada em identidade que use várias condições que são avaliadas usando um `AND` lógico. Ele permite acesso total ao serviço chamado `SERVICE-NAME-1` e acesso às ações `ACTION-NAME-A` e `ACTION-NAME-B` no serviço chamado `SERVICE-NAME-2`. Essas ações são permitidas somente quando o usuário é autenticado por meio da [Autenticação multifator (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). O acesso é restrito a ações que ocorrem entre 1 de julho e 31 de dezembro 2017 2017 (UTC), inclusive. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Para saber mais sobre como usar várias condições dentro do bloco `Condition` de uma política do IAM, consulte [Vários valores em uma condição](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "service-prefix-1:*",
            "service-prefix-2:action-name-a",
            "service-prefix-2:action-name-b"
        ],
        "Resource": "*",
        "Condition": {
            "Bool": {"aws:MultiFactorAuthPresent": true},
            "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
            "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
        }
    }
}
```

------

# AWS: permite que usuários do IAM gerenciem suas próprias credenciais na página Credenciais de segurança
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários do IAM gerenciem todas as suas próprias credenciais na página **Credenciais de segurança**. Essa página do Console de gerenciamento da AWS exibe as informações de conta, como ID de conta e ID de usuário canônico. Os usuários também podem visualizar e editar as próprias senhas, chaves de acesso, certificados X.509, chaves SSH e credenciais do Git. Esta política de exemplo inclui as permissões necessárias para visualizar e editar todas as informações na página, *exceto* o dispositivo MFA do usuário. Para permitir que os usuários gerenciem as próprias credenciais com MFA, consulte [AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage.md).

Para saber como os usuários podem acessar a página **Credenciais de segurança**, consulte [Como os usuários do IAM alteram a própria senha (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**O que essa política faz? **
+ A instrução `AllowViewAccountInfo` permite que o usuário visualize informações no nível da conta. Essas permissões devem estar nas suas respectivas instruções, pois não oferecem suporte ou não precisam especificar um ARN de recurso. Em vez disso, as permissões especificam `"Resource" : "*"`. Essa instrução inclui as seguintes ações que permitem que o usuário visualize informações específicas: 
  + `GetAccountPasswordPolicy`: visualizar os requisitos de senha da conta ao mudar a própria senha de usuário do IAM.
  + `GetAccountSummary`: visualizar o ID da conta e o [ID de usuário canônico](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) da conta.
+ A instrução `AllowManageOwnPasswords` permite que o usuário altere a própria senha. Essa instrução também inclui a ação `GetUser`, que é necessária para visualizar a maioria das informações na página **My security credentials (Minhas credenciais de segurança)**.
+ A instrução `AllowManageOwnAccessKeys` permite que o usuário crie, atualize e exclua as próprias chaves de acesso. O usuário também pode recuperar informações sobre quando a chave de acesso foi usada pela última vez.
+ A instrução `AllowManageOwnSigningCertificates` permite que o usuário carregue, atualize e exclua os próprios certificados de assinatura.
+ A instrução `AllowManageOwnSSHPublicKeys` permite que o usuário carregue, atualize e exclua as próprias chaves públicas SSH para o CodeCommit.
+ A instrução `AllowManageOwnGitCredentials` permite que o usuário crie, atualize e exclua as próprias credenciais do Git para o CodeCommit.

Essa política não permite que os usuários visualizem ou gerenciem os próprios dispositivos MFA. Eles também não podem visualizar a página **Users** (Usuários) no console do IAM ou usar essa página para acessar as próprias informações de usuário. Para permitir isso, adicione a ação `iam:ListUsers` à instrução `AllowViewAccountInfo`. Ela também não permite que os usuários alterem a senha na própria página de usuário. Para permitir isso, adicione as ações `iam:CreateLoginProfile`, `iam:DeleteLoginProfile`, `iam:GetLoginProfile` e `iam:UpdateLoginProfile` à instrução `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários do IAM autenticados por [autenticação multifator (MFA)](id_credentials_mfa.md) gerenciem seus próprios dispositivos de MFA na página **Credenciais de segurança**. Essa página do Console de gerenciamento da AWS exibe as informações de conta e usuário, mas o usuário só pode visualizar e editar o próprio dispositivo MFA. Para permitir que os usuários gerenciem todas as próprias credenciais com MFA, consulte [AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage.md).

**nota**  
Se um usuário do IAM com essa política não for autenticado por MFA, essa política negará o acesso a todas as ações da AWS, exceto aquelas necessárias para autenticar usando MFA. Para usar a AWS CLI e a API da AWS, os usuários do IAM devem primeiro recuperar o token de MFA usando a operação [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) do AWS STS e usar esse token para autenticar a operação desejada. Outras políticas, como políticas baseadas em recurso ou outras políticas baseadas em identidade, podem permitir ações em outros serviços. Esta política negará esse acesso se o usuário do IAM não for autenticado por MFA.

Para saber como os usuários podem acessar a página **Credenciais de segurança**, consulte [Como os usuários do IAM alteram a própria senha (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**O que essa política faz? **
+ A instrução `AllowViewAccountInfo` permite que o usuário visualize detalhes sobre um dispositivo MFA virtual que está habilitado para ele. Essa permissão deve estar em sua própria instrução, pois ele não oferece suporte para especificar um ARN de recurso. Em vez disso, você deve especificar `"Resource" : "*"`.
+ A instrução `AllowManageOwnVirtualMFADevice` permite que o usuário crie o próprio dispositivo de MFA virtual. O ARN do recurso dessa instrução permite que o usuário crie um dispositivo de MFA com qualquer nome, mas outras instruções da política permitem apenas que o usuário anexe o dispositivo ao usuário conectado.
+ A instrução `AllowManageOwnUserMFA` permite que o usuário visualize ou gerencie o próprio dispositivo MFA virtual, U2F ou de hardware. O recurso ARN nesta instrução permite acesso apenas ao próprio usuário do IAM do usuário. Os usuários não podem visualizar ou gerenciar o dispositivo MFA para outros usuários.
+ A instrução `DenyAllExceptListedIfNoMFA` nega acesso a todas as ações em todos os serviços da AWS, exceto algumas ações listadas, mas ***somente se*** o usuário não estiver conectado com MFA. A instrução usa uma combinação de `"Deny"` e `"NotAction"` para negar explicitamente acesso a cada ação que não está listada. Os itens listados não são negados ou permitidos por essa instrução. No entanto, as ações são permitidas por outras instruções na política. Para obter mais informações sobre a lógica dessa instrução, consulte [NotAction com Deny](reference_policies_elements_notaction.md). Se o usuário está conectado com MFA, ocorrerá uma falha no teste de `Condition`, e a instrução não negará nenhuma ação. Neste caso, outras políticas ou instruções para o usuário determinam as permissões do usuário.

  Essa instrução garante que quando o usuário não fizer login com MFA, ele só poderá executar as ações listadas. Além disso, eles poderão executar as ações listadas somente se outra instrução ou política permitir acesso a essas ações.

  A versão `...IfExists` do operador `Bool` garante que se a chave `aws:MultiFactorAuthPresent` estiver ausente, a condição retornará verdadeiro. Isso significa que, ao acessar uma operação de API com credenciais de longo prazo, como uma chave de acesso, o usuário terá seu acesso negado às operações de API não relacionadas ao IAM.

Esta política não permite que os usuários visualizem a página **Users** (Usuários) no console do IAM ou usem essa página para acessar suas próprias informações de usuário. Para permitir que isso aconteça, adicione ação `iam:ListUsers` às instruções `AllowViewAccountInfo` e `DenyAllExceptListedIfNoMFA`.

**Atenção**  
Não adicione permissão para excluir um dispositivo MFA sem autenticação MFA. Os usuários com essa política podem tentar atribuir um dispositivo MFA virtual a si mesmos e receber um erro informando que não estão autorizados a executar `iam:DeleteVirtualMFADevice`. Se isso acontecer, **não** adicione essa permissão à instrução `DenyAllExceptListedIfNoMFA`. Os usuários que não são autenticados usando MFA nunca devem ter permissão para excluir o dispositivo MFA. Os usuários poderão ver esse erro se tiverem começado a atribuir um dispositivo MFA virtual a seu usuário anteriormente e cancelaram o processo. Para resolver esse problema, você ou outro administrador deve excluir o dispositivo MFA virtual existente do usuário usando a AWS CLI ou a API da AWS. Para obter mais informações, consulte [Não estou autorizado a executar: iam:DeleteVirtualMFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
            }
        }
    ]
}
```

------

# AWS: permite que os usuários do IAM alterem suas próprias senhas do console na página Credenciais de segurança
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-password-only"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários do IAM alterem suas próprias senhas do Console de gerenciamento da AWS na página **Credenciais de segurança**. Essa página do Console de gerenciamento da AWS exibe as informações de conta e usuário, mas o usuário só pode acessar a própria senha. Para permitir que os usuários gerenciem todas as próprias credenciais com MFA, consulte [AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage.md). Para permitir que os usuários gerenciem as próprias credenciais sem usar MFA, consulte [AWS: permite que usuários do IAM gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Para saber como os usuários podem acessar a página **Credenciais de segurança**, consulte [Como os usuários do IAM alteram a própria senha (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**O que essa política faz? **
+ A instrução `ViewAccountPasswordRequirements` permite que o usuário visualize os requisitos de senha da conta ao mudar a própria senha de usuário do IAM.
+ A instrução `ChangeOwnPassword` permite que o usuário altere a própria senha. Essa instrução também inclui a ação `GetUser`, que é necessária para visualizar a maioria das informações na página **My security credentials (Minhas credenciais de segurança)**.

Esta política não permite que os usuários visualizem a página **Users** (Usuários) no console do IAM ou usem essa página para acessar suas próprias informações de usuário. Para permitir isso, adicione a ação `iam:ListUsers` à instrução `ViewAccountPasswordRequirements`. Ela também não permite que os usuários alterem a senha na própria página de usuário. Para permitir isso, adicione as ações `iam:GetLoginProfile` e `iam:UpdateLoginProfile` à instrução `ChangeOwnPasswords`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: permite que os usuários do IAM gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página Credenciais de segurança
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários do IAM gerenciem suas próprias senhas, chaves de acesso e certificados X.509 na página **Credenciais de segurança**. Essa página do Console de gerenciamento da AWS exibe as informações de conta, como ID de conta e ID de usuário canônico. Os usuários também podem visualizar e editar as próprias senhas, chaves de acesso, dispositivos MFA, certificados X.509, chaves SSH e credenciais do Git. Esta política de exemplo inclui as permissões que são necessárias para visualizar e editar somente a senha, chaves de acesso e certificado X.509. Para permitir que os usuários gerenciem todas as próprias credenciais com MFA, consulte [AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage.md). Para permitir que os usuários gerenciem as próprias credenciais sem usar MFA, consulte [AWS: permite que usuários do IAM gerenciem suas próprias credenciais na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Para saber como os usuários podem acessar a página **Credenciais de segurança**, consulte [Como os usuários do IAM alteram a própria senha (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**O que essa política faz? **
+ A instrução `AllowViewAccountInfo` permite que o usuário visualize informações no nível da conta. Essas permissões devem estar nas suas respectivas instruções, pois não oferecem suporte ou não precisam especificar um ARN de recurso. Em vez disso, as permissões especificam `"Resource" : "*"`. Essa instrução inclui as seguintes ações que permitem que o usuário visualize informações específicas: 
  + `GetAccountPasswordPolicy`: visualizar os requisitos de senha da conta ao mudar a própria senha de usuário do IAM.
  + `GetAccountSummary`: visualizar o ID da conta e o [ID de usuário canônico](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) da conta.
+ A instrução `AllowManageOwnPasswords` permite que o usuário altere a própria senha. Essa instrução também inclui a ação `GetUser`, que é necessária para visualizar a maioria das informações na página **My security credentials (Minhas credenciais de segurança)**.
+ A instrução `AllowManageOwnAccessKeys` permite que o usuário crie, atualize e exclua as próprias chaves de acesso. O usuário também pode recuperar informações sobre quando a chave de acesso foi usada pela última vez.
+ A instrução `AllowManageOwnSSHPublicKeys` permite que o usuário carregue, atualize e exclua as próprias chaves públicas SSH para o CodeCommit.

Essa política não permite que os usuários visualizem ou gerenciem os próprios dispositivos MFA. Eles também não podem visualizar a página **Users** (Usuários) no console do IAM ou usar essa página para acessar as próprias informações de usuário. Para permitir isso, adicione a ação `iam:ListUsers` à instrução `AllowViewAccountInfo`. Ela também não permite que os usuários alterem a senha na própria página de usuário. Para permitir isso, adicione as ações `iam:GetLoginProfile` e `iam:UpdateLoginProfile` à instrução `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: nega acesso à AWS com base na região solicitada
<a name="reference_policies_examples_aws_deny-requested-region"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que negue acesso a todas as ações fora das regiões especificadas usando a [chave de condição `aws:RequestedRegion`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), com exceção das ações nos serviços especificados usando `NotAction`. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Essa política usa o elemento `NotAction` com o efeito `Deny`, que nega explicitamente o acesso a todas as ações *não* listadas na declaração. Ações nos serviços CloudFront, IAM, Route 53 e Suporte não devem ser negadas porque são produtos globais populares da AWS com um único endpoint fisicamente localizado na região `us-east-1`. Como todas as solicitações para esses serviços são feitas para a região `us-east-1`, as solicitações seriam negadas sem o elemento `NotAction`. Edite esse elemento para incluir ações para outros serviços globais da AWS que você usa, como `budgets`, `globalaccelerator`, `importexport`, `organizations` ou `waf`. Alguns outros serviços globais, como o Amazon Q Developer em aplicações de chat e o AWS Device Farm, são serviços globais com endpoints localizados fisicamente na região `us-west-2`. Para saber mais sobre todos os serviços que têm um único endpoint global, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) na *Referência geral da AWS*. Para obter mais informações sobre como usar o elemento `NotAction` com o efeito `Deny`, consulte [Elementos de política JSON do IAM: NotAction](reference_policies_elements_notaction.md). 

**Importante**  
Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}
```

------

# AWS: nega acesso à AWS com base no IP da fonte
<a name="reference_policies_examples_aws_deny-ip"></a>

Este exemplo mostra como você pode criar uma política do IAM que negue acesso a todas as ações da AWS na conta quando a solicitação vem de *entidades principais* fora do intervalo de IP especificado. A política é útil quando os endereços IP para sua empresa estão dentro dos intervalos especificados. Neste exemplo, a solicitação será negada, a menos que seja originária da faixa de CIDR 192.0.2.0/24 ou 203.0.113.0/24. A política não nega solicitações feitas pelos serviços da AWS usando [Sessões de acesso direto](access_forward_access_sessions.md) pois o endereço IP do solicitante original é mantido.

Tenha cuidado ao usar condições negativas na mesma declaração de política que `"Effect": "Deny"`. Ao fazer isso, as ações especificadas na declaração de política são explicitamente negadas em todas as condições, *exceto* as especificadas.

**Importante**  
Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas. 

Quando outras políticas permitem ações, os principais podem fazer solicitações dentro do intervalo de endereços IP. Um serviço da AWS também pode fazer solicitações usando as credenciais do principal. Quando um principal faz uma solicitação fora do intervalo de IP, a solicitação é negada.

Para obter mais informações sobre o uso da chave de condição `aws:SourceIp`, incluindo informações sobre quando `aws:SourceIp` pode não funcionar na política, consulte [AWSChaves de contexto de condições globais da](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}
```

------

# AWS: negar acesso aos recursos do Amazon S3 fora da sua conta, exceto o AWS Data Exchange
<a name="reference_policies_examples_resource_account_data_exch"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que negue acesso a todos os recursos na AWS que não pertençam à conta, exceto os recursos que o AWS Data Exchange exigir para as operações normais. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

Você pode criar uma política semelhante para restringir o acesso aos recursos dentro de uma organização ou unidade organizacional, levando em conta os recursos pertencentes ao AWS Data Exchange, usando as chaves de condição `aws:ResourceOrgPaths` e `aws:ResourceOrgID`.

Se você usar AWS Data Exchange no ambiente, o serviço cria e interage com recursos como buckets do Amazon S3 pertencentes à conta de serviço. Por exemplo, o AWS Data Exchange envia solicitações aos buckets do Amazon S3 de propriedade do serviço AWS Data Exchange em nome da entidade principal do IAM (usuário ou perfil) que invoca as APIs do AWS Data Exchange. Nesse caso, o uso de `aws:ResourceAccount`, `aws:ResourceOrgPaths` ou `aws:ResourceOrgID` em uma política, sem levar em conta os recursos pertencentes ao AWS Data Exchange, negará acesso aos buckets pertencentes à conta do serviço.
+ A instrução `DenyAllAwsResourcesOutsideAccountExceptS3` usa o elemento `NotAction` com o efeito [Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) (Negar) que nega explicitamente o acesso a todas as ações não listadas na instrução e que também não pertencem à conta listada. O elemento `NotAction` indica as exceções a essa instrução. Essas ações são a exceção à essa instrução porque se as ações forem realizadas em recursos criados pelo AWS Data Exchange, a política as negará.
+ A instrução `DenyAllS3ResoucesOutsideAccountExceptDataExchange` usa uma combinação das chaves de condições `ResourceAccount` e `CalledVia` para negar acesso às três ações do Amazon S3 excluídas na instrução anterior. A instrução nega as ações se os recursos não pertencerem à conta listada e se o serviço que está chamando não for o AWS Data Exchange. Essa instrução não nega as ações se o recurso pertencer à conta listada ou se a entidade principal do serviço listado, `dataexchange.amazonaws.com`, realizar as operações.

**Importante**  
Esta política não permite qualquer ação. Ela usa o efeito `Deny`, que nega explicitamente o acesso a todas as ações não listadas na instrução que não pertencerem à conta listada. Use essa política em combinação com outras políticas que permitem acesso a recursos específicos.

O exemplo a seguir mostra como você pode configurar a política para permitir acesso aos buckets do Amazon S3 necessários.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3",
      "Effect": "Deny",
      "NotAction": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    },
    {
      "Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange",
      "Effect": "Deny",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        },
        "ForAllValues:StringNotEquals": {
          "aws:CalledVia": [
            "dataexchange.amazonaws.com"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Data Pipeline: nega acesso a pipelines do DataPipeline que não foram criados por um usuário
<a name="reference_policies_examples_datapipeline_not-owned"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que negue acesso aos pipelines que não foram criados por um usuário. Se o valor do campo `PipelineCreator` corresponder ao nome do usuário do IAM, as ações especificadas não serão negadas. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática.

**Importante**  
Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExplicitDenyIfNotTheOwner",
            "Effect": "Deny",
            "Action": [
                "datapipeline:ActivatePipeline",
                "datapipeline:AddTags",
                "datapipeline:DeactivatePipeline",
                "datapipeline:DeletePipeline",
                "datapipeline:DescribeObjects",
                "datapipeline:EvaluateExpression",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:PollForTask",
                "datapipeline:PutPipelineDefinition",
                "datapipeline:QueryObjects",
                "datapipeline:RemoveTags",
                "datapipeline:ReportTaskProgress",
                "datapipeline:ReportTaskRunnerHeartbeat",
                "datapipeline:SetStatus",
                "datapipeline:SetTaskStatus",
                "datapipeline:ValidatePipelineDefinition"
            ],
            "Resource": ["*"],
            "Condition": {
                "StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: permite acesso a uma tabela específica
<a name="reference_policies_examples_dynamodb_specific-table"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita total acesso à tabela `MyTable` do DynamoDB. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

**Importante**  
Esta política permite todas as ações que podem ser executadas em uma tabela do DynamoDB. Para revisar essas ações, consulte [Permissões da API do DynamoDB API: referência de ações, recursos e condições](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/api-permissions-reference.html) no *Guia do desenvolvedor do Amazon DynamoDB*. Você pode fornecer as mesmas permissões listando cada uma das ações. No entanto, se você usar o curinga (`*`) no elemento `Action`, como `"dynamodb:List*"`, não será necessário atualizar sua política se o DynamoDB adicionar uma nova ação Listar. 

Esta política permite ações apenas em tabelas do DynamoDB que existem com o nome especificado. Para permitir que seus usuários tenham acesso `Read` a tudo no DynamoDB, você também pode anexar a política gerenciada pela AWS [AmazonDynamoDBReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "dynamodb:List*",
                "dynamodb:DescribeReservedCapacity*",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTimeToLive"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGet*",
                "dynamodb:DescribeStream",
                "dynamodb:DescribeTable",
                "dynamodb:Get*",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWrite*",
                "dynamodb:CreateTable",
                "dynamodb:Delete*",
                "dynamodb:Update*",
                "dynamodb:PutItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/MyTable"
        }
    ]
}
```

------

# Amazon DynamoDB: permite acesso a atributos específicos
<a name="reference_policies_examples_dynamodb_attributes"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita o acesso aos atributos específicos do DynamoDB. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

O requisito `dynamodb:Select` impede que a ação da API retorne qualquer atributo que não seja permitido, tal como de uma projeção de índice. Para saber mais sobre chaves de condição do DynamoDB, consulte [Especificação de condições: uso de chaves de condição](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) no *Guia do desenvolvedor do Amazon DynamoDB*. Para saber mais sobre como usar várias condições ou várias chaves de condições dentro do bloco `Condition` de uma política do IAM, consulte [Vários valores em uma condição](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem",
                "dynamodb:Query",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/table-name"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:Attributes": [
                        "column-name-1",
                        "column-name-2",
                        "column-name-3"
                    ]
                },
                "StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
            }
        }
    ]
}
```

------

# O Amazon DynamoDB: permite acesso no nível do item ao DynamoDB com base em um ID do Amazon Cognito
<a name="reference_policies_examples_dynamodb_items"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que permita acesso em nível de item à tabela `MyTable` do DynamoDB com base em um ID de usuário do banco de identidades do Amazon Cognito. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Para usar essa política, você deve estruturar sua tabela do DynamoDB para que o ID de usuário do banco de identidades do Amazon Cognito seja a chave de partição. Para obter mais informações, consulte [CRiar uma tabela](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.CreateTable) no *Guia do desenevolvedor do Amazon DynamoDB*.

Para saber mais sobre chaves de condição do DynamoDB, consulte [Especificação de condições: uso de chaves de condição](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) no *Guia do desenvolvedor do Amazon DynamoDB*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:Query",
                "dynamodb:UpdateItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/MyTable"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": ["${cognito-identity.amazonaws.com:sub}"]
                }
            }
        }
    ]
}
```

------

# Amazon EC2: anexar ou desvincular volumes do Amazon EBS para instâncias do EC2 com base em etiquetas
<a name="reference_policies_examples_ec2_ebs-owner"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita aos proprietários de volume do EBS anexar ou desanexar os volumes do EBS definidos usando a tag `VolumeUser` para instâncias do EC2 marcadas como instâncias de desenvolvimento (`Department=Development`). Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Para obter mais informações sobre a criação de políticas do IAM para controlar o acesso aos recursos do Amazon EC2, consulte [Controle de acesso aos recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html) no *Guia do usuário do Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Department": "Development"}
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/VolumeUser": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon EC2: permite iniciar instâncias do EC2 em uma sub-rede específica, de forma programática e no console
<a name="reference_policies_examples_ec2_instances-subnet"></a>

Este exemplo mostra como você pode criar um política baseada em identidade que permita listar informações para todos os objetos do EC2 e executar instâncias do EC2 em uma sub-rede específica. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:GetConsole*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*:*:subnet/subnet-subnet-id",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*::image/ami-*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}
```

------

# Amazon EC2: permite gerenciar grupos de segurança do EC2 com uma etiqueta especifica de par chave-valor de maneira programática e no console
<a name="reference_policies_examples_ec2_securitygroups-vpc"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que conceda aos usuários permissão para executar determinadas ações para grupos de segurança que têm a mesma tag. Esta política concede permissão para visualizar grupos de segurança no console do Amazon EC2, adicionar e remover regras de entrada e de saída, bem como listar e modificar descrições de regras para grupos de segurança existentes com a tag `Department=Test`. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
         "ec2:DescribeSecurityGroups",
         "ec2:DescribeSecurityGroupRules",
         "ec2:DescribeTags"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:AuthorizeSecurityGroupIngress", 
         "ec2:RevokeSecurityGroupIngress", 
         "ec2:AuthorizeSecurityGroupEgress", 
         "ec2:RevokeSecurityGroupEgress", 
         "ec2:ModifySecurityGroupRules",
         "ec2:UpdateSecurityGroupRuleDescriptionsIngress", 
         "ec2:UpdateSecurityGroupRuleDescriptionsEgress"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group/*"
      ],
      "Condition": {
         "StringEquals": {
            "aws:ResourceTag/Department": "Test"
         }
      }
     },     
     {
      "Effect": "Allow",
      "Action": [
         "ec2:ModifySecurityGroupRules"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group-rule/*"
      ]
     }
   ]
}
```

------

# Amazon EC2: permite iniciar ou interromper instâncias do EC2 que um usuário etiquetou, de forma programática e no console
<a name="reference_policies_examples_ec2_tag-owner"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que um usuário do IAM inicie ou interrompa instâncias do EC2, mas apenas se a tag `Owner` da instância tiver o valor do nome de usuário desse usuário. Esta política define permissões para acesso programático e do console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

# EC2: iniciar ou interromper instâncias baseadas em etiquetas
<a name="reference_policies_examples_ec2-start-stop-tags"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita iniciar ou interromper instâncias com o par de chave-valor da etiqueta `Project = DataAnalytics`, mas apenas por entidades de segurança com o par de chave-valor da etiqueta `Department = Data`. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

A condição na política retorna verdadeiro se ambas as partes da condição forem verdadeiras. A instância deve ter a tag `Project=DataAnalytics`. Além disso, a entidade de segurança (usuário ou função) do IAM que faz a solicitação deve ter a etiqueta `Department=Data`. 

**nota**  
Como prática recomendada, anexe políticas com a chave de condição `aws:PrincipalTag` aos grupos do IAM, para o caso de alguns usuários possuírem a etiqueta especificada e outros não. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "StartStopIfTags",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "DataAnalytics",
                    "aws:PrincipalTag/Department": "Data"
                }
            }
        }
    ]
}
```

------

# EC2: iniciar ou interromper instâncias baseadas em etiquetas de entidade de segurança e recurso correspondentes
<a name="reference_policies_examples_ec2-start-stop-match-tags"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que uma entidade principal inicie ou interrompa uma instância do Amazon EC2 quando a tag do recurso da instância e a tag da entidade de serviço têm o mesmo valor para a chave de tag `CostCenter`. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

**nota**  
Como prática recomendada, anexe políticas com a chave de condição `aws:PrincipalTag` aos grupos do IAM, para o caso de alguns usuários possuírem a etiqueta especificada e outros não. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "ec2:startInstances",
            "ec2:stopInstances"
        ],
        "Resource": "*",
        "Condition": {"StringEquals": 
            {"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"}}
    }
}
```

------

# Amazon EC2: permite acesso total ao EC2 dentro de uma região específica, de forma programática e no console
<a name="reference_policies_examples_ec2_region"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita acesso total ao EC2 em uma região específica. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). Para obter uma lista de códigos de região, consulte [Regiões disponíveis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions) no *Guia do usuário do Amazon EC2*.

Como alternativa, você pode usar a chave de condição global, [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), que é compatível com todas as ações da API do Amazon EC2. Para obter mais informações, consulte [Exemplo: restrição de acesso a uma região específica)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region) no *Guia do usuário do Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-2"
                }
            }
        }
    ]
}
```

------

# Amazon EC2: permite iniciar ou interromper uma instância do EC2 e modificar um grupo de segurança de forma programática e no console
<a name="reference_policies_examples_ec2_instance-securitygroup"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita iniciar ou interromper uma instância específica do EC2 e modificar um grupo de segurança específico. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupReferences",
        "ec2:DescribeStaleSecurityGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/i-instance-id",
        "arn:aws:ec2:*:*:security-group/sg-security-group-id"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Amazon EC2: exige MFA (GetSessionToken) para operações específicas do EC2
<a name="reference_policies_examples_ec2_require-mfa"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita acesso total a todas as operações de API da AWS no Amazon EC2. No entanto, ela negará explicitamente o acesso às operações de API `TerminateInstances` e `StopInstances` se o usuário não estiver autenticado usando [Multi-Factor Authentication (MFA).](id_credentials_mfa.md) Para fazer isso de forma programática, o usuário deve incluir os valores opcionais `SerialNumber` e `TokenCode` ao chamar a operação `GetSessionToken`. Essa operação retorna credenciais temporárias que foram autenticadas usando MFA. Para saber mais sobre GetSessionToken, consulte [Solicitar credenciais para usuários em ambientes não confiáveis](id_credentials_temp_request.md#api_getsessiontoken).

O que essa política faz?
+ A instrução `AllowAllActionsForEC2` permite todas as ações do Amazon EC2.
+ A instrução `DenyStopAndTerminateWhenMFAIsNotPresent` nega as ações `StopInstances` e `TerminateInstances` quando o contexto da MFA está ausente. Isso significa que as ações são negadas quando o contexto da autenticação multifator está ausente (o que significa que a MFA não foi usada). Uma negação substitui a permissão.

**nota**  
A verificação da condição de `MultiFactorAuthPresent` na instrução `Deny` não deve ser `{"Bool":{"aws:MultiFactorAuthPresent":false}}` pois essa chave não está presente e não pode ser avaliada quando a MFA não é usada. Em vez disso, use a verificação `BoolIfExists` para ver se a chave está presente antes de verificar o valor. Para obter mais informações, consulte [Operadores de condição ...IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllActionsForEC2",
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
            "Effect": "Deny",
            "Action": [
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": false}
            }
        }
    ]
}
```

------

# Amazon EC2: limita o término de instâncias do EC2 para um intervalo de endereços IP
<a name="reference_policies_examples_ec2_terminate-ip"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que limite as instâncias do EC2 permitindo a ação, mas negando explicitamente o acesso quando a solicitação vier de fora do intervalo de IP especificado. A política é útil quando os endereços IP para sua empresa estão dentro dos intervalos especificados. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Se essa política for usada em combinação com outras políticas que permitem a ação `ec2:TerminateInstances` (tal como a política gerenciada pela AWS [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)), o acesso será negado. Isso ocorre porque uma instrução de negação explícita tem precedência sobre instruções para permitir. Para obter mais informações, consulte [Como a lógica do código de imposição da AWS avalia as solicitações para permitir ou negar acesso](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Importante**  
A chave de condição `aws:SourceIp` nega acesso a um AWS service (Serviço da AWS), tal como o AWS CloudFormation, que realiza chamadas em seu nome. Para mais informações sobre o uso da chave de condição `aws:SourceIp`, consulte [AWSChaves de contexto de condições globais da](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}
```

------

# IAM: acessar a API do simulador de política
<a name="reference_policies_examples_iam_policy-sim"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita usar a API do simulador de políticas para políticas anexadas a um usuário, grupo ou perfil na Conta da AWS atual. Esta política também permite acesso para simular políticas menos confidenciais transmitidas para a API como strings. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForCustomPolicy",
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**nota**  
Para permitir que um usuário acesse o console do simulador de políticas para simular políticas anexadas a um usuário, grupo ou perfil na Conta da AWS atual, consulte [IAM: acessar o console do simulador de política](reference_policies_examples_iam_policy-sim-console.md).

# IAM: acessar o console do simulador de política
<a name="reference_policies_examples_iam_policy-sim-console"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita usar o console do simulador de políticas para políticas anexadas a um usuário, grupo ou perfil na Conta da AWS atual. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática.

Você pode acessar o console do simulador de política do IAM em: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroups",
                "iam:ListGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

# IAM: assumir funções que têm uma etiqueta específica
<a name="reference_policies_examples_iam-assume-tagged-role"></a>

Este exemplo mostra como você pode criar um política baseada em identidade que permita que um usuário do IAM assuma perfis com o par de chave-valor de etiqueta `Project = ExampleCorpABC`. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

Se existir uma função com essa tag na mesma conta do usuário, o usuário poderá assumir essa função. Se uma função com essa tag existir em uma outra conta que não a do usuário, ela exigirá permissões adicionais. A política de confiança da função entre contas também deve permitir que o usuário ou todos os membros da conta do usuário assumam a função. Para obter informações sobre como usar funções para acesso entre contas, consulte [Acesso a um usuário do IAM em outra Conta da AWS de sua propriedade](id_roles_common-scenarios_aws-accounts.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeTaggedRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
            }
        }
    ]
}
```

------

# IAM: permite e nega acesso a vários serviços de forma programática e no console
<a name="reference_policies_examples_iam_multiple-services-console"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita acesso total a vários serviços e acesso limitado autogerenciado no IAM. Ela também nega acesso ao bucket `logs` do Amazon S3 ou à instância `i-1234567890abcdef0` do Amazon EC2. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

**Atenção**  
Essa política permite acesso total a todas as ações e recursos em vários serviços. Essa política deve ser aplicada apenas a administradores confiáveis.

Você pode usar esta política como um limite de permissões para definir o número máximo de permissões que uma política baseada em identidade pode conceder a um usuário do IAM. Para obter mais informações, consulte [Delegar responsabilidade para outras pessoas usando limites de permissões](access_policies_boundaries.md#access_policies_boundaries-delegate). Quando a política é usada como um limite de permissões para um usuário, as instruções definem os seguintes limites:
+ Uma instrução `AllowServices` permite acesso total aos serviços especificados da AWS. Isso significa que as ações do usuário nesses serviços são limitadas apenas pelas políticas de permissões que são anexadas ao usuário.
+ A instrução `AllowIAMConsoleForCredentials` permite acesso para listar todos os usuários do IAM. Esse acesso é necessário para navegar na página **Usuários** no Console de gerenciamento da AWS. Ela também permite visualizar os requisitos de senha da conta, que são necessários para o usuário alterar a própria senha.
+ A instrução `AllowManageOwnPasswordAndAccessKeys` permite que os usuários gerenciem apenas suas próprias chaves de acesso programático e senha do console. Isso é importante porque se outra política conceder a um usuário acesso total ao IAM, esse usuário poderá alterar suas próprias permissões ou as permissões de outros usuários. Essa instrução impede que isso ocorra.
+ A instrução `DenyS3Logs` nega explicitamente o acesso ao bucket de `logs`. Essa política impõe restrições da empresa ao usuário.
+ A instrução `DenyEC2Production` nega explicitamente o acesso à instância de `i-1234567890abcdef0`.

Essa política não permite acesso a outros serviços ou ações. Quando a política é usada como um limite de permissões para um usuário, mesmo que outras políticas anexadas ao usuário permitam essas ações, o AWS nega a solicitação.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*LoginProfile*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

# IAM: adicionar uma etiqueta específica a um usuário com uma etiqueta específica
<a name="reference_policies_examples_iam-add-tag"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita adicionar a chave de tag `Department` com os valores de tag `Marketing`, `Development` ou `QualityAssurance` a um usuário do IAM. Esse usuário já deve incluir o par de chave-valor da etiqueta `JobFunction = manager`. Você pode usar essa política para exigir que um gerente pertença apenas a um de três departamentos. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

A instrução `ListTagsForAllUsers` permite a visualização de tags para todos os usuários em sua conta. 

A primeira condição na instrução `TagManagerWithSpecificDepartment` usa o operador de condição `StringEquals`. A condição retorna verdadeiro se ambas as partes da condição forem verdadeiras. O usuário a ser marcado já deve ter a tag `JobFunction=Manager`. A solicitação deve incluir a chave de tag `Department` com um dos valores de tag listados. 

A segunda condição usa o operador de condição `ForAllValues:StringEquals`. A condição retornará verdadeiro se todas as chaves de tag na solicitação corresponderem à chave na política. Isso significa que a única chave de tag na solicitação deve ser `Department`. Para obter mais informações sobre o uso de `ForAllValues`, consulte [Operadores de conjunto para chaves de contexto de vários valores](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}
```

------

# IAM: adicionar uma etiqueta específica com valores específicos
<a name="reference_policies_examples_iam-add-tag-user-role"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita adicionar apenas a chave de tag `CostCenter` e o valor de tag `A-123` ou o valor de tag `B-456` a qualquer usuário ou perfil do IAM. Use esta política para limitar a marcação a uma chave de tag específica e a um conjunto de valores de tag. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

A instrução `ConsoleDisplay` permite a visualização de tags para todos os usuários e funções em sua conta. 

A primeira condição na instrução `AddTag` usa o operador de condição `StringEquals`. A condição retorna verdadeiro se a solicitação inclui a chave de tag `CostCenter` com um dos valores de tag listados. 

A segunda condição usa o operador de condição `ForAllValues:StringEquals`. A condição retornará verdadeiro se todas as chaves de tag na solicitação corresponderem à chave na política. Isso significa que a única chave de tag na solicitação deve ser `CostCenter`. Para obter mais informações sobre o uso de `ForAllValues`, consulte [Operadores de conjunto para chaves de contexto de vários valores](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}
```

------

# IAM: criar novos usuários somente com etiquetas específicas
<a name="reference_policies_examples_iam-new-user-tag"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita a criação de usuários do IAM, mas apenas com uma ou ambas as chaves de tag `Department` e `JobFunction`. A chave de tag `Department` deve ter a chave de tag `Development` ou `QualityAssurance`. A chave de tag `JobFunction` deve ter o valor de tag `Employee`. Você pode usar essa política para exigir que novos usuários tenham um cargo e um departamento específicos. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

A primeira condição na instrução usa o operador de condição `StringEqualsIfExists`. Se uma tag com a chave `Department` ou `JobFunction` estiver presente na solicitação, a tag deverá ter o valor especificado. Se nenhuma chave estiver presente, essa condição será avaliada como verdadeira. A única maneira de a condição ser avaliada como falsa é se uma das chaves de condição especificada estiver presente na solicitação, mas tiver um valor diferente dos permitidos. Para obter mais informações sobre o uso de `IfExists`, consulte [Operadores de condição ...IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists).

A segunda condição usa o operador de condição `ForAllValues:StringEquals`. A condição retorna verdadeira se houver uma correspondência entre cada um dos valores de chave especificados na solicitação e pelo menos um valor na política. Isso significa que todas as tags na solicitação devem estar nessa lista. No entanto, a solicitação pode incluir apenas uma das tags na lista. Por exemplo, você pode criar um usuário do IAM apenas com a etiqueta `Department=QualityAssurance`. No entanto, você não pode criar um usuário do IAM com a etiqueta `JobFunction=employee` e a etiqueta `Project=core`. Para obter mais informações sobre o uso de `ForAllValues`, consulte [Operadores de conjunto para chaves de contexto de vários valores](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: gerar e recuperar relatórios de credenciais do IAM
<a name="reference_policies_examples_iam-credential-report"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários gerem e baixem um relatório que liste todos os usuários do IAM na sua Conta da AWS. O relatório inclui o status das credenciais dos usuários, incluindo senhas, chaves de acesso, dispositivos MFA e certificados de assinatura. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. 

Para obter mais informações sobre relatórios de credenciais do , consulte [Gerar relatórios de credenciais para sua Conta da AWS](id_credentials_getting-report.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:GetCredentialReport"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: permite gerenciar a associação de um grupo de forma programática e no console
<a name="reference_policies_examples_iam_manage-group-membership"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que permita atualizar a associação do grupo chamado `MarketingTeam`. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

O que essa política faz?
+ A instrução do `ViewGroups` permite que o usuário liste todos os usuários e grupos no Console de gerenciamento da AWS. Ela também permite que o usuário visualize informações básicas sobre usuários da conta. Essas permissões devem estar nas suas respectivas instruções, pois não oferecem suporte ou não precisam especificar um ARN de recurso. Em vez disso, as permissões especificam `"Resource" : "*"`.
+ A instrução `ViewEditThisGroup` permite que o usuário visualize informações sobre o grupo `MarketingTeam` e adicione e remova usuários do grupo.

Essa política não permite que o usuário visualize ou edite as permissões dos usuários ou do grupo `MarketingTeam`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewGroups",
            "Effect": "Allow",
            "Action": [
                "iam:ListGroups",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:ListGroupsForUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewEditThisGroup",
            "Effect": "Allow",
            "Action": [
                "iam:AddUserToGroup",
                "iam:RemoveUserFromGroup",
                "iam:GetGroup"
            ],
            "Resource": "arn:aws:iam::*:group/MarketingTeam"
        }
    ]
}
```

------

# IAM: gerenciar uma etiqueta específica
<a name="reference_policies_examples_iam-manage-tags"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita adicionar e remover a tag do IAM com a chave de tag `Department` de entidades do IAM (usuários e perfis). Esta política não limita o valor da etiqueta `Department`. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:TagUser",
            "iam:TagRole",
            "iam:UntagUser",
            "iam:UntagRole"

        ],
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}}
    }
}
```

------

# IAM: Passar uma função do IAM para um produto da AWS específico
<a name="reference_policies_examples_iam-passrole-service"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita passar qualquer perfil de serviço do IAM para o serviço Amazon CloudWatch. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md). 

Um perfil de serviço é um perfil do IAM que especifica um produto da AWS como a entidade principal que pode assumir o perfil. Isso permite que o serviço assuma a função e acesse recursos em outros serviços em seu nome. Para permitir que o Amazon CloudWatch assuma o perfil passado por você, é necessário especificar a entidade principal de serviço `cloudwatch.amazonaws.com` como a entidade principal na política de confiança do seu perfil. O escopo principal do serviço é definido pelo serviço. Para conhecer o escopo principal do serviço, consulte a documentação do serviço. Para alguns serviços, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md) e procure os serviços que têm **Sim **na coluna **Função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço. Pesquise `amazonaws.com` para visualizar a entidade principal do serviço.

Para saber mais sobre como passar uma função de serviço para um serviço, consulte [Conceda permissões a um usuário para passar um perfil para um serviço da AWS](id_roles_use_passrole.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}
```

------

# IAM: permite acesso somente leitura ao console do IAM sem relatórios
<a name="reference_policies_examples_iam_read-only-console-no-reporting"></a>

Este exemplo mostra como criar uma política baseada em identidade que permita que usuários do IAM realizem qualquer ação do IAM que comece com a string `Get` ou `List`. À medida que os usuários trabalham com o console, o console faz solicitações ao IAM para listar grupos, usuários, funções e políticas e para gerar relatórios sobre esses recursos.

O asterisco atua como um curinga. Quando você usa `iam:Get*` em uma política, as permissões resultantes incluem todas as ações do IAM que começam com `Get`, como `GetUser` e `GetRole`. Os caracteres curinga serão úteis se novos tipos de entidades forem adicionadas ao IAM no futuro. Nesse caso, as permissões concedidas pela política permitem automaticamente que o usuário liste e obtenha os detalhes sobre essas novas entidades. 

Esta política não pode ser usada para gerar relatórios ou detalhes do último acesso do serviço. Para obter outra política que permita isso, consulte [IAM: permite acesso somente leitura ao console do IAM](reference_policies_examples_iam_read-only-console.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: permite acesso somente leitura ao console do IAM
<a name="reference_policies_examples_iam_read-only-console"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que usuários do IAM realizem qualquer ação do IAM que comece com a string `Get`, `List` ou `Generate`. À medida que os usuários trabalham com o console do IAM, o console faz solicitações para listar grupos, usuários, funções e políticas e para gerar relatórios sobre esses recursos.

O asterisco atua como um curinga. Quando você usa `iam:Get*` em uma política, as permissões resultantes incluem todas as ações do IAM que começam com `Get`, como `GetUser` e `GetRole`. O uso de um caractere curinga será útil, principalmente se novos tipos de entidades forem adicionadas ao IAM no futuro. Nesse caso, as permissões concedidas pela política permitem automaticamente que o usuário liste e obtenha os detalhes sobre essas novas entidades. 

Use esta política para acesso ao console que inclui permissões para gerar relatórios ou detalhes do último acesso do serviço. Para uma política distinta que não permite gerar ações, consulte [IAM: permite acesso somente leitura ao console do IAM sem relatórios](reference_policies_examples_iam_read-only-console-no-reporting.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*",
            "iam:Generate*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: permite que os usuários do IAM gerenciem um grupo de forma programática e no console
<a name="reference_policies_examples_iam_users-manage-group"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que permita que usuários do IAM específicos gerenciem o grupo `AllUsers`. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

O que essa política faz?
+ A instrução `AllowAllUsersToListAllGroups` permite listar todos os grupos. Isso é necessário para a concessão de acesso ao console. Essa permissão deve estar em sua própria instrução, pois ela não oferece suporte a um ARN de recurso. Em vez disso, as permissões especificam `"Resource" : "*"`.
+ A instrução `AllowAllUsersToViewAndManageThisGroup` permite todas as ações de grupo que podem ser executadas no tipo de recurso de grupo. Ela não permite a ação `ListGroupsForUser`, que pode ser executada em um tipo de recurso de usuário e não em um tipo de recurso de grupo. Para obter mais informações sobre os tipos de recursos que você pode especificar para uma ação do IAM, consulte [Ações, recursos e chaves de condição do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).
+ A instrução `LimitGroupManagementAccessToSpecificUsers` nega aos usuários com os nomes especificados o acesso para gravação e ações de grupo de gerenciamento de permissões. Quando um usuário especificado na política tentar fazer alterações no grupo, essa instrução não negará a solicitação. Essa solicitação é permitida pela instrução `AllowAllUsersToViewAndManageThisGroup`. Se outros usuários tentarem executar essas operações, a solicitação será negada. Você pode visualizar as ações do IAM definidas com os níveis de acesso **Write** (Gravação) ou **Permissions management** (Gerenciamento de permissões) ao criar essa política no console do IAM. Para fazer isso, alterne da guia **JSON** para a guia **Visual editor (Editor visual)**. Para obter mais informações sobre níveis de acesso, consulte [Ações, recursos e chaves de condição do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: permite configurar os requisitos de senha da conta de forma programática e no console
<a name="reference_policies_examples_iam_set-account-pass-policy"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que um usuário visualize e atualize os requisitos de senha da conta. Os requisitos de senha especificam os requisitos de complexidade e os períodos de rotação obrigatórios das senhas dos membros da conta. Esta política define permissões para acesso programático e do console.

Para saber como definir os requisitos de senha de sua conta, consulte [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:UpdateAccountPasswordPolicy"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: acessar a API do simulador de política com base no caminho do usuário
<a name="reference_policies_examples_iam_policy-sim-path"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita usar a API do simulador de políticas apenas para usuários que têm o caminho `Department/Development`. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

**nota**  
Para criar uma política que permite o uso do console do simulador de políticas para usuários que têm o caminho `Department/Development`, consulte [IAM: acessar o console do simulador de políticas com base no caminho do usuário](reference_policies_examples_iam_policy-sim-path-console.md).

# IAM: acessar o console do simulador de políticas com base no caminho do usuário
<a name="reference_policies_examples_iam_policy-sim-path-console"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita usar o console do simulador de política apenas para os usuários que têm o caminho `Department/Development`. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Você pode acessar o simulador de política do IAM em: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetPolicy",
                "iam:GetUserPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

# IAM: permite que usuários do IAM autogerenciem um dispositivo com MFA
<a name="reference_policies_examples_iam_mfa-selfmanage"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que permita que os usuários do IAM autogerenciem seus dispositivos com [autenticação multifator (MFA)](id_credentials_mfa.md). Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática.

**nota**  
Se um usuário do IAM com essa política não for autenticado por MFA, essa política negará o acesso a todas as ações da AWS, exceto aquelas necessárias para autenticar usando MFA. Se você adicionar essas permissões para um usuário que está conectado à AWS, pode ser necessário sair e fazer login novamente para visualizar essas alterações.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToCreateVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# IAM: permite que usuários do IAM alternem suas próprias credenciais de forma programática e no console
<a name="reference_policies_examples_iam_credentials_console"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que permita aos usuários do IAM atualizar suas próprias chaves de acesso, certificados de assinatura, credenciais específicas de serviço e senhas. Esta política define permissões para acesso programático e do console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        }
    ]
}
```

------

Para saber como um usuário pode alterar sua própria senha no console, consulte [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md).

# IAM: visualizar serviço acessado por último para uma política do AWS Organizations
<a name="reference_policies_examples_iam_service-accessed-data-orgs"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita visualizar as informações do último acesso do serviço para uma política específica do AWS Organizations. Essa política permite a recuperação dos dados para a política de controle de serviço (SCP - service control policy) com o ID `p-policy123`. A pessoa que gera e visualiza o relatório deve ser autenticada usando as credenciais da conta de gerenciamento do AWS Organizations. Essa política permite que o solicitante recupere os dados de qualquer entidade do AWS Organizations em sua organização. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Para obter informações importantes sobre as informações acessadas por último, incluindo as permissões necessárias, solução de problemas e regiões compatíveis, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOrgsReadOnlyAndIamGetReport",
            "Effect": "Allow",
            "Action": [
                "iam:GetOrganizationsAccessReport",
                "organizations:Describe*",
                "organizations:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGenerateReportOnlyForThePolicy",
            "Effect": "Allow",
            "Action": "iam:GenerateOrganizationsAccessReport",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:OrganizationsPolicyId": "p-policy123"}
            }
        }
    ]
}
```

------

# IAM: limita as políticas gerenciadas que podem ser aplicadas a um usuário, grupo ou função do IAM
<a name="reference_policies_examples_iam_limit-managed"></a>

Este exemplo mostra como você pode criar uma política do IAM que limita as políticas gerenciadas pelo cliente e gerenciadas pela AWS que podem ser aplicadas a um usuário, grupo ou perfil do IAM. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachUserPolicy",
            "iam:DetachUserPolicy"
        ],
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "iam:PolicyARN": [
                    "arn:aws:iam::*:policy/policy-name-1",
                    "arn:aws:iam::*:policy/policy-name-2"
                ]
            }
        }
    }
}
```

------

# AWS: negar acesso a recursos fora da sua conta, exceto políticas do IAM gerenciadas pela AWS
<a name="resource_examples_iam_policies_resource_account"></a>

O uso de `aws:ResourceAccount` em políticas baseadas em identidade podem afetar o usuário ou a capacidade da função de utilizar alguns serviços que exigem interação com recursos em contas pertencentes a um serviço.

Você pode criar uma política com uma exceção para contemplar as políticas do IAM gerenciadas pela AWS. Uma conta gerenciada por serviço fora do AWS Organizations é a proprietária das políticas gerenciadas pelo IAM. Há quatro ações do IAM que listam e recuperam políticas gerenciadas pela AWS. Use essas ações no elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) da instrução `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1` na política.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Lambda: Permite que uma função Lambda acesse uma tabela do Amazon DynamoDB
<a name="reference_policies_examples_lambda-access-dynamodb"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita o acesso de leitura e gravação a uma tabela específica do Amazon DynamoDB. A política também permite gravar arquivos de log no CloudWatch Logs. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Para usar esta política, anexe a política a uma [função de serviço](id_roles_create_for-service.md) do Lambda. Uma função de serviço é uma função que você cria em sua conta para permitir que um serviço execute ações em seu nome. Essa função de serviço deve incluir o AWS Lambda como a entidade principal na política de confiança. Para obter detalhes sobre como usar essa política, consulte [How to Create an AWS IAM Policy to Grant AWS Lambda Access to an Amazon DynamoDB Table](https://aws.amazon.com/blogs/security/how-to-create-an-aws-iam-policy-to-grant-aws-lambda-access-to-an-amazon-dynamodb-table/) no AWS Security Blog.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable"
        },
        {
            "Sid": "GetStreamRecords",
            "Effect": "Allow",
            "Action": "dynamodb:GetRecords",
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable/stream/* "
        },
        {
            "Sid": "WriteLogStreamsAndGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateLogGroup",
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: permite acesso total ao banco de dados RDS em uma região específica
<a name="reference_policies_examples_rds_region"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita acesso total ao banco de dados do RDS em uma região específica. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:*",
            "Resource": ["arn:aws:rds:us-east-1:*:*"]
        },
        {
            "Effect": "Allow",
            "Action": ["rds:Describe*"],
            "Resource": ["*"]
        }
    ]
}
```

------

# Amazon RDS: permite a restauração de bancos de dados do RDS de forma programática e no console
<a name="reference_policies_examples_rds_db-console"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita restaurar bancos de dados do RDS. Esta política define permissões para acesso programático e do console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSnapshot",
                "rds:DeleteDBSnapshot",
                "rds:Describe*",
                "rds:DownloadDBLogFilePortion",
                "rds:List*",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyOptionGroup",
                "rds:RebootDBInstance",
                "rds:RestoreDBInstanceFromDBSnapshot",
                "rds:RestoreDBInstanceToPointInTime"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: permite aos proprietários de etiquetas acesso total aos recursos do RDS que eles etiquetaram
<a name="reference_policies_examples_rds_tag-owner"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita aos proprietários de tags total acesso aos recursos do RDS que eles marcaram. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:Describe*",
                "rds:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "rds:DeleteDBInstance",
                "rds:RebootDBInstance",
                "rds:ModifyDBInstance"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:db-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyOptionGroup",
                "rds:DeleteOptionGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:og-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBParameterGroup",
                "rds:ResetDBParameterGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:pg-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:AuthorizeDBSecurityGroupIngress",
                "rds:RevokeDBSecurityGroupIngress",
                "rds:DeleteDBSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:secgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:DeleteDBSnapshot",
                "rds:RestoreDBInstanceFromDBSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:snapshot-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBSubnetGroup",
                "rds:DeleteDBSubnetGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:subgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyEventSubscription",
                "rds:AddSourceIdentifierToSubscription",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:DeleteEventSubscription"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:es-tag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon S3: permite que usuários do Amazon Cognito acessem objetos em seus buckets
<a name="reference_policies_examples_s3_cognito-bucket"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários do Amazon Cognito acessem objetos em um bucket específico do Amazon S3. Esta política permite acesso apenas a objetos com um nome que inclua `cognito`, o nome da aplicação e o ID da entidade principal federada representado pela variável \$1\$1cognito-identity.amazonaws.com:sub\$1. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

**nota**  
O valor "sub" usado na chave de objeto não é o subvalor do usuário no grupo de usuários, é o ID de identidade associado ao usuário no grupo de identidades.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}
```

------

O Amazon Cognito fornece autenticação, autorização e gerenciamento de usuários para suas aplicações Web e móveis. Seus usuários podem fazer login diretamente com um nome de usuário e senha ou por meio de terceiros, como Facebook, Amazon ou Google. 

Os dois componentes principais do Amazon Cognito são os grupos de usuários e os grupos de identidades. Os grupos de usuários são diretórios de usuários que fornecem opções de cadastro e login para os usuários do seu aplicativo. Os grupos de identidade permitem que você conceda aos usuários acesso a outros serviços da AWS. Você pode usar grupos de identidades e grupos de usuários separadamente ou em conjunto. 

Para obter mais informações sobre o Amazon Cognito, consulte o [Guia do usuário do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

# Amazon S3: permite que usuários federados acessem seus respectivos diretórios iniciais do Amazon S3 de forma programática e no console
<a name="reference_policies_examples_s3_federated-home-directory-console"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que permita que entidades principais federadas acessem seu próprio objeto de bucket do diretório inicial no S3. O diretório inicial é um bucket que inclui uma pasta `home` e pastas para entidades principais federadas individuais. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

A variável `${aws:userid}` nessa política resulta em `role-id:specified-name`. A parte `role-id` do ID da entidade principal federada é um identificador exclusivo atribuído ao perfil do usuário federado durante a criação. Para obter mais informações, consulte [Identificadores exclusivos](reference_identifiers.md#identifiers-unique-ids). O `specified-name` é o parâmetro [RoleSessionName](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html#API_AssumeRoleWithWebIdentity_RequestParameters) passado para a solicitação `AssumeRoleWithWebIdentity` quando a entidade principal federada assumiu seu perfil.

Você pode visualizar o ID da função usando o comando da AWS CLI `aws iam get-role --role-name specified-name`. Por exemplo, imagine que você especifique o nome amigável `John`, e a CLI retorne o ID da função `AROAXXT2NJT7D3SIQN7Z6`. Nesse caso, o ID da entidade principal federada é `AROAXXT2NJT7D3SIQN7Z6:John`. Esta política permite que a entidade principal federada John acesse o bucket do Amazon S3 com o prefixo `AROAXXT2NJT7D3SIQN7Z6:John`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: acesso ao bucket do S3, mas bucket de produção negado sem MFA recente
<a name="reference_policies_examples_s3_full-access-except-production"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que um administrador do Amazon S3 acesse qualquer bucket, inclusive para atualização, adição e exclusão de objetos. No entanto, ela negará explicitamente o acesso ao bucket `amzn-s3-demo-bucket-production` se o usuário não tiver feito login usando [Multi-Factor Authentication (MFA)](id_credentials_mfa.md) nos últimos trinta minutos. Esta política concede as permissões necessárias para executar essa ação no console ou de forma programática usando a AWS CLI ou a API da AWS. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Esta política nunca permite o acesso programático ao bucket `amzn-s3-demo-bucket` usando chaves de acesso de usuário de longo prazo. Isso é feito usando a chave de condição `aws:MultiFactorAuthAge` com o operador de condição `NumericGreaterThanIfExists`. Essa condição de política retornará `true` se a MFA não estiver presente ou se a idade da MFA for maior do que 30 minutos. Nessas situações, o acesso será negado. Para acessar o bucket `amzn-s3-demo-bucket-production` de forma programática, o administrador do S3 deve usar credenciais temporárias geradas nos últimos 30 minutos usando a operação de API [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}
```

------

# Amazon S3: permite que usuários do IAM acessem seus diretórios base do S3 de forma programática e no console
<a name="reference_policies_examples_s3_home-directory-console"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que usuários do IAM acessem seu próprio objeto de bucket do diretório inicial no S3. O diretório inicial é um bucket que inclui uma pasta `home` e pastas para usuários individuais. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Esta política não funcionará ao usar funções do IAM porque a variável `aws:username` não está disponível durante o uso das funções do IAM. Para obter detalhes sobre os principais valores-chave, consulte [Valores de chave de principal](reference_policies_variables.md#principaltable).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:username}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: limitar o gerenciamento a um bucket específico do S3
<a name="reference_policies_examples_s3_deny-except-bucket"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que restrinja o gerenciamento de um bucket do Amazon S3 a esse bucket específico. Essa política concede permissão para realizar todas as ações do Amazon S3, mas nega acesso a todos os AWS service (Serviço da AWS), exceto o Amazon S3. Veja o exemplo a seguir. De acordo com essa política, você só pode acessar as ações do Amazon S3 que podem ser realizadas em um bucket do S3 ou em um recurso de objeto do S3. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Se essa política for usada em combinação com outras políticas (como as políticas gerenciadas pela AWS [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) ou [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)) que permitem ações negadas por esta política, o acesso será negado. Isso ocorre porque uma instrução de negação explícita tem precedência sobre instruções para permitir. Para obter mais informações, consulte [Como a lógica do código de imposição da AWS avalia as solicitações para permitir ou negar acesso](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Atenção**  
[`NotAction`](reference_policies_elements_notaction.md) e [`NotResource`](reference_policies_elements_notresource.md) são elementos de política avançados que devem ser usados com cuidado. Esta política nega o acesso a todos os produtos da AWS, exceto o Amazon S3. Se você anexar essa política a um usuário, quaisquer outras políticas que concedam permissões para outros serviços são ignoradas e o acesso é negado.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}
```

------

# Conceda acesso de leitura e gravação aos objetos do bucket do Amazon S3
<a name="reference_policies_examples_s3_rw-bucket"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita o acesso de `Read` e `Write` a objetos em um bucket específico do Amazon S3. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

A ação `s3:*Object` usa um curinga como parte do nome da ação. A instrução `AllObjectActions` permite `GetObject`, `DeleteObject`, `PutObject` e qualquer outra ação do Amazon S3 que termine com a palavra “Object” (Objeto).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bucket-name"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::bucket-name/*"]
        }
    ]
}
```

------

**nota**  
Para conceder acesso de `Read` e `Write` a um objeto em um bucket do Amazon S3 e também incluir permissões adicionais para acesso ao console, consulte [Amazon S3: permite acesso de leitura e gravação a objetos em um bucket do S3 de forma programática e no console](reference_policies_examples_s3_rw-bucket-console.md).

# Amazon S3: permite acesso de leitura e gravação a objetos em um bucket do S3 de forma programática e no console
<a name="reference_policies_examples_s3_rw-bucket-console"></a>

Este exemplo mostra como você pode criar uma política baseada em identidade que permita o acesso de `Read` e `Write` a objetos em um bucket específico do S3. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o *texto do espaço reservado em itálico* na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

A ação `s3:*Object` usa um curinga como parte do nome da ação. A instrução `AllObjectActions` permite `GetObject`, `DeleteObject`, `PutObject` e qualquer outra ação do Amazon S3 que termine com a palavra “Object” (Objeto).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
        }
    ]
}
```

------

# Gerenciar políticas do IAM
<a name="access_policies_manage"></a>

O IAM fornece as ferramentas para criação e gerenciamento de todos os tipos de políticas do IAM (políticas gerenciadas e em linha). Para adicionar permissões a uma identidade do IAM (usuário, grupo ou função do IAM), crie uma política,valide a política, e, em seguida, anexe a política à identidade. Você pode anexar várias políticas a uma identidade e cada política pode conter várias permissões.

**Topics**
+ [Recursos adicionais](#access_policies_manage-additional-resources)
+ [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md)
+ [Validação de política do IAM](access_policies_policy-validator.md)
+ [Testar políticas do IAM com o simulador de políticas do IAM](access_policies_testing-policies.md)
+ [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md)
+ [Versionamento de políticas do IAM](access_policies_managed-versioning.md)
+ [Editar políticas do IAM](access_policies_manage-edit.md)
+ [Excluir políticas do IAM](access_policies_manage-delete.md)
+ [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md)

## Recursos adicionais
<a name="access_policies_manage-additional-resources"></a>

Os recursos a seguir podem ajudar você a saber mais sobre as políticas da AWS.
+ Para obter mais informações sobre os diferentes tipos de políticas do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md). 
+ Para obter informações gerais sobre o uso de políticas no IAM, consulte [Gerenciamento de acesso para recursos da AWS](access.md).
+ Para obter informações sobre como usar o IAM Access Analyzer para gerar uma política do IAM baseada na atividade de acesso para uma entidade, consulte [Geração de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ Para obter informações sobre como as permissões são avaliadas quando várias políticas estão em vigor para determinada identidade do IAM, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md).
+ O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

# Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente
<a name="access_policies_create"></a>

As [políticas](access_policies.md) definem permissões para identidades ou recursos na AWS. Você pode usar o Console de gerenciamento da AWS, a AWS CLI, ou a API da AWS para criar *políticas gerenciadas pelo cliente* no IAM. As políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Você pode anexar as políticas a identidades (usuários, grupos e perfis) na sua conta Conta da AWS.

Uma política anexada a uma identidade no IAM é conhecida como uma *política baseada em identidade*. As políticas baseadas em identidade podem incluir políticas gerenciadas pela AWS, políticas gerenciadas pelo cliente e políticas em linha. As políticas gerenciadas pela AWS são criadas e gerenciadas pela AWS. Você pode usá-las, mas não pode gerenciá-las. Uma política em linha é aquela que você cria e incorpora diretamente em um grupo de usuários, usuário ou perfil do IAM. As políticas em linha não podem ser reutilizadas em outras identidades ou gerenciadas fora da identidade onde existem. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

Em geral, é melhor usar políticas gerenciadas pelo cliente em vez de políticas em linha ou políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS costumam fornecer amplas permissões administrativas ou somente leitura. Para maior segurança, [conceda privilégio mínimo](best-practices.md#grant-least-privilege). Ele concede apenas as permissões necessárias para executar tarefas de trabalho específicas.

Quando você cria ou edita políticas do IAM, a AWS pode executar automaticamente a validação de políticas para ajudar você a criar uma política eficaz com o mínimo privilégio em mente. No Console de gerenciamento da AWS, o IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de políticas adicionais com recomendações para ajudar você a refinar ainda mais suas políticas. Para saber mais sobre validação de política, consulte [Validação de política do IAM](access_policies_policy-validator.md). Para saber mais sobre as verificações de política do IAM Access Analyzer e as recomendações práticas, consulte [Validação de política do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Você pode usar o Console de gerenciamento da AWS, a AWS CLI ou a API da AWS para criar políticas gerenciadas pelo cliente no IAM. Para obter mais informações sobre o uso de modelos do CloudFormation para adicionar ou atualizar políticas, consulte a [Referência a tipos de recursos do AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html), no *Guia do usuário do CloudFormation*.

**Topics**
+ [Criar políticas do IAM (console)](access_policies_create-console.md)
+ [Criar políticas do IAM (AWS CLI)](access_policies_create-cli.md)
+ [Criar políticas do IAM (API da AWS)](access_policies_create-api.md)

# Criar políticas do IAM (console)
<a name="access_policies_create-console"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. Você pode usar a Console de gerenciamento da AWS para criar *políticas gerenciadas pelo cliente* no IAM. Políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Você pode anexar as políticas a identidades (usuários, grupos e perfis) na sua conta Conta da AWS.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

**Topics**
+ [Criação de políticas do IAM](#access_policies_create-start)
+ [Criar políticas usando o editor de JSON](#access_policies_create-json-editor)
+ [Criar políticas com o editor visual](#access_policies_create-visual-editor)
+ [Importar políticas gerenciadas existentes](#access_policies_create-copy)

## Criação de políticas do IAM
<a name="access_policies_create-start"></a>

Você pode criar uma política gerenciada pelo cliente no Console de gerenciamento da AWS usando um dos seguintes métodos:
+ **[JSON](#access_policies_create-json-editor)**: cole e personalize uma [política baseada em identidade de exemplo](access_policies_examples.md) publicada.
+ **[Editor visual](#access_policies_create-visual-editor)**: crie uma nova política do zero no editor visual. Se você usar o editor visual, não precisará entender a sintaxe JSON.
+ **[Importar](#access_policies_create-copy)**: importe e personalize uma política gerenciada na sua conta. Você pode importar uma política gerenciada da AWS ou uma política gerenciada pelo cliente criada anteriormente.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

## Criar políticas usando o editor de JSON
<a name="access_policies_create-json-editor"></a>

Você pode digitar ou colar políticas em JSON escolhendo a opção **JSON**. Este método é útil para copiar um [exemplo de política](access_policies_examples.md) para usar na sua conta. Você também pode digitar o seu próprio documento de política JSON no editor JSON. Você também pode usar a opção **JSON** para alternar entre o editor visual e JSON para comparar as visualizações.

 Quando você cria ou edita uma política no editor JSON, o IAM executa a validação da política para ajudar você a criar uma política eficaz. O IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de política adicionais com recomendações práticas para ajudar você a refinar ainda mais a política. 

Uma [política](access_policies.md) JSON consiste em uma ou mais instruções. Cada instrução deve conter todas as ações que compartilham o mesmo efeito (`Allow` ou `Deny`) e oferecem suporte aos mesmos recursos e condições. Se uma ação exigir que você especifique todos os recursos (`"*"`) e outra ação oferecer suporte ao nome de recurso da Amazon (ARN) de um recurso específico, elas devem ficar em duas instruções JSON separadas. Para obter detalhes sobre formatos de ARN, consulte [Nome de recurso da Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no *Guia de Referência geral da AWS*. Para obter informações gerais sobre políticas do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md). Para obter informações sobre a linguagem de políticas do IAM, consulte [Referência de política JSON do IAM](reference_policies.md).

**Para usar o editor de políticas JSON para criar uma política**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Na seção **Editor de políticas**, escolha a opção **JSON**.

1. Digite ou cole um documento de política JSON. Para obter detalhes sobre a linguagem de políticas do IAM, consulte [Referência de política JSON do IAM](reference_policies.md).

1.  Resolva os avisos de segurança, erros ou avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md) e depois escolha **Próximo**. 
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opcional) Ao criar ou editar uma política no Console de gerenciamento da AWS, você pode gerar um modelo de política JSON ou YAML que pode ser usado em modelos do CloudFormation.

   Para isso, no **editor de políticas**, escolha **Ações** e depois escolha **Gerar modelo do CloudFormation**. Para saber mais sobre o CloudFormation, consulte [Referência de tipos de recurso do AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) no Guia do usuário do AWS CloudFormation.

1. Quando terminar de adicionar as permissões à política, escolha **Avançar**.

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.

1. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

1. Escolha **Criar política** para salvar sua nova política.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

## Criar políticas com o editor visual
<a name="access_policies_create-visual-editor"></a>

O editor visual no console do IAM oferece orientação para a criação de uma política sem que seja necessário escrever usando a sintaxe JSON. Para visualizar um exemplo de como usar o editor visual para criar uma política, consulte [Controle de acesso a identidades](access_controlling.md#access_controlling-identities).

**Para usar o editor visual para criar uma política**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Na seção **Editor de políticas**, localize a seção **Selecionar um serviço** e escolha um serviço da AWS. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de serviços. Você pode escolher apenas um serviço em um bloco de permissões no editor visual. Para conceder acesso a mais de um serviço, adicione vários blocos de permissões escolhendo **Adicionar mais permissões**.

1. Em **Ações permitidas**, escolha as ações a serem adicionadas à política. Você pode escolher as ações das seguintes maneiras:
   + Marque a caixa de seleção para todas as ações.
   + Escolha **adicionar ações** para digitar o nome de uma ação específica. Você pode usar curingas (`*`) para especificar várias ações.
   + Selecione um dos grupos de **Nível de acesso** para escolher todas as ações do nível de acesso (por exemplo, **Leitura**, **Gravação** ou **Lista**).
   + Expanda cada um dos grupos de **Access level** para escolher as ações individuais.

   Por padrão, a política que você está criando permite as ações que você escolhe. Para negar as ações escolhidas, selecione **Alternar para negar permissões**. Como o [IAM nega por padrão](reference_policies_evaluation-logic.md), a prática recomendada de segurança é que você conceda permissões somente para as ações e os recursos de que um usuário precisa. Você só deverá criar uma instrução JSON para negar permissões se desejar substituir, separadamente, uma permissão que é concedida por uma outra instrução ou política. Recomendamos que você limite ao mínimo o número de permissões de negação, pois elas podem aumentar a dificuldade de solucionar problemas nas permissões.

1. Para **Recursos**, se o serviço e as ações que você selecionou nas etapas anteriores não oferecerem suporte à escolha de [recursos específicos](access_controlling.md#access_controlling-resources), todos os recursos serão permitidos e você não poderá editar esta seção. 

   Se você escolher uma ou mais ações que ofereçam suporte a [permissões no nível de recursos](access_controlling.md#access_controlling-resources), o editor visual listará esses recursos. Você poderá expandir **Recursos** para especificar os recursos para sua política. 

   É possível especificar recursos das seguintes maneiras:
   + Selecione **Adicionar ARNs** para especificar os recursos pelos nomes dos recursos da Amazon (ARN). Você pode usar o editor de ARN visual ou listar os ARNs manualmente. Para obter mais informações sobre a sintaxe do ARN, consulte [Nome de recurso da Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no *Guia de Referência geral da AWS*. Para obter informações sobre como usar ARNs no elemento `Resource` de uma política, consulte [Elementos de política JSON do IAM: Resource](reference_policies_elements_resource.md).
   + Escolha **Qualquer um nesta conta** ao lado de um recurso para conceder permissões a qualquer recurso desse tipo.
   + Escolha **Todos os recursos** para escolher todos os recursos para o serviço. 

1. (Opcional) Escolha **Condições de solicitação - *opcional*** para adicionar condições à política que você está criando. As condições limitam o efeito de uma instrução de política JSON. Por exemplo, você pode especificar que um usuário só tem permissão para executar ações nos recursos quando sua solicitação ocorrer em um determinado período. Você também pode usar as condições mais usadas para limitar se um usuário deve ser autenticado usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Ou você pode exigir que a solicitação tenha origem em um determinado intervalo de endereços IP. Para obter uma lista completa das chaves de contexto que podem ser usadas na condição de uma política, consulte [Ações, recursos e chaves de condição para serviços da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na *Referência de autorização de serviços*.

   Você pode escolher as condições das seguintes maneiras:
   + Use as caixas de seleção para selecionar condições comumente utilizadas.
   + Escolha **Adicionar outra condição** para especificar outras condições. Escolha a **Condition Key**, o **Qualifier** e o **Operator** da condição e, em seguida, digite um **Value**. Para adicionar mais de um valor, escolha **Adicionar**. Você pode considerar os valores como sendo conectados por um operador lógico "OR". Quando terminar, selecione **Adicionar condição**.

   Para adicionar mais de uma condição, escolha novamente **Adicionar outra condição**. Repita conforme necessário. Cada condição se aplica apenas a um bloco de permissões do editor visual. Todas as condições devem ser verdadeiras para que o bloco de permissões seja considerado uma correspondência. Em outras palavras, considere as condições como sendo conectadas por um operador lógico "AND".

   Para obter mais informações sobre o elemento **Condição**, consulte [Elementos de política JSON do IAM: Condition](reference_policies_elements_condition.md) no [Referência de política JSON do IAM](reference_policies.md).

1. Para adicionar mais blocos de permissão, escolha **Adicionar mais permissões**. Para cada bloco, repita as etapas de 2 a 5.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opcional) Ao criar ou editar uma política no Console de gerenciamento da AWS, você pode gerar um modelo de política JSON ou YAML que pode ser usado em modelos do CloudFormation.

   Para isso, no **editor de políticas**, escolha **Ações** e depois escolha **Gerar modelo do CloudFormation**. Para saber mais sobre o CloudFormation, consulte [Referência de tipos de recurso do AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) no Guia do usuário do AWS CloudFormation.

1. Quando terminar de adicionar as permissões à política, escolha **Avançar**.

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ter certeza de que você concedeu as permissões que pretendia. 

1. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

1. Escolha **Criar política** para salvar sua nova política.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

## Importar políticas gerenciadas existentes
<a name="access_policies_create-copy"></a>

Uma maneira fácil de criar uma nova política é importar uma política gerenciada existente para sua conta que tenha pelo menos algumas das permissões de que você precisa. Em seguida, você pode personalizar a política de acordo seus novos requisitos.

Não é possível importar uma política em linha. Para saber mais sobre a diferença entre políticas gerenciadas e em linha, consulte [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md).

**Para importar uma política gerenciada existente no editor visual**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Em **Editor de políticas**, escolha **Visual** e depois, no lado direito da página, escolha **Ações** e depois **Importar política**.

1. Na janela **Importar política**, escolha as políticas gerenciadas que mais se aproximam da política que você deseja incluir na nova política. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

1. Escolha **Importar política**.

   As políticas importadas são adicionadas em novos blocos de permissões na parte inferior da política.

1. Use o **Editor visual** ou escolha **JSON** para personalizar a política. Escolha **Próximo**.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Você não poderá editar essas configurações mais tarde. Revise **Permissões definidas nessa política** e depois escolha **Criar política** para salvar seu trabalho.

**Para importar uma política gerenciada existente no editor **JSON****

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Na seção **Editor de políticas**, escolha a opção **JSON** e depois, no lado direito da página, escolha **Ações** e depois **Importar política**.

1. Na janela **Importar política**, escolha as políticas gerenciadas que mais se aproximam da política que você deseja incluir na nova política. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

1. Escolha **Importar política**.

   As instruções das políticas importadas são adicionadas na parte inferior da sua política JSON.

1. Personalize a política em JSON. Resolva os avisos de segurança, as mensagens erros ou os avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md), e depois escolha **Próximo**. Ou personalize sua política no **Visual editor** (Editar visual). Escolha **Próximo**.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Você não poderá editá-los mais tarde. Revise **Permissões definidas nessa política** e escolha **Criar política** para salvar seu trabalho.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

# Criar políticas do IAM (AWS CLI)
<a name="access_policies_create-cli"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. Você pode usar a AWS CLI para criar *políticas gerenciadas pelo cliente* no IAM. Políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Como [prática recomendada](best-practices.md), recomendamos que você use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais. Ao [validar suas políticas](access_policies_policy-validator.md), você pode resolver quaisquer erros ou recomendações antes de anexá-las às identidades (usuários, grupos e perfis) na sua Conta da AWS.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

## Criação de políticas do IAM (AWS CLI)
<a name="create-policies-cli-api"></a>

Você pode criar uma política do IAM gerenciada pelo cliente ou uma política em linha usando a AWS Command Line Interface (AWS CLI). 

**Para criar uma política gerenciada pelo cliente (AWS CLI)**  
Use o seguinte comando:
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**Como criar uma política em linha em uma identidade do IAM (usuário, grupo ou função) (AWS CLI)**  
Use um dos seguintes comandos:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**nota**  
Não é possível usar o IAM para incorporar uma política em linha para uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*.

**Para validar uma política gerenciada pelo cliente (AWS CLI)**  
Use o seguinte comando do IAM Access Analyzer:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Criar políticas do IAM (API da AWS)
<a name="access_policies_create-api"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. Você pode usar a API da AWS para criar *políticas gerenciadas pelo cliente* no IAM. Políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Como [prática recomendada](best-practices.md), recomendamos que você use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais. Ao [validar suas políticas](access_policies_policy-validator.md), você pode resolver quaisquer erros ou recomendações antes de anexá-las às identidades (usuários, grupos e perfis) na sua Conta da AWS.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

## Como criar políticas do IAM (API da AWS)
<a name="create-policies-api"></a>

Você pode criar uma política gerenciada pelo cliente do IAM ou uma política em linha usando a API da AWS.

**Para criar uma política gerenciada pelo cliente (API da AWS)**  
Chame a seguinte operação:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Para criar uma política em linha para uma identidade do IAM (usuário, grupo ou função) (API da AWS)**  
Chame uma das seguintes operações:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**nota**  
Não é possível usar o IAM para incorporar uma política em linha para uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*.

**Para validar uma política gerenciada pelo cliente (API da AWS)**  
Chame a seguinte operação do IAM Access Analyzer:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Validação de política do IAM
<a name="access_policies_policy-validator"></a>

Uma [política](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html) é um documento JSON que usa a [gramática de política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html). Quando você anexa uma política a uma entidade do IAM, como um usuário, um grupo ou uma função, ela concede permissões a essa entidade.

Quando você cria ou edita políticas de controle de acesso do IAM usando o Console de gerenciamento da AWS, a AWS as analisa automaticamente para garantir que estejam em conformidade com a gramática de política do IAM. Se a AWS determinar que uma política não está em conformidade com a gramática, ela solicitará que você corrija a política.

O IAM Access Analyzer fornece verificações de política adicionais com recomendações para ajudar você a refinar ainda mais a política. Para saber mais sobre as verificações de política do IAM Access Analyzer e as recomendações práticas, consulte [Validação de política do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). Para visualizar uma lista dos avisos, erros e sugestões retornados pelo IAM Access Analyzer, consulte [ Referência de verificação de política do Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

**Escopo da validação**  
A AWS verifica a sintaxe e a gramática da política JSON. Ela também verifica se seus ARNs estão formatados corretamente e se os nomes de ação e as chaves de condição estão corretos.

**Acesso à validação de política**  
As políticas são validadas automaticamente quando você cria uma política JSON ou edita uma política existente no Console de gerenciamento da AWS. Se a sintaxe da política não for válida, você receberá uma notificação e deverá corrigir o problema antes de continuar. As descobertas da validação da política do IAM Access Analyzer são retornadas automaticamente no Console de gerenciamento da AWS se você tiver permissões para `access-analyzer:ValidatePolicy`. Você também pode validar políticas usando a API da AWS ou a AWS CLI.

**Políticas existentes**  
Você pode ter políticas existentes que não são válidas porque foram criadas ou salvas pela última vez antes das atualizações mais recentes do mecanismo de política. Como [prática recomendada](best-practices.md), recomendamos que você use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais. Recomendamos que você abra suas políticas existentes e analise os resultados da validação da política que são gerados. Você não pode editar e salvar as políticas existentes sem corrigir erros de sintaxe da política.

# Testar políticas do IAM com o simulador de políticas do IAM
<a name="access_policies_testing-policies"></a>

Para obter mais informações sobre como e por que usar políticas do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).

**É possível acessar o console do simulador de política do IAM em: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/)**

**Importante**  
Os resultados do simulador de políticas podem ser diferentes do seu ambiente da AWS ativo. Recomendamos comparar suas políticas em relação ao seu ambiente da AWS ativo depois de testar usando o simulador de políticas para confirmar que obteve os resultados desejados. Para obter mais informações, consulte [Como o simulador de políticas do IAM funciona](#policies_policy-simulator-how-it-works).

 

Com o simulador de políticas do IAM, é possível testar e solucionar problemas de políticas baseadas em identidade e limites de permissões do IAM. Veja algumas ações comuns que você pode executar com o simulador de políticas:
+ Teste as políticas baseadas em identidade anexadas aos usuários, perfis ou grupos do IAM da sua Conta da AWS. Se mais de uma política estiver anexada ao usuário, grupo de usuários ou função, você pode testar todas as políticas ou selecionar políticas individuais para testar. É possível testar quais ações são permitidas ou negadas pelas políticas selecionadas para recursos específicos.
+ Teste e solucione o problema do efeito dos [limites de permissões](access_policies_boundaries.md) em entidades do IAM. É possível simular somente um limite de permissões por vez.
+ Teste os efeitos de políticas baseadas em recursos em usuários do IAM que estão anexadas aos recursos da AWS, como buckets do Amazon S3, filas do Amazon SQS, tópicos do Amazon SNS ou cofres do Amazon Glacier. Para usar uma política baseada em recursos no simulador de políticas para usuários do IAM, você deve incluir o recurso na simulação. Você também deve marcar a caixa de seleção para incluir a política desse recurso na simulação.
**nota**  
A simulação de políticas baseadas em recursos não é compatível com perfis do IAM.
+ Se a sua Conta da AWS for membro de uma organização no [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), você poderá testar o impacto das políticas de controle de serviços (SCPs) em suas políticas baseadas em identidade.
**nota**  
O simulador de políticas não avalia SCPs que tenham alguma condição.
+ Teste novas políticas baseadas em identidade que ainda não foram anexadas a um usuário, grupo de usuários ou perfil digitando-as ou copiando-as no simulador. Elas são usadas apenas na simulação e não são salvas. Não é possível digitar nem copiar uma política baseada em recursos no simulador de políticas.
+ Teste as políticas baseadas em identidade com serviços, ações e recursos selecionados. Por exemplo, você pode testar para garantir que sua política permita que uma entidade execute as ações `ListAllMyBuckets`, `CreateBucket` e `DeleteBucket` no serviço Amazon S3 em um bucket específico.
+ Simule cenários reais fornecendo chaves de contexto, como um endereço IP ou uma data, que estão incluídas em elementos `Condition` nas políticas que estão sendo testadas.
**nota**  
O simulador de políticas não simulará as etiquetas fornecidas como entrada se a política baseada em identidade na simulação não tiver um elemento `Condition` que verifique explicitamente as etiquetas.
+ Identifique a instrução específica em uma política baseada em identidade que resulta na permissão ou negação de acesso a determinado recurso ou ação. 

**Topics**
+ [Como o simulador de políticas do IAM funciona](#policies_policy-simulator-how-it-works)
+ [Permissões necessárias para usar o simulador de políticas do IAM](#permissions-required_policy-simulator)
+ [Uso do simulador de políticas do IAM (console)](#policies_policy-simulator-using)
+ [Uso do simulador de políticas do IAM (AWS CLI e API da AWS)](#policies-simulator-using-api)

## Como o simulador de políticas do IAM funciona
<a name="policies_policy-simulator-how-it-works"></a>

O simulador de políticas avalia as declarações na política baseada em identidade e as entradas fornecidas durante a simulação. Os resultados do simulador de políticas podem ser diferentes do seu ambiente da AWS ativo. Recomendamos comparar suas políticas em relação ao seu ambiente da AWS ativo depois de testar usando o simulador de políticas para confirmar que obteve os resultados desejados.

O simulador de políticas difere do ambiente de produção da AWS das seguintes formas: 
+ Como o simulador de políticas não faz uma solicitação de serviço da AWS real, você pode testar com segurança as solicitações que podem fazer alterações indesejadas em seu ambiente de produção da AWS. O simulador de políticas não leva em consideração os principais valores do contexto real na produção.
+ Como o simulador de políticas não simula a execução das ações selecionadas, ele não pode relatar nenhuma resposta à solicitação simulada. O único resultado retornado é se a ação solicitada seria permitida ou negada.
+ Se você editar uma política no simulador, essas alterações afetarão apenas o simulador de políticas. A política correspondente em sua Conta da AWS permanecerá inalterada.
+ Não é possível testar políticas de controle de serviço (SCPs) com qualquer condição.
+ O simulador de políticas não oferece suporte à simulação de políticas de controle de recursos (RCPs).
+ O simulador de políticas não oferece suporte à simulação de perfis e usuários do IAM para acesso entre contas.

**nota**  
O simulador de políticas do IAM não determina quais serviços oferecem suporte a [chaves de condição globais](reference_policies_condition-keys.md) para autorização. Por exemplo, o simulador de políticas não identifica quando um serviço não oferece suporte a [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys).

## Permissões necessárias para usar o simulador de políticas do IAM
<a name="permissions-required_policy-simulator"></a>

É possível usar o console ou a API do simulador de políticas para testar políticas. Por padrão, os usuários do console podem testar políticas que ainda não foram anexadas a um usuário, grupo de usuários ou perfil digitando-as ou copiando-as no console do simulador de políticas. Essas políticas são usadas apenas na simulação e não divulgam informações confidenciais. Os usuários da API devem ter permissões para testar políticas não anexadas. É possível permitir que usuários do console ou da API testem as políticas anexadas a perfis, usuários ou grupos do IAM da sua Conta da AWS. Para fazer isso, você deve conceder a permissão para recuperar essas políticas. Para testar políticas baseadas em recursos, os usuários devem ter permissão para recuperar a política do recurso.

Para obter exemplos de políticas do console e da API que permitem a um usuário simular políticas, consulte [Exemplo de políticas do AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

### Permissões necessárias para usar o console do simulador de políticas
<a name="permissions-required_policy-simulator-console"></a>

É possível permitir que os usuários testem as políticas anexadas aos perfis, usuários ou grupos do IAM da sua Conta da AWS. Para fazer isso, você deve conceder aos usuários permissões para recuperar essas políticas. Para testar políticas baseadas em recursos, os usuários devem ter permissão para recuperar a política do recurso.

Para visualizar uma política de exemplo que permita usar o console do simulador de políticas para políticas anexadas a um usuário, grupo de usuários ou função, consulte [IAM: acessar o console do simulador de política](reference_policies_examples_iam_policy-sim-console.md). 

Para visualizar um exemplo de política que permita o uso do console do simulador de políticas somente para os usuários com um caminho específico, consulte [IAM: acessar o console do simulador de políticas com base no caminho do usuário](reference_policies_examples_iam_policy-sim-path-console.md).

Para criar uma política para permitir o uso do console do simulador de políticas para apenas um tipo de entidade, use os seguintes procedimentos.

**Para permitir que os usuários do console simulem políticas para os usuários**  
Inclua as seguintes ações em sua política:
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`

**Para permitir que os usuários do console simulem políticas para os grupos do IAM**  
Inclua as seguintes ações em sua política:
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`

**Para permitir que os usuários do console simulem políticas para funções**  
Inclua as seguintes ações em sua política:
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`

Para testar políticas baseadas em recursos, os usuários devem ter permissão para recuperar a política do recurso.

**Para permitir que usuários do console testem políticas baseadas em recurso em um bucket do Amazon S3**  
Inclua a seguinte ação em sua política:
+ `s3:GetBucketPolicy`

Por exemplo, a política a seguir usa essa ação para permitir que os usuários do console simulem uma política baseada em recurso em um bucket específico do Amazon S3.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }
```

------

### Permissões necessárias para usar a API do simulador de políticas
<a name="permissions-required_policy-simulator-api"></a>

As operações de API do simulador de políticas [GetContextKeyForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForCustomPolicy.html) e [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html) permitem testar as políticas que ainda não estão anexadas a um usuário, um grupo de usuários ou uma função. Para testar essas políticas, passe as políticas como strings para a API. Essas políticas são usadas apenas na simulação e não divulgam informações confidenciais. Você também pode usar a API para testar as políticas anexadas aos perfis, usuários, grupos do IAM da sua Conta da AWS. Para fazer isso, é necessário conceder aos usuários permissões para chamar [GetContextKeyForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForPrincipalPolicy.html) e [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html).

Para visualizar um exemplo de política que permite usar a API do simulador de políticas para políticas anexadas e não anexadas na Conta da AWS atual, consulte [IAM: acessar a API do simulador de política](reference_policies_examples_iam_policy-sim.md). 

Para criar uma política para permitir o uso da API do simulador de políticas para apenas um tipo de política, use os seguintes procedimentos.

**Para permitir que os usuários da API simulem políticas transmitidas diretamente para a API como strings**  
Inclua as seguintes ações em sua política:
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`

**Para permitir que os usuários da API simulem as políticas anexadas aos usuários, grupos, perfis ou recursos do IAM**  
Inclua as seguintes ações em sua política:
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`

Por exemplo, para fornecer a um usuário chamado Bob permissão para simular uma política atribuída a uma usuária chamada Alice, conceda ao Bob acesso ao seguinte recurso: `arn:aws:iam::777788889999:user/alice`. 

Para visualizar um exemplo de política que permita o uso da API do simulador de políticas somente para os usuários com um caminho específico, consulte [IAM: acessar a API do simulador de política com base no caminho do usuário](reference_policies_examples_iam_policy-sim-path.md).

## Uso do simulador de políticas do IAM (console)
<a name="policies_policy-simulator-using"></a>

Por padrão, os usuários podem testar políticas que ainda não foram anexadas a um usuário, grupo de usuários ou função digitando-as ou copiando-as no console do simulador de políticas. Essas políticas são usadas apenas na simulação e não divulgam informações confidenciais. 

**Como testar uma política que não está anexada a um usuário, grupo de usuários ou uma função (console)**

1. Abra o console do simulador de política do IAM em: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. No menu **Modo:** na parte superior da página, escolha **Nova política**.

1. Na **Sandbox de políticas**, selecione **Criar nova política**.

1. Digite ou copie uma política no simulador de políticas e use o simulador de políticas, como descrito nas etapas a seguir.

Depois de ter permissão para usar o console do simulador de políticas do IAM, você poderá usar o simulador de políticas para testar um usuário, um grupo de usuários, um perfil ou uma política de recursos do IAM.

**Para testar uma política que está anexada a um usuário, grupo de usuários ou função (console)**

1. Abra o console do simulador de política do IAM em [ https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). 
**nota**  
Para fazer login no simulador de políticas como um usuário do IAM, use o URL de login exclusivo para fazer login no Console de gerenciamento da AWS. Em seguida, vá para [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). Para obter mais informações sobre como fazer login como usuário do IAM, consulte [Como os usuários do IAM fazem login na AWS](id_users_sign-in.md).

   O simulador de políticas é aberto no modo **Existing Policies** (Políticas existentes) e lista os usuários do IAM em sua conta em **Users, Groups, and Roles** (Usuários, grupos e perfis).

1. <a name="polsimstep-selectid"></a>Escolha a opção apropriada para sua tarefa:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/access_policies_testing-policies.html)
**Dica**  
Para testar uma política anexada ao grupo de usuários, você pode iniciar o simulador de políticas do IAM diretamente do [console do IAM](https://console.aws.amazon.com/iam/): no painel de navegação, escolha **User groups** (Grupos de usuários). Escolha o nome do grupo no qual você deseja testar uma política e, em seguida, selecione a guia **Permissões**. Escolha **Simulate** (Simular).  
Para testar uma política gerenciada pelo cliente que esteja anexada a um usuário: no painel de navegação, escolha **Usuários**. Escolha o nome do usuário no qual deseja testar uma política. Em seguida, selecione a guia **Permissões** e expanda a política que você deseja testar. À direita, escolha **Simular política**. O **IAM Policy Simulator** (Simulador de políticas do IAM) é aberto em uma nova janela e exibe a política selecionada no painel **Policies** (Políticas).

1. (Opcional) Se sua conta for membro de uma organização no [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), marque a caixa de seleção ao lado de **SCPs do AWS Organizations** para incluir SCPs em sua avaliação simulada. SCPs são políticas JSON que especificam o máximo de permissões para uma organização ou unidade organizacional (UO). O SCP limita as permissões para entidades em contas-membro. Se um bloco de SCP bloquear um serviço ou uma ação, nenhuma entidade na conta em questão poderá acessar esse serviço nem executar essa ação. Isso é verdadeiro mesmo que um administrador conceda permissões explicitamente a esse serviço ou ação por meio de uma política de recurso ou do IAM. 

   Se sua conta não for membro de uma organização, a caixa de seleção não será exibida.

1. (Opcional) Você também pode testar uma política definida como um [limite de permissões](access_policies_boundaries.md) para uma entidade do IAM (usuário ou perfil), mas não para grupos do IAM. Se uma política de limite de permissões estiver atualmente definida para a entidade, ela aparecerá no painel **Policies (Políticas)** . É possível definir apenas um limite de permissões para uma entidade. Para testar um limite de permissões diferente, é possível criar um limite de permissões personalizado. Para fazer isso, escolha **Create New Policy (Criar nova política)**. Um novo painel **Policies (Políticas)** é aberto. No menu, escolha **Custom IAM Permissions Boundary Policy (Política de limite de permissões do IAM personalizado)**. Insira um nome para a nova política e digite ou copie uma política no espaço abaixo. Escolha **Apply (Aplicar)** para salvar a política. Depois, escolha **Back (Voltar)** para retornar ao painel **Policies (Políticas)** original. Marque a caixa de seleção ao lado do limite de permissões que deseja usar para a simulação. 

1. <a name="polsimstep-polsubset"></a>(Opcional) É possível testar apenas um subconjunto de políticas anexadas a um usuário, grupo de usuários ou função. Para fazer isso, no painel **Políticas**, desmarque a caixa de seleção ao lado de cada política que deseja excluir.

1. <a name="polsimstep-service"></a>Em **Simulador de políticas**, escolha **Selecionar serviço** e, em seguida, o serviço a ser testado. Em seguida, escolha **Selecionar ações** e escolha uma ou mais ações a serem testadas. Embora os menus mostrem as seleções disponíveis somente para um serviço por vez, todos os serviços e ações que você selecionou aparecerão em **Configurações e resultados da ação**. 

1. (Opcional) Se alguma das políticas que você escolher em [Step 2](#polsimstep-selectid) e [Step 5](#polsimstep-polsubset) incluir condições com [*chaves de condições globais* da AWS](reference_policies_condition-keys.md), forneça valores para essas chaves. É possível fazer isso expandindo a seção **Configurações globais** e digitando valores para os nomes de chaves exibidos.
**Atenção**  
Se você deixar o valor para uma chave de condição vazio, essa chave será ignorada durante a simulação. Em alguns casos, isso resulta em um erro e a simulação não é executada. Em outros casos, a simulação é executada, mas os resultados talvez não sejam confiáveis. Nesses casos, a simulação não corresponde às condições reais que incluem um valor para a chave de condição ou a variável.

1. (Opcional) Cada ação selecionada aparece na lista **Configurações e resultados da ação** com **Não simulado** mostrado na coluna **Permissão** até que você realmente execute a simulação. Antes de executar a simulação, você pode configurar cada ação com um recurso. Para configurar ações individuais para um cenário específico, escolha a seta para expandir a linha da ação. Se a ação for compatível com permissões no nível do recurso, você poderá digitar o [nome de recurso da Amazon (ARN)](reference_identifiers.md#identifiers-arns) do recurso específico cujo acesso você deseja testar. Por padrão, cada recurso é definido como um caractere curinga (\$1). Você também pode especificar um valor para qualquer [chave de contexto de condição](reference_policies_actions-resources-contextkeys.html). Conforme mencionado anteriormente, as chaves com valores vazios são ignoradas, o que pode causar falhas na simulação ou resultados não confiáveis.

   1. Escolha a seta ao lado do nome da ação para expandir cada linha e configure todas as informações adicionais necessárias para simular de forma precisa a ação em seu cenário. Se a ação exigir permissões no nível do recurso, você poderá digitar o [nome de recurso da Amazon (ARN)](reference_identifiers.md#identifiers-arns) do recurso específico ao qual deseja simular o acesso. Por padrão, cada recurso é definido como um caractere curinga (\$1).

   1. Se a ação der suporte às permissões no nível do serviço, mas não precisar delas, selecione **Adicionar recurso** para selecionar o tipo de recurso que você deseja adicionar à simulação. 

   1. Se qualquer uma das políticas selecionadas incluir um elemento `Condition` que faz referência a uma chave de contexto para o serviço dessa ação, esse nome de chave será exibido abaixo da ação. É possível especificar o valor a ser usado durante a simulação dessa ação para o recurso especificado.
<a name="resource-scenarios"></a>
**Ações que exigem grupos de tipos de recursos diferentes**  
Algumas ações exigem tipos de recursos diferentes em circunstâncias diferentes. Cada grupo de tipos de recursos está associado a um cenário. Se um deles se aplicar a sua simulação, selecione-o, e o simulador de política exigirá os tipos de recursos apropriados para esse cenário. A lista a seguir mostra cada uma das opções de cenário com suporte e os recursos que você deve definir para executar a simulação.

   Cada um dos seguintes cenários do Amazon EC2 a seguir exige que você especifique os recursos `instance`, `image` e `security-group`. Se o seu cenário incluir um volume do EBS, especifique esse `volume` como um recurso. Se o cenário do Amazon EC2 incluir uma Virtual Private Cloud (VPC), forneça o recurso `network-interface`. Se ele incluir uma sub-rede IP, especifique o recurso `subnet`. Para obter mais informações sobre as opções de cenário do Amazon EC2, consulte [Plataformas com suporte](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html) no *Guia do usuário do Amazon EC2*.
   + **EC2-VPC-InstanceStore**

     instância, imagem, security-group, interface de rede
   + **EC2-VPC-InstanceStore-Subnet**

     instância, imagem, security-group, interface de rede, sub-rede
   + **EC2-VPC-EBS**

     instância, imagem, security-group, interface de rede, volume
   + **EC2-VPC-EBS-Subnet**

     instância, imagem, security-group, interface de rede, sub-rede, volume

1. <a name="polsimstep-respol"></a>(Opcional) Se você deseja incluir uma política com base em recursos em sua simulação, primeiro selecione as ações que você deseja simular nesse recurso em [Step 6](#polsimstep-service). Expanda as linhas das ações selecionadas e digite o nome de recurso da Amazon (ARN) do recurso com uma política que você deseja simular. Em seguida, selecione **Incluir política de recursos** ao lado da caixa de texto **nome de recurso da Amazon (ARN)**. O simulador de políticas do IAM atualmente oferece suporte a políticas baseadas em recurso apenas dos seguintes serviços: Amazon S3 (apenas políticas baseadas em recurso; ACLs não são compatíveis no momento), Amazon SQS, Amazon SNS e cofres desbloqueados do Amazon Glacier (cofres bloqueados não têm suporte no momento).

1. Escolha **Executar simulação** no canto superior direito.

   A coluna **Permissão** em cada linha de **Configurações e resultados da ação** exibe o resultado da simulação dessa ação no recurso especificado.

1. Para ver qual instrução em uma política permitiu ou negou explicitamente uma ação, selecione o link ***N* instruções correspondentes** na coluna **Permissões** para expandir a linha. Em seguida, escolha o link **Mostrar instrução**. O painel **Política** mostra a política relevante com a instrução que afetou o resultado realçado da simulação.
**nota**  
Se uma ação for *implicitamente* negada, ou seja, se a ação for negada apenas porque não é explicitamente permitida, as opções **List** (Listar) e **Mostrar instrução** não são exibidas.

### Solução de problemas em mensagens do console do simulador de políticas do IAM
<a name="iam-policy-simulator-messages"></a>

A tabela a seguir lista as mensagens informativas e de aviso que você pode encontrar ao usar o simulador de políticas do IAM. A tabela também fornece as etapas necessárias para solucioná-los. 


****  

| Mensagem | Etapas para solução de problemas | 
| --- | --- | 
| Esta política foi editada. As alterações não serão salvas na sua conta.  |   **Nenhuma ação necessária.**  Essa mensagem é apenas informativa. Se você editar uma política existente no simulador de políticas do IAM, a alteração não afetará sua Conta da AWS. O simulador de políticas permite fazer alterações nas políticas apenas para fins de teste.  | 
| Não é possível obter o recurso de política. Motivo: mensagem de erro detalhada | O simulador de políticas não é capaz de acessar uma política baseada em recursos solicitada. Certifique-se de que o nome de recurso da Amazon (ARN) esteja correto e que o usuário que executa a simulação tenha permissão para ler a política do recurso. | 
| Uma ou mais políticas exigem valores nas configurações da simulação. Sem esses valores, poderá ocorrer falha na simulação.  |  Essa mensagem será exibida se a política que você está testando contiver chaves de condição ou variáveis, mas não tiver fornecido os valores para essas chaves ou variáveis em **Configurações da simulação**. Para ignorar essa mensagem, escolha **Simulation Settings (Configurações da simulação)** e insira um valor para cada chave de condição ou variável.  | 
| Você alterou políticas. Esses resultados não são mais válidos.  |  Essa mensagem será exibida se você tiver alterado a política selecionada durante a exibição dos resultados no painel **Resultados**. Os resultados mostrados no painel **Resultados** não são atualizados dinamicamente. Para ignorar essa mensagem, escolha **Executar simulação** novamente para exibir novos resultados da simulação com base nas alterações efetuadas no painel **Políticas**.  | 
| O recurso que você digitou para essa simulação não corresponde a esse serviço.  |  Essa mensagem será exibida se você tiver digitado um nome de recurso da Amazon (ARN) no painel **Configurações da simulação** que não corresponda ao serviço que você escolheu para a simulação atual. Por exemplo, esta mensagem aparece se você especificar um ARN para um recurso do Amazon DynamoDB, mas escolher o Amazon Redshift como o serviço a ser simulado. Para ignorar essa mensagem, faça o seguinte:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/access_policies_testing-policies.html)  | 
| Esta ação pertence a um serviço que oferece suporte a mecanismos especiais de controle de acesso, além de políticas baseadas em recurso, como ACLs do Amazon S3 ou políticas de bloqueio de cofre do Amazon Glacier. O simulador de políticas não dá suporte a esses mecanismos, portanto, os resultados podem ser diferentes de seu ambiente de produção.  |   **Nenhuma ação necessária.**  Essa mensagem é apenas informativa. Na versão atual, o simulador de política avalia as políticas anexadas aos usuários e grupos do IAM, e pode avaliar políticas baseadas em recursos para o Amazon S3, o Amazon SQS, o Amazon SNS e o Amazon Glacier. O simulador de políticas não dá suporte a todos os mecanismos de controle de acesso suportados por outros serviços da AWS.  | 
| Atualmente o DynamoDB FGAC não tem suporte.  |   **Nenhuma ação necessária.**  Essa mensagem informativa se refere a um *controle de acesso granular*. O controle de acesso refinado é a capacidade de usar condições da política do IAM para determinar quem pode acessar itens de dados individuais e atributos em tabelas e índices do DynamoDB. Isso também se refere às ações que podem ser executadas em tais tabelas e índices. A versão atual do simulador de políticas do IAM não oferece suporte a esse tipo de condição de política. Para obter mais informações sobre o controle de acesso refinado do DynamoDB, consulte [Controle de acesso refinado do DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html).  | 
| Você tem políticas que não estão em conformidade com a sintaxe da política. É possível usar a validação de política para revisar as atualizações recomendadas para suas políticas.  |  Essa mensagem aparecerá na parte superior da lista de políticas se você tiver políticas que não estejam em conformidade com a gramática das políticas do IAM. Para simular essas políticas, revise as opções de validação de política em [Validação de política do IAM](access_policies_policy-validator.md) para identificar e corrigir essas políticas.  | 
|  Essa política deve ser atualizada para seguir as regras de sintaxe de política mais recentes.  |  Essa mensagem será exibida se você tiver políticas que não estejam em conformidade com a gramática das políticas do IAM. Para simular essas políticas, revise as opções de validação de política em [Validação de política do IAM](access_policies_policy-validator.md) para identificar e corrigir essas políticas.  | 

## Uso do simulador de políticas do IAM (AWS CLI e API da AWS)
<a name="policies-simulator-using-api"></a>

Em geral, os comandos do simulador de políticas exigem chamar operações de API para fazer duas coisas:

1. Avaliar as políticas e retornar a lista de chaves de contexto às quais elas fazem referência. Você precisa saber quais chaves de contexto são referenciadas para poder fornecer valores para elas na próxima etapa.

1. Simular as políticas, fornecendo uma lista de ações, recursos e chaves de contexto usados durante a simulação.

Por motivos de segurança, as operações de API foram divididas em dois grupos:
+ Operações de API que simulam apenas as políticas que são transmitidas diretamente para a API como strings. Esse conjunto inclui [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) e [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html).
+ Operações de API que simulam as políticas anexadas a um usuário, grupo de usuários, função ou recurso especificado do IAM. Como essas operações de API podem revelar detalhes de permissões atribuídas a outras entidades do IAM, você deve considerar a restrição do acesso a essas operações de API. Esse conjunto inclui [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html) e [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html). Para obter mais informações sobre como restringir o acesso a operações de API, consulte [Exemplo de políticas do AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

Nos dois casos, as operações de API simulam o efeito de uma ou mais políticas em uma lista de ações e recursos. Cada ação é combinada com cada recurso, e a simulação determina se as políticas permitem ou negam essa ação para esse recurso. Você também pode fornecer valores para qualquer chave de contexto referenciada por suas políticas. É possível obter a lista de chaves de contexto às quais as políticas fazem referência primeiro chamando [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) ou [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html). Se você não fornecer um valor para uma chave de contexto, a simulação ainda será executada. No entanto, os resultados podem não ser confiáveis porque o simulador de políticas não pode incluir essa chave de contexto na avaliação.

**Para obter a lista de chaves de contexto (AWS CLI, API da AWS)**  
Use o seguinte para avaliar uma lista de políticas e retornar uma lista de chaves de contexto que são usadas nas políticas.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) e [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ API da AWS: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)

**Para simular políticas do IAM (AWS CLI API da AWS)**  
Use o seguinte para simular políticas do IAM para determinar as permissões em vigor de um usuário.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) e [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ API da AWS: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

# Adicionar e remover permissões de identidade do IAM
<a name="access_policies_manage-attach-detach"></a>

Use políticas para definir as permissões para uma identidade (usuário, grupo de usuários ou função). Você pode adicionar e remover permissões anexando e desvinculando políticas do IAM em uma identidade usando o Console de gerenciamento da AWS, o AWS Command Line Interface (AWS CLI) ou a API da AWS. Você também pode usar políticas para definir [limites de permissões](access_policies_boundaries.md) apenas para as entidades (usuários ou perfis) que estejam usando os mesmos métodos. Os limites de permissões são um recurso da AWS avançado que controla o número máximo de permissões que uma entidade pode ter.

**Topics**
+ [Terminologia](#attach-detach-etc-terminology)
+ [Visualizar atividade da identidade](#attach-detach_prerequisites)
+ [Adicionar permissões de identidade do IAM (console)](#add-policies-console)
+ [Remover permissões de identidade do IAM (console)](#remove-policies-console)
+ [Adição de políticas do IAM (AWS CLI)](#add-policy-cli)
+ [Remoção de políticas do IAM (AWS CLI)](#remove-policy-cli)
+ [Adição de políticas do IAM (API da AWS)](#add-policy-api)
+ [Remoção de políticas do IAM (API da AWS)](#remove-policy-api)

## Terminologia
<a name="attach-detach-etc-terminology"></a>

Quando você associa políticas de permissões a identidades (usuários, grupos e perfis do IAM), a terminologia e os procedimentos variam dependendo de estar trabalhando com uma política gerenciada ou uma política em linha:
+ **Anexar**: usada com políticas gerenciadas. Você anexa uma política gerenciada a uma identidade (usuário, grupo de usuários ou função). A anexação de uma política aplica as permissões da política à identidade.
+ **Desvincular**: usada com políticas gerenciadas. Você desvincula uma política gerenciada de uma identidade do IAM (usuário, grupo de usuários ou função). A desanexação de uma política remove as permissões da identidade.
+ **Incorporar**: usada com políticas em linha. Você incorpora uma política em linha em uma identidade (usuário, grupo de usuários ou função). A incorporação de uma política aplica as permissões da política na identidade. Como uma política em linha é armazenada na identidade, ela é incorporada em vez de anexada, embora os resultados sejam semelhantes.
**nota**  
É possível incorporar uma política em linha para uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)* somente no serviço que depende da função. Consulte a [Documentação da AWS](https://docs.aws.amazon.com/) do seu serviço para saber se é compatível com esse recurso.
+ **Excluir**: usada com políticas em linha. Você exclui uma política em linha de uma identidade (usuário, grupo de usuários ou função) do IAM. A exclusão de uma política remove as permissões da identidade.
**nota**  
É possível excluir uma política em linha de uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)* somente no serviço que depende da função. Consulte a [Documentação da AWS](https://docs.aws.amazon.com/) do seu serviço para saber se é compatível com esse recurso.

Você pode usar o console, a AWS CLI ou a API da AWS para realizar qualquer uma dessas ações.

### Mais informações
<a name="terminology-more-info-roles-policies"></a>
+ Para obter mais informações sobre a diferença entre políticas gerenciadas e em linha, consulte [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md). 
+ Para obter mais informações sobre esses limites de permissões, consulte [Limites de permissões para entidades do IAM](access_policies_boundaries.md).
+ Para obter informações gerais sobre políticas do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).
+ Para obter informações sobre como validar as políticas do IAM, consulte [Validação de política do IAM](access_policies_policy-validator.md).
+ O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

## Visualizar atividade da identidade
<a name="attach-detach_prerequisites"></a>

Antes de alterar as permissões para uma identidade (usuário, grupo de usuários ou função), você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Adicionar permissões de identidade do IAM (console)
<a name="add-policies-console"></a>

Você pode usar a Console de gerenciamento da AWS para adicionar permissões a uma identidade (usuário, grupo de usuários ou função). Para isso, anexe políticas gerenciadas que controlem permissões ou especifique uma política que sirva como um [limite de permissões](access_policies_boundaries.md). Você também pode incorporar uma política em linha.<a name="access_policies_manage-attach-detach-console"></a>

**Para usar uma política gerenciada como uma política de permissões para uma identidade (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**. 

1. Na lista de políticas, selecione o botão de seleção ao lado do nome da política a ser anexada. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

1. Escolha **Actions** (Ações) e **Attach** (Anexar).

1. Selecione uma ou mais identidades às quais deseja anexar a política. Você pode usar a caixa de pesquisa para filtrar a lista de entidades de segurança. Depois de selecionar as identidades, escolha **Anexar política**.<a name="set-managed-policy-boundary-console"></a>

**Para usar uma política gerenciada para definir um limite de permissões (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**. 

1. Na lista de políticas, escolha o nome da política a ser definida. É possível usar a caixa de pesquisa para filtrar a lista de políticas.

1. Na página de detalhes da política, escolha a guia **Entidades anexadas ** e, se necessário, abra a seção **Anexadas como limites de permissões** e escolha **Definir essa política como um limite de permissões**.

1. Selecione um ou mais usuários ou funções nos quais usar a política para um limite de permissões. Você pode usar a caixa de pesquisa para filtrar a lista de entidades de segurança. Após selecionar as entidades principais, escolha **Definir limite de permissões**.<a name="embed-inline-policy-console"></a>

**Para incorporar uma política em linha de um usuário ou uma função (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Usuários** ou **Funções**.

1. Na lista, selecione o nome do grupo, do usuário ou da função para incorporar uma política.

1. Escolha a aba **Permissões**. 

1. Escolha **Adicionar permissões** e depois **Criar política em linha**.

    
**nota**  
Você não pode incorporar uma política em linha em uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)* no IAM. Como o serviço vinculado determina se as permissões da função podem ou não ser modificadas, você pode adicionar políticas adicionais do console de serviço, da API ou da AWS CLI. Para visualizar a documentação da função vinculada ao serviço para um serviço, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md) e selecione **Sim** na coluna **Função vinculada ao serviço** para o seu serviço.

1. Selecione um dos seguintes métodos para visualizar as etapas necessárias para criar a política:
   + [Importar políticas gerenciadas existentes](access_policies_create-console.md#access_policies_create-copy): você pode importar uma política gerenciada para sua conta e, em seguida, editá-la para personalizá-la de acordo com seus requisitos específicos. Uma política gerenciada pode ser uma política gerenciada pela AWS ou uma política gerenciada pelo cliente que tenha sido criada anteriormente.
   + [Criar políticas com o editor visual](access_policies_create-console.md#access_policies_create-visual-editor): você pode criar uma nova política do zero no editor visual. Se você usar o editor visual, não precisará entender a sintaxe JSON.
   + [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor): na opção de editor **JSON**, você pode usar a sintaxe JSON para criar uma política. Você pode digitar um novo documento de política JSON ou colar um [exemplo de política](access_policies_examples.md).

1. Após criar uma política em linha, ela é automaticamente incorporada ao seu usuário ou função.

**Para incorporar uma política em linha a um grupo de usuários (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **User groups** (Grupos de usuários).

1. Na lista, escolha o nome do grupo de usuários no qual deseja incorporar uma política.

1. Escolha a guia **Permissions** (Permissões), **Add permissions** (Adicionar permissões) e **Create inline policy** (Criar política em linha).

1. Execute um destes procedimentos:
   + Escolha a opção **Visual** para criar a política. Para obter mais informações, consulte [Criar políticas com o editor visual](access_policies_create-console.md#access_policies_create-visual-editor).
   + Escolha a opção **JSON** para criar a política. Para obter mais informações, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

1. Quando estiver satisfeito com a política, escolha **Criar política**.<a name="replace-managed-policy-boundary-console"></a>

**Para alterar o limite de permissões para uma ou mais entidades (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**. 

1. Na lista de políticas, escolha o nome da política a ser definida. É possível usar a caixa de pesquisa para filtrar a lista de políticas.

1. Na página de detalhes da política, escolha a guia **Entidades anexadas** e, se necessário, abra a seção **Anexada como limite de permissões**. Marque a caixa de seleção ao lado dos usuários ou perfis cujos limites você deseja alterar e depois escolha **Alterar**.

1. Selecione uma nova política para usar para um limite de permissões. É possível usar a caixa de pesquisa para filtrar a lista de políticas. Após selecionar a política, escolha **Definir limite de permissões**.

## Remover permissões de identidade do IAM (console)
<a name="remove-policies-console"></a>

Você pode usar o Console de gerenciamento da AWS para remover permissões de uma identidade (usuário, grupo de usuários ou função). Para isso, desanexe políticas gerenciadas que controlem permissões ou remova uma política que sirva como um [limite de permissões](access_policies_boundaries.md). Você também pode excluir uma política em linha.<a name="detach-managed-policy-console"></a>

**Para desanexar uma política gerenciada usada como uma política de permissões (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**. 

1. Na lista de políticas, marque o botão de seleção ao lado do nome da política a ser desanexada. É possível usar a caixa de pesquisa para filtrar a lista de políticas.

1. Escolha **Actions** (Ações) e **Detach** (Desvincular).

1. Selecione as identidades das quais deseja desanexar a política. Você pode usar a caixa de pesquisa para filtrar a lista de identidades. Depois de selecionar as identidades, escolha **Desanexar política**.<a name="remove-managed-policy-boundary-console"></a>

**Para remover um limite de permissões (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**. 

1. Na lista de políticas, escolha o nome da política a ser definida. É possível usar a caixa de pesquisa para filtrar a lista de políticas.

1. Na página de resumo da política, escolha a guia **Entidades anexadas** e, se necessário, abra a seção **Anexadas como limite de permissões** e escolha as entidades das quais o limite de permissões será removido. Em seguida, escolha **Remover limite**.

1. Confirme que você deseja remover o limite e escolha **Remover limite**.<a name="delete-inline-policy-console"></a>

**Para excluir uma política em linha (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **User groups** (Grupos de usários), **Users** (Usuários) ou **Roles** (Funções).

1. Na lista, selecione o nome do grupo de usuários, usuário ou função que tem a política que você deseja remover.

1. Escolha a aba **Permissões**.

1. Marque a caixa de seleção ao lado da política e escolha **Remover**.

1. Escolha **Remover** na caixa de confirmação.

## Adição de políticas do IAM (AWS CLI)
<a name="add-policy-cli"></a>

Você pode usar a AWS CLI para adicionar permissões a uma identidade (usuário, grupo de usuários ou função). Para isso, anexe políticas gerenciadas que controlem permissões ou especifique uma política que sirva como um [limite de permissões](access_policies_boundaries.md). Você também pode incorporar uma política em linha.

**Para usar uma política gerenciada como uma política de permissões para uma entidade (AWS CLI)**

1. (Opcional) Para visualizar as informações sobre uma política gerenciada, execute os comandos a seguir: 
   + Para listar políticas gerenciadas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Para anexar uma política gerenciada a uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos: 
   + [aws iam attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [aws iam attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)

**Para usar uma política gerenciada para definir um limite de permissões (AWS CLI)**

1. (Opcional) Para visualizar as informações sobre uma política gerenciada, execute os comandos a seguir: 
   + Para listar políticas gerenciadas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Para usar uma política gerenciada a fim de definir o limite de permissões para uma entidade (usuário ou função), use um dos seguintes comandos: 
   + [aws iam put-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-permissions-boundary.html)
   + [aws iam put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)

**Para incorporar uma política em linha (AWS CLI)**  
Para incorporar uma política em linha a uma identidade (usuário, grupo de usuários ou função que não seja uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*), use um dos seguintes comandos: 
+ [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [aws iam put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [aws iam put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)

## Remoção de políticas do IAM (AWS CLI)
<a name="remove-policy-cli"></a>

Você pode usar a AWS CLI para desanexar políticas gerenciadas que controlem permissões ou remova uma política que serve como um [limite de permissões](access_policies_boundaries.md). Você também pode excluir uma política em linha.

**Para desanexar uma política gerenciada usada como uma política de permissões (AWS CLI)**

1. (Opcional) Para visualizar as informações sobre uma política, execute os comandos a seguir:
   + Para listar políticas gerenciadas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, execute os seguintes comandos:
   + Para listar as identidades (usuários, grupos e perfis do IAM) às quais uma política gerenciada está anexada: 
     + [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Para listar as políticas gerenciadas anexadas a uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos:
     + [aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [aws iam list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Para desvincular uma política gerenciada de uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos:
   + [aws iam detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [aws iam detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)

**Para remover um limite de permissões (AWS CLI)**

1. (Opcional) Para visualizar qual política gerenciada é usada atualmente para definir o limite de permissões para um usuário ou função, execute os seguintes comandos:
   + [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
   +  [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 

1. (Opcional) Para visualizar os usuários ou funções nos quais uma política gerenciada é usada para um limite de permissões, execute o seguinte comando:
   + [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)

1. (Opcional) Para visualizar as informações sobre uma política gerenciada, execute os comandos a seguir:
   + Para listar políticas gerenciadas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. Para remover um limite de permissões de um usuário ou função, use um dos seguintes comandos:
   + [aws iam delete-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [aws iam delete-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-permissions-boundary.html)

**Para excluir uma política em linha (AWS CLI)**

1. (Opcional) Para listar todas as políticas em linha anexadas a uma identidade (usuário, grupo de usuários, função), use um dos seguintes comandos:
   + [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opcional) Para recuperar um documento de política em linha incorporado em uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos:
   + [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Para excluir uma política em linha de uma identidade (usuário, grupo de usuários ou função que não seja uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*), use um dos seguintes comandos:
   + [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

## Adição de políticas do IAM (API da AWS)
<a name="add-policy-api"></a>

Você pode usar a API da AWS para anexar políticas gerenciadas que controlem permissões ou especifique uma política que sirva como um [limite de permissões](access_policies_boundaries.md). Você também pode incorporar uma política em linha.

**Para usar uma política gerenciada como uma política de permissões para uma entidade (API da AWS)**

1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir: 
   + Para listar políticas gerenciadas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html) 
   + Para recuperar informações detalhadas sobre uma política gerenciada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Para anexar uma política gerenciada a uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:
   + [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
   + [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
   + [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)

**Para usar uma política gerenciada para definir um limite de permissões (API da AWS)**

1. (Opcional) Para visualizar as informações sobre uma política gerenciada, chame as operações a seguir: 
   + Para listar políticas gerenciadas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Para usar uma política gerenciada a fim de definir o limite de permissões para uma entidade (usuário ou função), chame uma das seguintes operações: 
   + [PutUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPermissionsBoundary.html)
   + [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)

**Para incorporar uma política em linha (API da AWS)**  
Para incorporar uma política em linha a uma identidade (usuário, grupo de usuários ou função que não seja uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*), chame uma das seguintes operações:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)

## Remoção de políticas do IAM (API da AWS)
<a name="remove-policy-api"></a>

Você pode usar a API do AWS para desanexar políticas gerenciadas que controlem permissões ou remova uma política que serve como um [limite de permissões](access_policies_boundaries.md). Você também pode excluir uma política em linha.

**Para desanexar uma política gerenciada usada como uma política de permissões (API da AWS)**

1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir:
   + Para listar políticas gerenciadas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, chame as seguintes operações:
   + Para listar as identidades (usuários, grupos e perfis do IAM) às quais uma política gerenciada está anexada:
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Para listar as políticas gerenciadas anexadas a uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Para desvincular uma política gerenciada de uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:
   + [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
   + [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
   + [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)

**Para remover um limite de permissões (API da AWS)**

1. (Opcional) Para visualizar qual política gerenciada é usada atualmente para definir o limite de permissões para um usuário ou função, chame as seguintes operações:
   + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
   + [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)

1. (Opcional) Para visualizar os usuários ou funções nos quais uma política gerenciada é usada para um limite de permissões, chame a seguinte operação:
   + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)

1. (Opcional) Para visualizar as informações sobre uma política gerenciada, chame as operações a seguir:
   + Para listar políticas gerenciadas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Para remover um limite de permissões de um usuário ou função, chame uma das seguintes operações:
   + [DeleteUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPermissionsBoundary.html)
   + [DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)

**Para excluir uma política em linha (API da AWS)**

1. (Opcional) Para listar todas as políticas em linha anexadas a uma identidade (usuário, grupo de usuários, função), chame uma das seguintes operações:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opcional) Para recuperar um documento de política em linha incorporado em uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Para excluir uma política em linha de uma identidade (usuário, grupo de usuários ou função que não seja uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*), chame uma das seguintes operações:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Versionamento de políticas do IAM
<a name="access_policies_managed-versioning"></a>

Quando você faz alterações em uma política gerenciada pelo cliente do IAM, e quando a AWS faz alterações em uma política gerenciada pela AWS, a política alterada não substitui a política existente. Em vez disso, o IAM cria uma nova* versão* da política gerenciada. O IAM armazena até cinco versões de suas políticas gerenciadas pelo cliente. O IAM não oferece suporte ao versionamento para políticas em linha. 

O diagrama a seguir ilustra o versionamento de uma política gerenciada pelo cliente. Neste exemplo, as versões de 1 a 4 foram salvas. Você pode ter até cinco versões de políticas gerenciadas salvas no IAM. Quando você edita uma política que cria uma sexta versão salva, você pode escolher qual versão mais antiga não deve mais ser salva. Você pode reverter para qualquer uma das outras quatro versões salvas a qualquer momento.

![\[As alterações nas políticas gerenciadas tornam-se novas versões da política\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-managed-policies-versions-overview.diagram.png)


Uma versão de política é diferente de um elemento de política `Version`. O elemento de política `Version` é usado em uma política e define a versão da linguagem da política. Para saber mais sobre o elemento de política `Version`, consulte [Elementos de política JSON do IAM: Version](reference_policies_elements_version.md).

Você pode usar versões para acompanhar alterações em uma política gerenciada. Por exemplo, você pode alterar uma política gerenciada e, em seguida, descobrir que a alteração teve efeitos indesejados. Nesse caso, é possível reverter para uma versão anterior da política gerenciada definindo a versão anterior como a versão *padrão*. 

Os tópicos a seguir explicam como usar o versionamento para políticas gerenciadas.

**Topics**
+ [Limites de versões](#version-limits)
+ [Usar versões para reverter alterações](#versions-roll-back)
+ [Permissões para definir a versão padrão de uma política](#policy-version-permissions)
+ [Definir a versão padrão de políticas gerenciadas pelo cliente](#default-version)

## Limites de versões
<a name="version-limits"></a>

Uma política gerenciada pode ter até cinco versões. Se precisar fazer alterações na política gerenciada além das cinco versões da AWS Command Line Interface ou da API do AWS, primeiro você deve excluir uma ou mais versões existentes. Se você usar o Console de gerenciamento da AWS, não será necessário excluir uma versão antes de editar sua política. Quando você salva uma sexta versão, uma caixa de diálogo é exibida solicitando que você exclua uma ou mais versões não padrão da sua política. Visualize o documento de política JSON de cada versão para ajudá-lo a decidir. Para obter detalhes sobre essa caixa de diálogo, consulte [Editar políticas do IAM](access_policies_manage-edit.md).

Você pode excluir qualquer versão da política gerenciada que desejar, exceto para a versão padrão. Quando você exclui uma versão, os identificadores de versão das versões restantes não são alterados. Como resultado, os identificadores da versão talvez não sejam sequenciais. Por exemplo, se você excluir versões v2 e v4 de uma política gerenciada e adicionar duas novas versões, os identificadores das versões restantes podem ser v1, v3, v5, v6 e v7. 

## Usar versões para reverter alterações
<a name="versions-roll-back"></a>

Você pode definir a versão padrão de uma política gerenciada pelo cliente para reverter suas alterações. Por exemplo, considere os seguintes cenários:

Você cria uma política gerenciada pelo cliente que permite que os usuários administrem um determinado bucket do Amazon S3 usando o Console de gerenciamento da AWS. Após a criação, a política gerenciada pelo cliente tem apenas uma versão, identificada como v1, portanto, essa versão é automaticamente definida como a padrão. A política funciona como previsto. 

Posteriormente, você atualiza a política para adicionar permissão para administrar um segundo bucket do Amazon S3. O IAM cria uma nova versão da política, identificada como v2, que contém as alterações. Você define a versão v2 como padrão, e pouco tempo depois seus usuários relatam que eles não têm permissão para usar o console do Amazon S3. Nesse caso, você pode reverter para a versão v1 da política, que funciona como previsto. Para fazer isso, defina a versão v1 como a versão padrão. Seus usuários agora podem usar o console do Amazon S3 para administrar o bucket original. 

Depois de determinar o erro na versão v2 da política, atualize a política novamente para adicionar permissão para administrar o segundo bucket do Amazon S3. O IAM cria outra nova versão da política, identificada como v3. Você define a versão v3 como padrão, e essa versão funciona como previsto. Nesse ponto, exclua a versão v2 da política.

## Permissões para definir a versão padrão de uma política
<a name="policy-version-permissions"></a>

As permissões que são necessárias para definir a versão padrão de uma política correspondem às operações de API da AWS para a tarefa. Você pode usar as operações `CreatePolicyVersion` ou `SetDefaultPolicyVersion` de API para definir a versão padrão de uma política. Para permitir que algum usuário defina a versão padrão de uma política existente, você pode permitir acesso a ação `iam:CreatePolicyVersion` ou a `iam:SetDefaultPolicyVersion`. A ação `iam:CreatePolicyVersion` permite criar uma nova versão da política e definir essa versão como padrão. A ação `iam:SetDefaultPolicyVersion` permite definir qualquer versão existente da política como padrão.

**Importante**  
Para impedir que um usuário faça alterações na versão padrão de uma política, você deve negar `iam:CreatePolicyVersion` e `iam:SetDefaultPolicyVersion`.

Você pode usar a seguinte política para negar a um usuário acesso para alterar uma política existente gerenciada pelo cliente:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}
```

------

## Definir a versão padrão de políticas gerenciadas pelo cliente
<a name="default-version"></a>

Uma das versões de uma política gerenciada é definida como a versão *padrão*. A versão padrão da política é a versão operacional, ou seja, é a versão que está em vigor para todas as entidades principais (usuários do IAM, grupos do IAM e perfis do IAM) às quais a política gerenciada está anexada. 

Quando você cria uma política gerenciada pelo cliente, a política começa com uma única versão identificada como v1. Para políticas gerenciadas com apenas uma única versão, essa versão é automaticamente definida como padrão. Para políticas gerenciadas pelo cliente com mais de uma versão, você escolhe qual versão definir como padrão. Para políticas gerenciadas pela AWS, a versão padrão é definida pela AWS. Os diagramas a seguir ilustram esse conceito. 

![\[Política gerenciada com uma única versão, que é a versão padrão\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-one.diagram.png)




![\[Política gerenciada pelo cliente com três versões, na qual a versão v2 é a versão padrão.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-multiple.diagram.png)


É possível definir a versão padrão de uma política gerenciada pelo cliente para aplicar essa versão a todas as identidades (usuário, grupo de usuários e função) do IAM em que a política está anexada. Não é possível definir a versão padrão para uma política gerenciada pela AWS ou em linha.

**Para definir a versão padrão de uma política gerenciada pelo cliente (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Na lista de políticas, escolha o nome da política para a qual deseja definir a versão padrão. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

1. Escolha a guia **Versões da política**. Marque a caixa de seleção ao lado da versão que você deseja definir como a versão padrão e, em seguida, selecione **Definir como padrão**.

Para saber como definir a versão padrão de uma política gerenciada pelo cliente desde a AWS Command Line Interface ou da API da AWS, consulte [Editar políticas do IAM (AWS CLI)](access_policies_manage-edit-cli.md). 

# Editar políticas do IAM
<a name="access_policies_manage-edit"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. As políticas são armazenadas na AWS como documentos JSON e são anexadas a entidades principais como *políticas baseadas em identidade* no IAM. Você pode anexar uma política baseada em identidade a uma entidade de segurança (ou identidade), como um grupo de usuários, usuário ou função do IAM. As políticas baseadas em identidade incluem as políticas gerenciadas pela AWS, as políticas gerenciadas pelo cliente e as [políticas em linha](access_policies_managed-vs-inline.md). Você pode editar as políticas gerenciadas pelo cliente e as políticas em linha no IAM. As políticas gerenciadas pela AWS não podem ser editadas. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

Em geral, é melhor usar políticas gerenciadas pelo cliente em vez de políticas em linha ou políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS costumam fornecer amplas permissões administrativas ou somente leitura. As políticas em linha não podem ser reutilizadas em outras identidades ou gerenciadas fora da identidade onde existem. Para maior segurança, [conceda privilégio mínimo](best-practices.md#grant-least-privilege). Ele concede apenas as permissões necessárias para executar tarefas de trabalho específicas.

Quando você cria ou edita políticas do IAM, a AWS pode executar automaticamente a validação de políticas para ajudar você a criar uma política eficaz com o mínimo privilégio em mente. No Console de gerenciamento da AWS, o IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de políticas adicionais com recomendações para ajudar você a refinar ainda mais suas políticas. Para saber mais sobre validação de política, consulte [Validação de política do IAM](access_policies_policy-validator.md). Para saber mais sobre as verificações de política do IAM Access Analyzer e as recomendações práticas, consulte [Validação de política do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

É possível usar o Console de gerenciamento da AWS, a AWS CLI ou a API da AWS para excluir políticas gerenciadas pelo cliente e políticas em linha no IAM. Para obter mais informações sobre o uso de modelos do CloudFormation para adicionar ou atualizar políticas, consulte a [Referência a tipos de recursos do AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html), no *Guia do usuário do CloudFormation*.

**Topics**
+ [Editar políticas do IAM (console)](access_policies_manage-edit-console.md)
+ [Editar políticas do IAM (AWS CLI)](access_policies_manage-edit-cli.md)
+ [Editar políticas do IAM (API da AWS)](access_policies_manage-edit-api.md)

# Editar políticas do IAM (console)
<a name="access_policies_manage-edit-console"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. É possível usar a Console de gerenciamento da AWS para editar *políticas gerenciadas pelo cliente* e *políticas em linha* no IAM. As políticas gerenciadas pela AWS não podem ser editadas. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

Para obter mais informações sobre a estrutura e a sintaxe da política, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md) e [Referência de elemento de política JSON do IAM](reference_policies_elements.md).

## Pré-requisitos
<a name="edit-customer-managed-policy-console-prerequisites"></a>

Antes de alterar as permissões de uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Edição de políticas gerenciadas pelo cliente (console)
<a name="edit-customer-managed-policy-console"></a>

Você pode editar políticas gerenciadas pelo cliente para alterar as permissões definidas na política via Console de gerenciamento da AWS. Uma política gerenciada pelo cliente pode ter até cinco versões. Isso é importante, pois se você precisar fazer alterações em uma política gerenciada criando mais de cinco versões, o Console de gerenciamento da AWS solicitará que você decida qual versão excluir. Você também pode alterar a versão padrão ou excluir uma versão da política antes de editá-la para evitar ser solicitado. Para saber mais sobre versões do , consulte [Versionamento de políticas do IAM](access_policies_managed-versioning.md).

------
#### [ Console ]

**Para editar uma política gerenciada pelo cliente**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Na lista de políticas, escolha o nome da política a editar. É possível usar a caixa de pesquisa para filtrar a lista de políticas.

1. Escolha a guia **Permissões** e depois escolha **Editar**. 

1. Execute um destes procedimentos:
   + Escolha a opção **Visual** para alterar a política sem necessidade de compreender a sintaxe JSON. Você pode fazer alterações nos serviços, ações, recursos ou condições opcionais para cada bloco de permissões na política. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Quando terminar de fazer alterações, escolha **Avançar** para continuar.
   + Escolha a opção **JSON** para modificar a política digitando ou colando texto na caixa de texto JSON. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Resolva os avisos de segurança, as mensagens erros ou os avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md), e depois escolha **Próximo**. 
**nota**  
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e salvar**, revise **Permissões definidas nessa política** e escolha **Salvar alterações** para salvar seu trabalho.

1. Se a política gerenciada já tiver o máximo de cinco versões e você escolher **Salvar alterações**, uma caixa de diálogo será exibida. Para salvar a nova versão, a versão não padrão mais antiga da política será removida e substituída por essa nova versão. Opcionalmente, você pode definir a nova versão como a versão padrão da política.

   Escolha **Salvar alterações** para salvar a nova versão da política.

------

## Definir a versão padrão de uma política gerenciada pelo cliente (console)
<a name="edit-customer-managed-policy-console-set-default-policy-version"></a>

É possível definir uma versão padrão de uma política gerenciada pelo cliente via Console de gerenciamento da AWS. Você pode usar essa política para estabelecer uma configuração de linha de base consistente para permissões em toda a sua organização. Todos os novos anexos da política usarão esse conjunto padronizado de permissões.

------
#### [  Console  ]

**Para definir a versão padrão de uma política gerenciada pelo cliente (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Na lista de políticas, escolha o nome da política para a qual deseja definir a versão padrão. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

1. Escolha a guia **Versões da política**. Marque a caixa de seleção ao lado da versão que você deseja definir como a versão padrão e, em seguida, selecione **Definir como padrão**.

------

## Excluir uma versão de uma política gerenciada pelo cliente (console)
<a name="edit-customer-managed-policy-console-delete-policy-version"></a>

Talvez seja necessário excluir uma versão de uma política gerenciada pelo cliente para remover permissões desatualizadas ou incorretas que não são mais necessárias ou representam possíveis riscos de segurança. Ao manter somente as versões necessárias, você ajuda a garantir que permaneça dentro do limite de cinco versões de política gerenciada, permitindo espaço para futuras atualizações e refinamentos. É possível excluir uma versão de uma política gerenciada pelo cliente via Console de gerenciamento da AWS.

------
#### [ Console ]

**Para excluir uma versão de uma política gerenciada pelo cliente**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Selecione o nome da política gerenciada pelo cliente que possui uma versão que você deseja excluir. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

1. Escolha a guia **Versões da política**. Marque a caixa de seleção ao lado da versão que você deseja excluir. Escolha **Excluir**.

1. Confirme que você deseja excluir a versão e, em seguida, selecione **Excluir**.

------

## Edição de políticas em linha (console)
<a name="edit-inline-policy-console"></a>

Talvez seja necessário editar uma política gerenciada pelo cliente para atualizar ou refinar as permissões concedidas, garantindo que elas permaneçam alinhadas aos requisitos de segurança dinâmicos e às necessidades de controle de acesso da sua organização. Editar permite ajustar o documento JSON da política, adicionando, modificando ou removendo ações, recursos ou condições específicas para manter o princípio do privilégio mínimo e se adaptar às mudanças em seu ambiente ou processos. Você pode editar uma política em linha no Console de gerenciamento da AWS.

------
#### [ Console ]

**Para editar uma política em linha para um usuário, grupo de usuários ou perfil**

1. No painel de navegação, escolha **User** (Usuários), **User groups** (Grupos de usuários) ou **Roles** (Funções).

1. Selecione o nome do usuário, grupo de usuários ou da função com a política que você deseja modificar. Em seguida, selecione a guia **Permissões** e expanda a política.

1. Para editar uma política em linha, escolha **Editar política**. 

1. Execute um destes procedimentos:
   + Escolha a opção **Visual** para alterar a política sem necessidade de compreender a sintaxe JSON. Você pode fazer alterações nos serviços, ações, recursos ou condições opcionais para cada bloco de permissões na política. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Quando terminar de fazer alterações, escolha **Avançar** para continuar.
   + Escolha a opção **JSON** para modificar a política digitando ou colando texto na caixa de texto JSON. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Resolva os avisos de segurança, as mensagens erros ou os avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md), e depois escolha **Próximo**. Para salvar as alterações sem afetar as entidades atualmente anexadas, desmarque a caixa de seleção para **Salvar como versão padrão**.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar**, revise o resumo da política e depois escolha **Salvar alterações** para salvar seu trabalho.

------

# Editar políticas do IAM (AWS CLI)
<a name="access_policies_manage-edit-cli"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. É possível usar a AWS Command Line Interface (AWS CLI) para editar *políticas gerenciadas pelo cliente* e *políticas em linha* no IAM. As políticas gerenciadas pela AWS não podem ser editadas. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

Para obter mais informações sobre a estrutura e a sintaxe da política, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md) e [Referência de elemento de política JSON do IAM](reference_policies_elements.md).

## Pré-requisitos
<a name="edit-customer-managed-policy-cli-prerequisites"></a>

Antes de alterar as permissões de uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Edição de políticas gerenciadas pelo cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli"></a>

Você pode editar uma política gerenciada pelo cliente na AWS CLI.

**nota**  
Uma política gerenciada pode ter até cinco versões. Se precisar fazer alterações na política gerenciada de um cliente além das cinco versões, primeiro você deve excluir uma ou mais versões existentes.

**Para editar uma política gerenciada pelo cliente (AWS CLI)**

1. (Opcional) Para visualizar as informações sobre uma política, execute os comandos a seguir:
   + Para listar políticas gerenciadas: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, execute os seguintes comandos:
   + Para listar as identidades (usuários, grupos e perfis do IAM) às quais uma política gerenciada está anexada: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Para listar as políticas gerenciadas anexadas a uma identidade (usuário, grupo de usuários ou função):
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Para editar uma política gerenciada pelo cliente, execute o seguinte comando:
   + [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)

1. (Opcional) Para validar uma política gerenciada pelo cliente, execute o seguinte comando do IAM Access Analyzer:
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

## Definir a versão padrão de uma política gerenciada pelo cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli-set-default-policy-version"></a>

É possível definir uma versão padrão de uma política gerenciada pelo cliente via AWS CLI.

**Para definir a versão padrão de uma política gerenciada pelo cliente (AWS CLI)**

1. (Opcional) Para listar políticas gerenciadas, execute o seguinte comando:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Para definir a versão padrão de uma política gerenciada pelo cliente, execute o seguinte comando:
   + [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)

## Excluir uma versão de uma política gerenciada pelo cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli-delete-policy-version"></a>

É possível excluir uma versão de uma política gerenciada pelo cliente via AWS CLI.

**Para excluir uma versão de uma política gerenciada pelo cliente (AWS CLI)**

1. (Opcional) Para listar políticas gerenciadas, execute o seguinte comando:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Para excluir uma política gerenciada pelo cliente, execute o seguinte comando:
   + [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)

## Editar políticas em linha (AWS CLI)
<a name="edit-inline-policy-cli"></a>

Você pode editar uma política em linha no AWS CLI.

**Para editar uma política em linha (AWS CLI)**

1. (Opcional) Para visualizar as informações sobre uma política, execute os comandos a seguir:
   + Para listar políticas em linha associadas a uma identidade (usuário, grupo de usuários ou perfil): 
     + [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
     + [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
     + [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + Para recuperar informações detalhadas sobre uma política em linha: 
     + [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
     + [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
     + [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)

1. Para editar uma política em linha, execute o seguinte comando:
   + [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
   + [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
   + [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)

1. (Opcional) Para validar uma política em linha, execute o seguinte comando do IAM Access Analyzer:
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Editar políticas do IAM (API da AWS)
<a name="access_policies_manage-edit-api"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. É possível usar a API da AWS para editar *políticas gerenciadas pelo cliente* e *políticas em linha* no IAM. As políticas gerenciadas pela AWS não podem ser editadas. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

Para obter mais informações sobre a estrutura e a sintaxe da política, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md) e [Referência de elemento de política JSON do IAM](reference_policies_elements.md).

## Pré-requisitos
<a name="edit-customer-managed-policy-api-prerequisites"></a>

Antes de alterar as permissões de uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Edição de políticas gerenciadas pelo cliente (API da AWS)
<a name="edit-customer-managed-policy-api"></a>

Você pode editar uma política gerenciada pelo cliente usando a API da AWS.

**nota**  
Uma política gerenciada pode ter até cinco versões. Se precisar fazer alterações na política gerenciada de um cliente além das cinco versões, primeiro você deve excluir uma ou mais versões existentes.

**Para editar uma política gerenciada pelo cliente (API da AWS)**

1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir:
   + Para listar políticas gerenciadas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, chame as seguintes operações:
   + Para listar as identidades (usuários, grupos e perfis do IAM) às quais uma política gerenciada está anexada: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Para listar as políticas gerenciadas anexadas a uma identidade (usuário, grupo de usuários ou função):
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Para editar uma política gerenciada pelo cliente, chame a seguinte operação:
   + [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)

1. (Opcional) Para validar uma política gerenciada pelo cliente, chame a seguinte operação do IAM Access Analyzer:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

## Definir a versão padrão de uma política gerenciada pelo cliente (API da AWS)
<a name="edit-customer-managed-policy-api-set-default-policy-version"></a>

É possível definir uma versão padrão de uma política gerenciada pelo cliente via API da AWS.

**Para definir a versão padrão de uma política gerenciada pelo cliente (API da AWS)**

1. (Opcional) Para listar políticas gerenciadas, chame a seguinte operação:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Para definir a versão padrão de uma política gerenciada pelo cliente, chame a seguinte operação:
   + [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

## Excluir uma versão de uma política gerenciada pelo cliente (API da AWS)
<a name="edit-customer-managed-policy-api-delete-policy-version"></a>

É possível excluir uma versão de uma política gerenciada pelo cliente via API da AWS.

**Para excluir uma versão de uma política gerenciada pelo cliente (API da AWS)**

1. (Opcional) Para listar políticas gerenciadas, chame a seguinte operação:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Para excluir uma política gerenciada pelo cliente, chame a seguinte operação:
   + [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)

## Editar políticas em linha (API da AWS)
<a name="edit-inline-policy-api"></a>

É possível editar uma política em linha via API da AWS.

**Para editar uma política em linha (API da AWS)**

1. (Opcional) Para visualizar informações sobre uma política em linha, execute as operações a seguir:
   + Para listar políticas em linha associadas a uma identidade (usuário, grupo de usuários ou perfil): 
     + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
     + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
     + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + Para recuperar informações detalhadas sobre uma política em linha: 
     + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
     + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
     + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)

1. Para editar uma política em linha, execute as seguintes operações:
   + [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
   + [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
   + [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)

1. (Opcional) Para validar uma política em linha, execute a seguinte operação do IAM Access Analyzer:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Excluir políticas do IAM
<a name="access_policies_manage-delete"></a>

Você pode excluir as políticas do IAM usando o Console de gerenciamento da AWS, a AWS Command Line Interface (AWS CLI) ou a API da AWS.

**nota**  
A exclusão de políticas do IAM é permanente. Depois que a política é excluída, não é possível recuperá-la.

Para obter mais informações sobre a estrutura e a sintaxe da política do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md) e [Referência de elemento de política JSON do IAM](reference_policies_elements.md).

Para obter mais informações sobre a diferença entre políticas gerenciadas e em linha, consulte [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md). 

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

**Topics**
+ [Excluir políticas do IAM (console)](access_policies_manage-delete-console.md)
+ [Excluir políticas do IAM (AWS CLI)](access_policies_manage-delete-cli.md)
+ [Excluir políticas do IAM (API da AWS)](access_policies_manage-delete-api.md)

# Excluir políticas do IAM (console)
<a name="access_policies_manage-delete-console"></a>

Você pode usar o Console de gerenciamento da AWS para excluir *políticas gerenciadas pelo cliente* e *políticas em linha* no IAM. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

**nota**  
A exclusão de políticas do IAM é permanente. Depois que a política é excluída, não é possível recuperá-la.

Para obter mais informações sobre a estrutura e a sintaxe da política do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md) e [Referência de elemento de política JSON do IAM](reference_policies_elements.md).

Para obter mais informações sobre a diferença entre políticas gerenciadas e em linha, consulte [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md). 

## Pré-requisitos
<a name="delete-policy-prerequisites-console"></a>

Antes de excluir uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Exclusão de políticas do IAM (console)
<a name="delete-customer-managed-policy-console"></a>

Talvez seja necessário excluir uma política gerenciada pelo cliente quando ela se tornar obsoleta ou não estiver mais alinhada aos requisitos de segurança e às necessidades de controle de acesso da sua organização. Ao excluir políticas desnecessárias, você reduz os possíveis riscos de segurança associados a políticas desatualizadas ou não utilizadas. Você pode excluir uma política gerenciada pelo cliente para removê-la de sua Conta da AWS. Você não pode excluir políticas gerenciadas pela AWS.

------
#### [ Console ]

**Para excluir uma política gerenciada pelo cliente**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Marque o botão de seleção ao lado da política gerenciada pelo cliente que você deseja excluir. É possível usar a caixa de pesquisa para filtrar a lista de políticas.

1. Escolha **Actions** (Ações) e, em seguida, escolha **Delete** (Excluir).

1. Siga as instruções para confirmar que deseja excluir a política e selecione **Excluir**.

------

## Excluir políticas em linha (console)
<a name="delete-inline-policy-console"></a>

Talvez seja necessário excluir uma política em linha quando as permissões específicas por ela concedidas não forem mais necessárias para o usuário, grupo ou perfil do IAM ao qual ela está diretamente anexada. A exclusão de políticas em linha desnecessárias ajuda a reduzir o risco de acesso não intencional, especialmente porque as políticas em linha não podem ser reutilizadas ou compartilhadas entre várias identidades, ao contrário das políticas gerenciadas. Você pode excluir uma política em linha para removê-la da sua Conta da AWS. Você não pode excluir políticas gerenciadas pela AWS.

------
#### [ Console ]

**Para editar uma política em linha para um grupo, usuário ou perfil do IAM**

1. No painel de navegação, escolha **User groups** (Grupos de usários), **Users** (Usuários) ou **Roles** (Funções).

1. Selecione o nome do grupo de usuários, do usuário ou da função com a política que você deseja excluir. Em seguida, escolha a guia **Permissões**.

1. Marque as caixas de seleção ao lado das políticas que você deseja excluir e escolha **Remover**. Em seguida, na caixa de diálogo de confirmação, confirme a remoção e a exclusão da política.
   + Para excluir uma política em linha em **Usuários** ou **Perfis**, escolha **Remover** para confirmar a exclusão.
   + Se você estiver excluindo uma única política em linha em **User groups** (Grupos de usuários), digite o nome da política e escolha **Delete** (Excluir). Se você estiver excluindo várias políticas em linha em **User groups** (Grupos de usuários), digite o número de políticas que você está excluindo seguido de **inline policies** e escolha **Delete** (Excluir). Por exemplo, se você estiver excluindo três políticas em linha, digite **3 inline policies**.

------

# Excluir políticas do IAM (AWS CLI)
<a name="access_policies_manage-delete-cli"></a>

Você pode usar a AWS Command Line Interface (AWS CLI) para excluir *políticas gerenciadas pelo cliente* e *políticas em linha* no IAM. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

**nota**  
A exclusão de políticas do IAM é permanente. Depois que a política é excluída, não é possível recuperá-la.

Para obter mais informações sobre a estrutura e a sintaxe da política do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md) e [Referência de elemento de política JSON do IAM](reference_policies_elements.md).

Para obter mais informações sobre a diferença entre políticas gerenciadas e em linha, consulte [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md). 

## Pré-requisitos
<a name="delete-policy-prerequisites-cli"></a>

Antes de excluir uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Excluir políticas gerenciadas pelo cliente (AWS CLI)
<a name="delete-customer-managed-policy-cli"></a>

Você pode excluir uma política gerenciada pelo cliente na AWS Command Line Interface.

**Para excluir uma política gerenciada pelo cliente (AWS CLI)**

1. (Opcional) Para visualizar as informações sobre uma política, execute os comandos a seguir:
   + Para listar políticas gerenciadas: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, execute os seguintes comandos:
   + Para listar as identidades (usuários, grupos e perfis do IAM) às quais uma política gerenciada está anexada, execute o seguinte comando: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Para listar as políticas gerenciadas anexadas a uma identidade (usuário, grupo de usuários ou função), execute um dos seguintes comandos:
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Para excluir uma política gerenciada pelo cliente, execute o seguinte comando:
   + [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html)

## Excluir políticas em linha (AWS CLI)
<a name="delete-inline-policy-cli"></a>

É possível excluir uma política em linha via AWS CLI.

**Para excluir uma política em linha (AWS CLI)**

1. (Opcional) Para listar todas as políticas em linha anexadas a uma identidade (usuário, grupo de usuários, função), use um dos seguintes comandos:
   + [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opcional) Para recuperar um documento de política em linha incorporado em uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos:
   + [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Para excluir uma política em linha de uma identidade (usuário, grupo de usuários ou função que não seja uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*), use um dos seguintes comandos:
   + [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

# Excluir políticas do IAM (API da AWS)
<a name="access_policies_manage-delete-api"></a>

Você pode usar a API da AWS para excluir *políticas gerenciadas pelo cliente* e *políticas em linha* no IAM. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

**nota**  
A exclusão de políticas do IAM é permanente. Depois que a política é excluída, não é possível recuperá-la.

Para obter mais informações sobre a estrutura e a sintaxe da política do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md) e [Referência de elemento de política JSON do IAM](reference_policies_elements.md).

Para obter mais informações sobre a diferença entre políticas gerenciadas e em linha, consulte [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md). 

## Pré-requisitos
<a name="delete-policy-prerequisites-api"></a>

Antes de excluir uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Excluir políticas gerenciadas pelo cliente (API da AWS)
<a name="delete-customer-managed-policy-api"></a>

Você pode excluir uma política gerenciada pelo cliente usando a API da AWS.

**Para excluir uma política gerenciada pelo cliente (API da AWS)**

1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir:
   + Para listar políticas gerenciadas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar informações detalhadas sobre uma política gerenciada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, chame as seguintes operações:
   + Para listar as identidades (usuários, grupos e perfis do IAM) às quais uma política gerenciada está anexada, chame a seguinte operação: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Para listar as políticas gerenciadas anexadas a uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Para excluir uma política gerenciada pelo cliente, chame a seguinte operação:
   + [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)

## Excluir políticas em linha (API da AWS)
<a name="delete-inline-policy-api"></a>

É possível excluir políticas em linha via API da AWS.

**Para excluir uma política em linha (API da AWS)**

1. (Opcional) Para listar todas as políticas em linha anexadas a uma identidade (usuário, grupo de usuários, função), chame uma das seguintes operações:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opcional) Para recuperar um documento de política em linha incorporado em uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Para excluir uma política em linha de uma identidade (usuário, grupo de usuários ou função que não seja uma *[função vinculada ao serviço](id_roles.md#iam-term-service-linked-role)*), chame uma das seguintes operações:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Refinar permissões na AWS usando informações do último acesso
<a name="access_policies_last-accessed"></a>

Como administrador, é possível conceder permissões a recursos do IAM (perfis, usuários, grupos de usuários ou políticas) além do que é exigido. O IAM fornece as informações do último acesso para ajudar você a identificar as permissões não utilizadas para que você possa removê-las. É possível usar essas informações para refinar suas políticas e permitir o acesso somente aos serviços e ações usados por suas identidades e políticas do IAM. Isso ajuda você a melhor seguir as [práticas recomendadas de privilégio mínimo](best-practices.md#grant-least-privilege). É possível visualizar as informações de acesso mais recente de identidades ou políticas existentes no IAM ou no AWS Organizations.

É possível monitorar continuamente as informações do último acesso com analisadores de acessos não utilizados. Para obter mais informações, consulte [Findings for external and unused access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html).

**Topics**
+ [Tipos de informações do último acesso do IAM](#access_policies_last-accessed-data-types)
+ [Informações acessadas por último do AWS Organizations](#access_policies_last-accessed-orgs)
+ [Coisas para saber sobre as informações acessadas por último](#access_policies_last-accessed-know)
+ [Permissões obrigatórias](#access_policies_last-accessed-permissions)
+ [Atividades de solução de problemas para entidades do IAM e do AWS Organizations](#access_policies_last-accessed-troubleshooting)
+ [Onde a AWS rastreia informações acessadas por último](#last-accessed_tracking-period)
+ [Visualizar as últimas informações acessadas do IAM](access_policies_last-accessed-view-data.md)
+ [Visualizar as últimas informações acessadas do AWS Organizations](access_policies_last-accessed-view-data-orgs.md)
+ [Cenários de exemplo para uso de informações acessadas por último](access_policies_last-accessed-example-scenarios.md)
+ [Serviços e ações para os quais a ação do IAM acessou informações pela última vez](access_policies_last-accessed-action-last-accessed.md)

## Tipos de informações do último acesso do IAM
<a name="access_policies_last-accessed-data-types"></a>

É possível visualizar dois tipos de informações de acesso mais recente de identidades do IAM: informações permitidas do serviço da AWS e informações permitidas da ação. As informações incluem a data e a hora em que a tentativa de acesso a uma API da AWS foi feita. Para ações, as informações de acesso mais recente relatam as ações de gerenciamento de serviços. As ações de gerenciamento incluem ações de criação, exclusão e modificação. Para saber mais sobre como visualizar as informações do último acesso do IAM, consulte [Visualizar as últimas informações acessadas do IAM](access_policies_last-accessed-view-data.md).

Para obter cenários de exemplo de uso das informações de acesso mais recente para tomar decisões sobre as permissões concedidas às entidades do IAM, consulte [Cenários de exemplo para uso de informações acessadas por último](access_policies_last-accessed-example-scenarios.md).

Para saber mais sobre como as informações para ações de gerenciamento são fornecidas, consulte [Coisas para saber sobre as informações acessadas por último](#access_policies_last-accessed-know).

## Informações acessadas por último do AWS Organizations
<a name="access_policies_last-accessed-orgs"></a>

Se você fizer login usando as credenciais da conta de gerenciamento, poderá visualizar as informações do último acesso ao serviço para uma entidade ou política do AWS Organizations em sua organização. As entidades do AWS Organizations incluem a raiz da organização, unidades organizacionais (OUs) ou contas. As informações acessadas por último para o AWS Organizations incluem informações sobre serviços que são permitidos por uma política de controle de serviço (SCP). As informações indicam quais entidades principais (usuário raiz, usuário ou perfil do IAM) de uma organização ou conta tentaram acessar o serviço por último e quando isso ocorreu. Para saber mais sobre o relatório e como visualizar as informações acessadas por último para o AWS Organizations, consulte [Visualizar as últimas informações acessadas do AWS Organizations](access_policies_last-accessed-view-data-orgs.md).

Para obter cenários de exemplo para usar as informações acessadas por último para tomar decisões sobre as permissões concedidas às entidades do AWS Organizations, consulte [Cenários de exemplo para uso de informações acessadas por último](access_policies_last-accessed-example-scenarios.md).

## Coisas para saber sobre as informações acessadas por último
<a name="access_policies_last-accessed-know"></a>

Para usar as informações acessadas por último em um relatório para alterar as permissões de uma entidade do IAM ou do AWS Organizations, examine os seguintes detalhes sobre as informações.
+ **Período de rastreamento**: a atividade recente geralmente aparece no console do IAM em até quatro horas. O período de rastreamento para as informações de serviço é de, no mínimo, 400 dias, dependendo do momento em que o serviço começou a rastrear as informações das ações. O período de rastreamento das informações de ações do Amazon S3 começou em 12 de abril de 2020. O período de rastreamento das ações do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. O período de rastreamento para todos os outros serviços começou em 23 de maio de 2023. Para obter uma lista de serviços para os quais informações acessadas pela última vez pela ação estão disponíveis, consulte [Serviços e ações para os quais a ação do IAM acessou informações pela última vez](access_policies_last-accessed-action-last-accessed.md). Para obter mais informações sobre em quais regiões informações acessadas pela última vez pela ação estão disponíveis, consulte [Onde a AWS rastreia informações acessadas por último](#last-accessed_tracking-period).
+ **Tentativas relatadas**: os dados do último acesso ao serviço incluem todas as tentativas de acesso a uma API da AWS, não somente as tentativas bem-sucedidas. Isso inclui todas as tentativas de acesso que foram feitas usando o Console de gerenciamento da AWS, a API da AWS por meio de qualquer um dos SDKs ou qualquer uma das ferramentas da linha de comando. Uma entrada inesperada nos dados de últimos serviços acessados não significa que sua conta foi comprometida, pois a solicitação pode ter sido negada. Consulte os logs do CloudTrail como a fonte segura para obter informações sobre todas as chamadas de API e se elas foram bem-sucedidas ou tiveram acesso negado.
+ **PassRole**: a ação `iam:PassRole` não é rastreada e não está incluída nas informações acessadas pela última vez pela ação do IAM.
+ **Informações acessadas pela última vez pela ação**: as informações acessadas pela última vez pela ação estão disponíveis para ações de gerenciamento acessadas por identidades do IAM. Veja a [lista de serviços e suas ações](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html#access_policies_last-accessed-action-last-accessed-supported-actions) para as quais a ação acessou informações de relatório pela última vez.
**nota**  
As informações acessadas pela última vez pela ação não estão disponíveis para eventos de plano de dados.
+ **Eventos de gerenciamento**: o IAM fornece informações de ação para eventos de gerenciamento de serviço que são registrados em log pelo CloudTrail. Às vezes, eventos de gerenciamento do CloudTrail também são chamados de operações do ambiente de gerenciamento ou eventos do ambiente de gerenciamento. Eventos de gerenciamento fornecem visibilidade nas operações de gerenciamento executadas em recursos na sua Conta da AWS. Para saber mais sobre eventos de gerenciamento no CloudTrail, consulte [Registro em log de eventos de gerenciamento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html) no *Guia do usuário do AWS CloudTrail*.
+ **Report owner** (Proprietário do relatório): somente a entidade de segurança que gera um relatório pode visualizar os detalhes do relatório. Isso significa que, quando você visualizar as informações no Console de gerenciamento da AWS, talvez precisará esperar que elas sejam geradas e carregadas. Se você usar a AWS CLI ou a API da AWS para obter detalhes do relatório, suas credenciais deverão corresponder às credenciais do principal que gerou o relatório. Se você usar credenciais temporárias para um perfil ou uma entidade principal de usuário federado do AWS STS, será necessário gerar e recuperar o relatório durante a mesma sessão. Para obter mais informações sobre as entidades principais de sessão de função assumida, consulte [Elementos da política JSON da AWS: Principal](reference_policies_elements_principal.md).
+ **Recursos do IAM**: as informações sobre os acessos mais recentes ao IAM incluem os recursos do IAM (perfis, usuários políticas e grupos do IAM) da sua conta. As informações de acesso mais recente do AWS Organizations incluem entidades principais (usuários do IAM, perfis do IAM ou o Usuário raiz da conta da AWS) na entidade especificada do AWS Organizations. As informações de acesso mais recente não incluem tentativas não autenticadas.
+ **Tipos de política do IAM**: as informações de acesso mais recente do IAM incluem serviços permitidos por políticas de uma identidade do IAM. Essas são as políticas anexadas a uma função ou a um usuário diretamente ou por meio de um grupo. O acesso permitido por outros tipos de política não está incluído no relatório. Os tipos de política excluídos incluem políticas baseadas em recurso, listas de controle de acesso, SCPs do AWS Organizations, limites de permissões do IAM e políticas de sessão. As permissões fornecidas por funções vinculadas ao serviço são definidas pelo serviço ao qual estão vinculadas e não podem ser modificadas no IAM. Para saber mais sobre funções vinculadas ao serviço, consulte [Criar um perfil vinculado ao serviço](id_roles_create-service-linked-role.md) Para saber como os diferentes tipos de política são avaliados para permitir ou negar acesso, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md).
+ **Tipos de política do AWS Organizations**: as informações do AWS Organizations incluem somente os serviços permitidos por políticas de controle de serviço (SCPs) herdadas de uma entidade do AWS Organizations. SCPs são políticas anexadas a uma raiz, UO ou conta. O acesso permitido por outros tipos de política não está incluído no relatório. Os tipos de política excluídos incluem políticas baseadas em identidade, políticas baseadas em recurso, listas de controle de acesso, limites de permissões do IAM e políticas de sessão. Para saber como os tipos de política diferentes são avaliados para permitir ou negar acesso, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md).
+ **Especificar um ID de política**: ao usar a AWS CLI ou a API da AWS para gerar um relatório de informações acessadas por último no AWS Organizations, você também pode especificar um ID de política. O relatório resultante inclui informações dos serviços permitidos somente por essa política. As informações incluem as atividades de conta mais recentes na entidade do AWS Organizations especificada ou filhos da entidade. Para obter mais informações, consulte [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) ou [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).
+ **Conta gerencial do AWS Organizations**: você deve fazer login na conta gerencial de sua organização para visualizar as informações do último acesso ao serviço. Você pode escolher visualizar informações da conta de gerenciamento usando o console do IAM, a AWS CLI, ou a API da AWS. O relatório resultante lista todos os produtos da AWS, porque a conta de gerenciamento não é limitada pelas SCPs. Se você especificar um ID de política na CLI ou API, a política será ignorada. Para cada serviço, o relatório inclui informações somente da conta de gerenciamento. No entanto, os relatórios para outras entidades do AWS Organizations não retornam informações de atividades na conta gerencial.
+ **Configurações do AWS Organizations**: um administrador deve [habilitar as SCPs na raiz de sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root) antes que você possa gerar dados do AWS Organizations.

## Permissões obrigatórias
<a name="access_policies_last-accessed-permissions"></a>

Para visualizar as informações acessadas por último no Console de gerenciamento da AWS, você deve ter uma política que conceda as permissões necessárias.

### Permissões para visualizar informações do IAM
<a name="access_policies_last-accessed-permissions-iam"></a>

Para usar o console do IAM para visualizar as informações do último acesso de um usuário, uma função ou uma política do IAM, você deve ter uma política que inclua as seguintes ações:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:Get*`
+ `iam:List*`

Essas permissões permitem que um usuário veja o seguinte:
+ Quais usuários, grupos ou funções são anexados a uma [política gerenciada](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#managed_policy)
+ Quais serviços um usuário ou uma função pode acessar
+ A última vez em que acessaram o serviço
+ A última vez que tentaram usar uma ação específica do Amazon EC2, IAM, Lambda ou Amazon S3

Para usar a AWS CLI ou a API da AWS para visualizar as informações do último acesso do IAM, você deve ter permissões correspondentes à operação que deseja usar:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetailsWithEntities`
+ `iam:ListPoliciesGrantingServiceAccess`

Este exemplo mostra como você pode criar uma política baseada em identidade que permite visualizar as informações do último acesso ao IAM. Além disso, permite o acesso somente leitura a todo o IAM. Esta política define permissões para acesso programático e do console. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

### Permissões para informações do AWS Organizations
<a name="access_policies_last-accessed-permissions-orgs"></a>

Para usar o console do IAM para visualizar um relatório de entidades da raiz, UO ou conta no AWS Organizations, você deve ter uma política que inclua as seguintes ações:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Para usar a API da AWS CLI ou a AWS para visualizar as informações de serviço acessadas por último do AWS Organizations, você deve ter uma política que inclua as seguintes ações:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Este exemplo mostra como você pode criar uma política baseada em identidade que permite visualizar os serviços acessados por último para AWS Organizations. Além disso, permite o acesso somente leitura a todos do AWS Organizations. Esta política define permissões para acesso programático e do console. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}
```

------

Você também pode usar a chave de condição [iam:OrganizationsPolicyId](reference_policies_iam-condition-keys.md#ck_OrganizationsPolicyId) para permitir a geração de um relatório apenas de uma determinada política do AWS Organizations. Para visualizar um exemplo de política, consulte [IAM: visualizar serviço acessado por último para uma política do AWS Organizations](reference_policies_examples_iam_service-accessed-data-orgs.md).

## Atividades de solução de problemas para entidades do IAM e do AWS Organizations
<a name="access_policies_last-accessed-troubleshooting"></a>

Em alguns casos, a tabela de informações acessadas por último do Console de gerenciamento da AWS pode estar vazia. Ou talvez sua solicitação da AWS CLI ou da API da AWS retorne um conjunto vazio de informações ou um campo nulo. Nesses casos, analise os seguintes problemas:
+ Para informações acessadas pela última vez pela ação, uma ação que você está esperando ver pode não ser retornada na lista. Isso pode acontecer porque a identidade do IAM não tem permissões para a ação ou a AWS ainda não rastreia a ação quanto a informações do acesso mais recente.
+ Para um usuário do IAM, verifique se o usuário tem pelo menos uma política gerenciada ou em linha anexada, diretamente ou por meio de associações de grupo.
+ Para um grupo do IAM, verifique se o grupo tem pelo menos uma política em linha ou gerenciada anexada.
+ Para um grupo do IAM, o relatório só retorna as informações do último acesso ao serviço de membros que usaram as políticas do grupo para acessar um serviço. Para saber se um membro usou outras políticas, revise as informações acessadas por último desse usuário.
+ Para uma função do IAM, verifique se a função tem pelo menos uma política em linha ou gerenciada anexada.
+ Para uma entidade do IAM (usuário ou função), revise outros tipos de política que possam afetar as permissões dessa entidade. Entre eles estão políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para ter mais informações, consulte [Tipos de políticas](access_policies.md#access_policy-types) ou [Avaliação de políticas para solicitações em uma única conta](reference_policies_evaluation-logic_policy-eval-basics.md).
+ Para uma política do IAM, verifique se a política gerenciada especificada está anexada a pelo menos um usuário, grupo com membros ou função.
+ Para uma entidade (raiz, UO ou conta) do AWS Organizations, certifique-se de que você esteja conectado usando as credenciais da conta gerencial do AWS Organizations.
+ Verifique se [as SCPs estão habilitadas na raiz da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root).
+ As informações de ação acessadas por último só estão disponíveis para as ações listadas em [Serviços e ações para os quais a ação do IAM acessou informações pela última vez](access_policies_last-accessed-action-last-accessed.md).

Ao fazer alterações, aguarde pelo menos quatro horas para que a atividade seja exibida no relatório do console do IAM. Se usar a AWS CLI ou a API da AWS, você deverá gerar um novo relatório para visualizar as informações atualizadas.

## Onde a AWS rastreia informações acessadas por último
<a name="last-accessed_tracking-period"></a>

A AWS coleta informações de último acesso das regiões padrão da AWS. Quando a AWS adiciona mais regiões, essas regiões são adicionas à seguinte tabela, incluindo a data em que a AWS começou a rastrear informações em cada região.
+ **Informações de serviço**: o período de rastreamento para os serviços é de, no mínimo, 400 dias, ou menos, caso a sua região tenha começado a rastrear esse recurso nos últimos 400 dias.
+ **Informações de ações**: o período de rastreamento das ações de gerenciamento do Amazon S3 teve início em 12 de abril de 2020. O período de rastreamento para ações de gerenciamento do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. O período de rastreamento para ações de gerenciamento de todos os outros serviços começou em 23 de maio de 2023. Se a data de rastreamento de uma região for posterior a 23 de maio de 2023, as informações acessadas pela última vez pela ação para essa região começarão em uma data posterior.


| Nome da região | Região | Data de início do rastreamento | 
| --- | --- | --- | 
| Leste dos EUA (Ohio) | us-east-2 | 27 de outubro de 2017 | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | 1 de outubro de 2015 | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | 1 de outubro de 2015 | 
| Oeste dos EUA (Oregon) | us-west-2 | 1 de outubro de 2015 | 
| África (Cidade do Cabo) | af-south-1 | 22 de abril de 2020 | 
| Ásia-Pacífico (Hong Kong) | ap-east-1 | 24 de abril de 2019 | 
| Ásia-Pacífico (Hyderabad) | ap-south-2 | 22 de novembro de 2022 | 
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | 13 de dezembro de 2021 | 
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | 23 de janeiro de 2023 | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | 27 de junho de 2016 | 
| Ásia-Pacífico (Osaka) | ap-northeast-3 | 11 de fevereiro de 2018 | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | 6 de janeiro de 2016 | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | 1 de outubro de 2015 | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | 1 de outubro de 2015 | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | 1 de outubro de 2015 | 
| Canadá (Central) | ca-central-1 | 28 de outubro de 2017 | 
| Europa (Frankfurt) | eu-central-1 | 1 de outubro de 2015 | 
| Europa (Irlanda) | eu-west-1 | 1 de outubro de 2015 | 
| Europa (Londres) | eu-west-2 | 28 de outubro de 2017 | 
| Europa (Milão) | eu-south-1 | 28 de abril de 2020 | 
| Europa (Paris) | eu-west-3 | 18 de dezembro de 2017 | 
| Europa (Espanha) | eu-south-2 | 15 de novembro de 2022 | 
| Europa (Estocolmo) | eu-north-1 | 12 de dezembro de 2018 | 
| Europa (Zurique) | eu-central-2 | 8 de novembro de 2022 | 
| Israel (Tel Aviv) | il-central-1 | 1º de agosto de 2023 | 
| Oriente Médio (Barém) | me-south-1 | 29 de julho de 2019 | 
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | 30 de agosto de 2022 | 
| América do Sul (São Paulo) | sa-east-1 | 11 de dezembro de 2015 | 
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | 1º de julho de 2023 | 
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | 1º de julho de 2023 | 

Se uma região não estiver listada na tabela anterior, essa região ainda não fornece informações acessadas por último.

Uma região da AWS é uma coleção de recursos da AWS em uma área geográfica. As regiões são agrupadas em partições. As regiões padrão são aquelas que pertencem à partição `aws`. Para obter mais informações sobre as diferentes partições, consulte [Formato de nomes de recursos da Amazon (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) na Referência geral da AWS. Para obter mais informações sobre regiões, consulte [Sobre regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#region-what-is) também na Referência geral da AWS. 

# Visualizar as últimas informações acessadas do IAM
<a name="access_policies_last-accessed-view-data"></a>

Você pode visualizar informações acessadas pela última vez para o IAM usando o Console de gerenciamento da AWS, a AWS CLI ou a API da AWS. Veja a [lista de serviços e suas ações](access_policies_last-accessed-action-last-accessed.md) para as quais as últimas informações acessadas são exibidas. Para obter mais informações sobre as informações acessadas pela última vez, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md). 

É possível visualizar as informações para os tipos de recurso a seguir no IAM. Em cada caso, as informações abrangem serviços permitidos para o período de geração de relatórios indicado:
+ **Usuário**: visualize a última vez em que o usuário tentou acessar cada serviço permitido.
+ **Grupo de usuários**: visualize informações sobre a última vez em que um membro do grupo de usuários tentou acessar cada serviço permitido. Esse relatório também inclui o número total de membros que tentou acessar.
+ **Função**: visualize a última vez em que alguém usou a função em uma tentativa de acessar cada serviço permitido.
+ **Política**: visualize informações sobre a última vez em que um usuário ou uma função tentou acessar cada serviço permitido. Esse relatório também inclui o número total de entidades que tentou acessar.

**nota**  
Para visualizar as informações de acesso de um recurso no IAM, compreenda o período de geração de relatórios, as entidades relatadas e os tipos de política avaliados para as informações. Para obter mais detalhes, consulte [Coisas para saber sobre as informações acessadas por último](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Visualização de informações do IAM (console)
<a name="access_policies_last-accessed-viewing"></a>

Você pode visualizar as informações do último acesso ao IAM na guia **Último acesso** no console do IAM.

**Para visualizar informações do IAM (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **User groups** (Grupos de usuários), **Users** (USuários), **Roles** (Funções) ou **Policies** (Políticas).

1. Escolha qualquer nome de usuário, grupo de usuários, perfil ou política para abrir a página **Resumo** correspondente e escolha a guia **Acessados recentemente**. Exiba as seguintes informações com base no recurso escolhido:
   + **User group** (Grupo de usuários): exibe a lista de serviços que os membros do grupo de usuários podem acessar. Você também pode visualizar quando um membro acessou o serviço pela última vez, quais políticas de grupo de usuário ele usou e qual membro do grupo de usuários fez a solicitação. Escolha o nome da política para saber se ela é uma política gerenciada ou uma política de grupo de usuários em linha. Escolha o nome do membro do grupo de usuários para ver todos os membros do grupo de usuários e quando eles acessaram o serviço mais recentemente.
   + **User** (Usuário): exibe a lista de serviços que o usuário pode acessar. Também é possível exibir quando ele acessou o serviço pela última vez e quais políticas estão associadas ao usuário no momento. Escolha o nome da política para saber se é uma política gerenciada, uma política de usuário em linha ou uma política em linha para o grupo.
   + **Role** (Função): exibe a lista de serviços que a função pode acessar, quando a função acessou o serviço mais recentemente e quais políticas foram usadas. Escolha o nome da política para saber se ela é uma política gerenciada ou uma política de função em linha.
   + **Policy** (Política): exibe a lista de serviços com ações permitidas na política. Você também pode exibir quando a política foi usada pela última vez para acessar o serviço e qual entidade (usuário ou função) usou a política. A data de **Último acesso** também inclui quando o acesso é concedido a essa política por meio de outra política. Escolha o nome da entidade para saber quais entidades têm essa política anexada e quando elas acessaram o serviço mais recentemente.

1. Na coluna **Serviço** da tabela, escolha o nome de [um dos serviços que inclui informações acessadas pela última vez pela ação](access_policies_last-accessed-action-last-accessed.md) para visualizar uma lista de ações de gerenciamento que as entidades do IAM tentaram acessar. É possível visualizar a Região da AWS e um carimbo de data/hora que mostre quando alguém tentou executar a ação pela última vez.

1. A coluna **Último acesso** é exibida para serviços e ações de gerenciamento dos [serviços que incluem informações acessadas pela última vez pela ação](access_policies_last-accessed-action-last-accessed.md). Revise os seguintes resultados possíveis que são retornados nessa coluna. Esses resultados variam dependendo se um serviço ou ação é permitido, foi acessado e se ele é rastreado pela AWS quanto a informações acessadas por último.   
**<number of> dias atrás**  
O número de dias desde que o serviço ou a ação foi usado no período de rastreamento. O período de rastreamento dos serviços é para os últimos 400 dias. O período de rastreamento das ações do Amazon S3 começou em 12 de abril de 2020. O período de rastreamento das ações do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. O período de rastreamento para todos os outros serviços começou em 23 de maio de 2023. Para saber mais sobre as datas de início de rastreamento para cada Região da AWS, consulte [Onde a AWS rastreia informações acessadas por último](access_policies_last-accessed.md#last-accessed_tracking-period).  
**Não acessado no período de rastreamento**  
O serviço ou ação rastreado não foi usado por uma entidade no período de rastreamento.

   É possível que você tenha permissões para uma ação que não aparece na lista. Isso poderá acontecer se as informações de rastreamento da ação não tiverem sido incluídas pela AWS. Você não deve tomar decisões de permissões com base apenas na ausência de informações de rastreamento. Em vez disso, recomendamos que você use essas informações para informar e apoiar sua estratégia geral de concessão de privilégios mínimos. Verifique suas políticas para confirmar se o nível de acesso é apropriado.

## Visualização de informações do IAM (AWS CLI)
<a name="access_policies_last-accessed-viewing-cli"></a>

Você pode usar a AWS CLI para recuperar informações sobre a última vez que um recurso do IAM foi usado para tentar acessar produtos da AWS e ações do Amazon S3, do Amazon EC2, do IAM e do Lambda. Um recurso do IAM pode ser um usuário, grupo de usuários, função ou política.

**Para visualizar informações do IAM (AWS CLI)**

1. Gere um relatório. A solicitação deve incluir o ARN do recurso do IAM (usuário, grupo de usuários, função ou política) para o qual você deseja um relatório. Você pode especificar o nível de granularidade que deseja gerar no relatório para exibir detalhes de acesso para serviços ou serviços e ações. A solicitação retorna um `job-id` que você pode acabar usando nas operações `get-service-last-accessed-details` e `get-service-last-accessed-details-with-entities` para monitorar o `job-status` até o trabalho estar concluído.
   + [aws iam generate-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

1. Recupere detalhes sobre o relatório usando o parâmetro `job-id` da etapa anterior.
   + [aws iam get-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

   Essa operação retorna as seguintes informações, com base no tipo de recurso e nível de granularidade que você solicitou na operação `generate-service-last-accessed-details`:
   + **Usuário**: retorna uma lista de serviços que o usuário especificado pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa do usuário e o ARN do usuário.
   + **Grupo de usuários**:retorna uma lista de serviços que os membros do grupo de usuários especificado podem acessar usando políticas anexadas ao grupo de usuários. Para cada serviço, a operação retorna a data e a hora da última tentativa feita por qualquer membro do grupo de usuários. Ela também retorna o ARN do usuário e o número total de membros do grupode usuários que tentou acessar o serviço. Use a operação [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar uma lista de todos os membros.
   + **Função**: retorna uma lista de serviços que a função especificada pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa da função e o ARN da função.
   + **Política**: retorna uma lista de serviços para os quais a política especificada permite o acesso. Para cada serviço, a operação retorna a data e a hora em que uma entidade (usuário ou função) tentou acessar mais recentemente o serviço usando a política. Ele também retorna o ARN dessa entidade e o número total de entidades que tentou acessar.

1. Saiba mais sobre as entidades que usaram permissões de grupo de usuários ou política em uma tentativa de acessar um serviço específico. Essa operação retorna uma lista de entidades com ARN, ID, nome, caminho, tipo (usuário ou função) de cada entidade e quando eles tentaram acessar o serviço mais recentemente. Você também pode usar essa operação para usuários e funções, mas ela só retorna informações sobre essa entidade.
   + [aws iam get-service-last-accessed-details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

1. Saiba mais sobre as políticas baseadas em identidade que uma identidade (usuário, grupo de usuários ou função) usou em uma tentativa de acessar um serviço específico. Quando você especifica uma identidade e um serviço, essa operação retorna uma lista de políticas de permissões que a identidade pode usar para acessar o serviço especificado. Essa operação indica o estado atual de políticas e não depende do relatório gerado. Isso também não retorna outros tipos de política, como políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para ter mais informações, consulte [Tipos de políticas](access_policies.md#access_policy-types) ou [Avaliação de políticas para solicitações em uma única conta](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [aws iam list-policies-granting-service-access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

## Visualização de informações do IAM (API da AWS)
<a name="access_policies_last-accessed-viewing-api"></a>

Você pode usar a API da AWS para recuperar informações sobre a última vez que um recurso do IAM foi usado para tentar acessar produtos da AWS e ações do Amazon S3, do Amazon EC2, do IAM e do Lambda. Um recurso do IAM pode ser um usuário, grupo de usuários, função ou política. Você pode especificar o nível de granularidade a ser gerado no relatório para exibir detalhes de serviços ou serviços e ações. 

**Para visualizar informações do IAM (API da AWS)**

1. Gere um relatório. A solicitação deve incluir o ARN do recurso do IAM (usuário, grupo de usuários, função ou política) para o qual você deseja um relatório. Ele retorna um `JobId` que você pode acabar usando nas operações `GetServiceLastAccessedDetails` e `GetServiceLastAccessedDetailsWithEntities` para monitorar o `JobStatus` até o trabalho estar concluído.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Recupere detalhes sobre o relatório usando o parâmetro `JobId` da etapa anterior.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Essa operação retorna as seguintes informações, com base no tipo de recurso e nível de granularidade que você solicitou na operação `GenerateServiceLastAccessedDetails`:
   + **Usuário**: retorna uma lista de serviços que o usuário especificado pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa do usuário e o ARN do usuário.
   + **Grupo de usuários**:retorna uma lista de serviços que os membros do grupo de usuários especificado podem acessar usando políticas anexadas ao grupo de usuários. Para cada serviço, a operação retorna a data e a hora da última tentativa feita por qualquer membro do grupo de usuários. Ela também retorna o ARN do usuário e o número total de membros do grupode usuários que tentou acessar o serviço. Use a operação [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar uma lista de todos os membros.
   + **Função**: retorna uma lista de serviços que a função especificada pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa da função e o ARN da função.
   + **Política**: retorna uma lista de serviços para os quais a política especificada permite o acesso. Para cada serviço, a operação retorna a data e a hora em que uma entidade (usuário ou função) tentou acessar mais recentemente o serviço usando a política. Ele também retorna o ARN dessa entidade e o número total de entidades que tentou acessar.

1. Saiba mais sobre as entidades que usaram permissões de grupo de usuários ou política em uma tentativa de acessar um serviço específico. Essa operação retorna uma lista de entidades com ARN, ID, nome, caminho, tipo (usuário ou função) de cada entidade e quando eles tentaram acessar o serviço mais recentemente. Você também pode usar essa operação para usuários e funções, mas ela só retorna informações sobre essa entidade.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Saiba mais sobre as políticas baseadas em identidade que uma identidade (usuário, grupo de usuários ou função) usou em uma tentativa de acessar um serviço específico. Quando você especifica uma identidade e um serviço, essa operação retorna uma lista de políticas de permissões que a identidade pode usar para acessar o serviço especificado. Essa operação indica o estado atual de políticas e não depende do relatório gerado. Isso também não retorna outros tipos de política, como políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para ter mais informações, consulte [Tipos de políticas](access_policies.md#access_policy-types) ou [Avaliação de políticas para solicitações em uma única conta](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

# Visualizar as últimas informações acessadas do AWS Organizations
<a name="access_policies_last-accessed-view-data-orgs"></a>

Você pode visualizar as informações do último acesso ao serviço do AWS Organizations usando o console do IAM, a AWS CLI ou a API da AWS. Para obter informações importantes sobre os dados, permissões necessárias, solução de problemas e regiões com suporte, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

Ao fazer login no console do IAM usando as credenciais da conta gerencial do AWS Organizations, você pode visualizar as informações de qualquer entidade na sua organização. As entidades do AWS Organizations incluem a raiz da organização, unidades organizacionais (UOs) e contas. Você também pode usar o console do IAM para visualizar informações sobre quaisquer políticas de controle de serviço (SCPs) na sua organização. O IAM mostra uma lista de serviços que são permitidos por quaisquer SCPs que se aplicam à entidade. Para cada serviço, você pode visualizar as informações mais recentes de atividades da conta para a entidade do AWS Organizations escolhida ou para os filhos da entidade.

Ao usar a AWS CLI ou a API da AWS com credenciais de gerenciamento da conta, você pode gerar um relatório para quaisquer entidades ou políticas em sua organização. Um relatório programático para uma entidade inclui uma lista de serviços que são permitidos pelas SCPs que se aplicam à entidade. Para cada serviço, o relatório inclui a atividade mais recente de contas na entidade do AWS Organizations especificada ou a subárvore da entidade.

Ao gerar um relatório programático para uma política, você deve especificar uma entidade do AWS Organizations. Esse relatório inclui uma lista de serviços que são permitidos pela SCP especificada. Para cada serviço, ele inclui a atividade de conta mais recente na entidade ou filhos da entidade filhos que recebem permissão por essa política. Para obter mais informações, consulte [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) ou [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).

Antes de visualizar o relatório, é necessário compreender as informações e os requisitos da conta de gerenciamento, o período relatado, as entidades relatadas e os tipos de política avaliados. Para obter mais detalhes, consulte [Coisas para saber sobre as informações acessadas por último](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Compreender o caminho da entidade do AWS Organizations
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

Ao usar a AWS CLI ou a API da AWS para gerar um relatório de acesso do AWS Organizations, você deverá especificar um caminho de entidade. Um caminho é uma representação de texto da estrutura de uma entidade do AWS Organizations.

Você pode criar um caminho de entidade usando a estrutura conhecida de sua organização. Por exemplo, suponha que você tenha a estrutura organizacional a seguir no AWS Organizations.

![\[Estrutura de caminhos da organização\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/ou-path-diagram.png)


O caminho para a UO **Dev Managers (Gerentes de Desenvolvimento)** é criado usando os IDs da organização, da raiz e de todas as UOs no caminho até, e incluindo, a UO. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

O caminho para a conta na UO **Production (Produção)** é criado usando os IDs da organização, da raiz, da UO e o número da conta. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**nota**  
Os IDs de organização são globalmente exclusivos, mas os IDs da UO e da raiz são exclusivos somente dentro de uma organização. Isso significa que duas organizações não compartilham o mesmo ID de organização. No entanto, outra organização pode ter uma UO ou raiz com o mesmo ID que o seu. Recomendamos sempre incluir o ID da organização ao especificar uma UO ou raiz.

## Visualizar informações do AWS Organizations (console)
<a name="access_policies_last-accessed-viewing-orgs"></a>

Você pode usar o console do IAM para visualizar informações do último acesso ao serviço para sua raiz, UO, conta ou política.

**Como visualizar informações para a raiz (console)**

1. Faça login no Console de gerenciamento da AWS usando as credenciais da conta gerencial do AWS Organizations e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação abaixo da seção **Access reports (Relatórios de acesso)**, selecione **Organization activity (Atividade da organização)**.

1. Na página **Organization activity (Atividade da organização)**, selecione **Root (Raiz)**.

1. Na guia **Details and activity (Atividade e detalhes)**, visualize a seção **Service access report (Relatório de acesso ao serviço)**. As informações incluem uma lista de serviços que são permitidos pelas políticas anexadas diretamente na raiz. As informações mostram de qual conta o serviço foi acessado mais recentemente e quando. Para obter mais detalhes sobre qual entidade de segurança acessou o serviço, faça login como administrador nessa conta e [visualize as informações de serviço acessadas por último do IAM](access_policies_last-accessed-view-data.md).

1. Escolha a guia **Attached SCPs** (SCPs anexadas) para visualizar a lista de políticas de controle de serviço (SCPs) anexadas à raiz. O IAM mostra o número de entidades de destino às quais cada política está anexada. Você pode usar essas informações para decidir qual SCP analisar.

1. Escolha o nome de uma SCP para visualizar todos os serviços que a política permite. Para cada serviço, visualize de qual conta o serviço foi acessado mais recentemente e quando.

1. Selecione **Editar no AWS Organizations** para visualizar detalhes adicionais e editar a SCP no console do AWS Organizations. Para obter mais informações, consulte [Atualizar uma SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) no *Guia do usuário do AWS Organizations*.

**Como visualizar informações de uma UO ou conta (console)**

1. Faça login no Console de gerenciamento da AWS usando as credenciais da conta gerencial do AWS Organizations e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação abaixo da seção **Access reports (Relatórios de acesso)**, selecione **Organization activity (Atividade da organização)**.

1. Na página **Organization activity (Atividade da organização)**, expanda a estrutura da sua organização. Em seguida, escolha o nome da UO ou qualquer conta que você queira visualizar, exceto a conta de gerenciamento.

1. Na guia **Details and activity (Atividade e detalhes)**, visualize a seção **Service access report (Relatório de acesso ao serviço)**. As informações incluem uma lista de serviços que são permitidos pelas SCPs anexadas à UO ou conta *e* todos os seus pais. As informações mostram de qual conta o serviço foi acessado mais recentemente e quando. Para obter mais detalhes sobre qual entidade de segurança acessou o serviço, faça login como administrador nessa conta e [visualize as informações de serviço acessadas por último do IAM](access_policies_last-accessed-view-data.md).

1. Escolha a guia **Attached SCPs** (SCPs anexadas) para visualizar a lista de políticas de controle de serviço (SCPs) que estão diretamente anexadas à UO ou à conta. O IAM mostra o número de entidades de destino às quais cada política está anexada. Você pode usar essas informações para decidir qual SCP analisar.

1. Escolha o nome de uma SCP para visualizar todos os serviços que a política permite. Para cada serviço, visualize de qual conta o serviço foi acessado mais recentemente e quando.

1. Selecione **Editar no AWS Organizations** para visualizar detalhes adicionais e editar a SCP no console do AWS Organizations. Para obter mais informações, consulte [Atualizar uma SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) no *Guia do usuário do AWS Organizations*.

**Para visualizar as informações da conta de gerenciamento (console)**

1. Faça login no Console de gerenciamento da AWS usando as credenciais da conta gerencial do AWS Organizations e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação abaixo da seção **Access reports (Relatórios de acesso)**, selecione **Organization activity (Atividade da organização)**.

1. Na página **Organization activity** (Atividade da organização), expanda a estrutura da sua organização e escolha o nome da sua conta de gerenciamento.

1. Na guia **Details and activity (Atividade e detalhes)**, visualize a seção **Service access report (Relatório de acesso ao serviço)**. As informações incluem uma lista de todos os serviços da AWS. A conta de gerenciamento não é limitada pelas SCPs. As informações mostram se a conta acessou o serviço mais recentemente e quando. Para obter mais detalhes sobre qual entidade de segurança acessou o serviço, faça login como administrador nessa conta e [visualize as informações de serviço acessadas por último do IAM](access_policies_last-accessed-view-data.md).

1. Escolha **Attached SCPs** (SCPs anexadas) para confirmar que não há SCPs anexadas, pois a conta é a conta de gerenciamento.

**Como visualizar informações de uma política (console)**

1. Faça login no Console de gerenciamento da AWS usando as credenciais da conta gerencial do AWS Organizations e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação abaixo da seção **Access reports (Relatórios de acesso)**, selecione **Service control policies (SCPs) (Políticas de controle de serviço (SCPs))**.

1. Na página **Políticas de controle de serviço (SCPs)**, visualize uma lista de políticas da sua organização. Você pode visualizar o número de entidades de destino às quais cada política está anexada.

1. Escolha o nome de uma SCP para visualizar todos os serviços que a política permite. Para cada serviço, visualize de qual conta o serviço foi acessado mais recentemente e quando.

1. Selecione **Editar no AWS Organizations** para visualizar detalhes adicionais e editar a SCP no console do AWS Organizations. Para obter mais informações, consulte [Atualizar uma SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) no *Guia do usuário do AWS Organizations*.

## Visualizar informações do AWS Organizations (AWS CLI)
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

Você pode usar a AWS CLI para recuperar informações de serviço acessadas por último de sua raiz do AWS Organizations, UO ou política.

**Como visualizar informações de serviço acessadas por último do AWS Organizations (AWS CLI)**

1. Use as credenciais da conta gerencial do AWS Organizations com as permissões necessárias do IAM e do AWS Organizations e confirme se as SCPs estão habilitadas para a raiz. Para obter mais informações, consulte [Coisas para saber sobre as informações acessadas por último](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Gere um relatório. A solicitação deve incluir o caminho da entidade do AWS Organizations (raiz, UO ou conta) para a qual você deseja um relatório. Você também pode incluir um parâmetro `organization-policy-id` para visualizar um relatório para uma política específica. O comando retorna um `job-id` que você pode usar no comando `get-organizations-access-report` e para monitorar o `job-status` até o trabalho ser concluído.
   + [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. Recupere detalhes sobre o relatório usando o parâmetro `job-id` da etapa anterior.
   + [aws iam get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   Esse comando retorna uma lista de serviços que membros de entidade podem acessar. Para cada serviço, o comando retorna a data e a hora de uma conta membro da última tentativa e o caminho de entidade da conta. Isso também retorna o número total de serviços que estão disponíveis para acesso e o número de serviços que não foram acessados. Se você tiver especificado o parâmetro opcional `organizations-policy-id`, os serviços que estão disponíveis para acesso são aqueles que são permitidos pela política especificada.

## Visualizar informações do AWS Organizations (API da AWS)
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

Você pode usar a API da AWS para recuperar informações de serviço acessadas por último para sua raiz do AWS Organizations, UO, conta ou política.

**Como visualizar informações de serviço acessadas por último do AWS Organizations (API da AWS)**

1. Use as credenciais da conta gerencial do AWS Organizations com as permissões necessárias do IAM e do AWS Organizations e confirme se as SCPs estão habilitadas para a raiz. Para obter mais informações, consulte [Coisas para saber sobre as informações acessadas por último](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Gere um relatório. A solicitação deve incluir o caminho da entidade do AWS Organizations (raiz, UO ou conta) para a qual você deseja um relatório. Você também pode incluir um parâmetro `OrganizationsPolicyId` para visualizar um relatório para uma política específica. A operação retorna um `JobId` que você pode usar na operação `GetOrganizationsAccessReport` para monitorar o `JobStatus` até o trabalho ser concluído.
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. Recupere detalhes sobre o relatório usando o parâmetro `JobId` da etapa anterior.
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   Essa operação retorna uma lista de serviços que membros de entidade podem acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa de um membro da conta e o caminho de entidade da conta. Isso também retorna o número total de serviços que estão disponíveis para acesso e o número de serviços que não foram acessados. Se você tiver especificado o parâmetro opcional `OrganizationsPolicyId`, os serviços que estão disponíveis para acesso são aqueles que são permitidos pela política especificada.

# Cenários de exemplo para uso de informações acessadas por último
<a name="access_policies_last-accessed-example-scenarios"></a>

Você pode usar as informações do último acesso para tomar decisões sobre as permissões concedidas às entidades do IAM ou do AWS Organizations. Para obter mais informações, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md). 

**nota**  
Antes de visualizar as informações de acesso para uma entidade ou política no IAM ou no AWS Organizations, é necessário entender o período do relatório, as entidades relatadas e os tipos de política avaliados para seus dados. Para obter mais detalhes, consulte [Coisas para saber sobre as informações acessadas por último](access_policies_last-accessed.md#access_policies_last-accessed-know).

Cabe a você, como administrador, equilibrar a acessibilidade e o privilégio mínimo apropriado para a organização. 

## Uso de informações para reduzir permissões para um grupo do IAM
<a name="last-accessed-sample-reduce-permissions-group"></a>

Você pode usar as informações do último acesso para reduzir permissões do grupo do IAM para incluir apenas os serviços de que os usuários precisam. Esse método é uma etapa importante em [conceder menor privilégio](best-practices.md#grant-least-privilege) em um nível de serviço.

Por exemplo, Paulo Santos é o administrador responsável por definir as permissões de usuário da AWS para Exemplo Corp. Esta empresa acabou de começar a usar a AWS, e a equipe de desenvolvimento de software ainda não definiu quais produtos da AWS serão usados. Paulo deseja dar à equipe permissão para acessar apenas os serviços de que precisam, mas como ainda não está definida, ele dá temporariamente a eles permissões de superusuário. Depois, ele usa as informações acessadas por último para reduzir as permissões do grupo.

Paulo cria uma política gerenciada chamada `ExampleDevelopment` usando o texto JSON a seguir. Em seguida, ele o anexa a um grupo chamado `Development` e adiciona todos os desenvolvedores ao grupo.

**nota**  
Os usuários avançados do Paulo podem precisar de `iam:CreateServiceLinkedRole` permissões para usar alguns serviços e recursos. Ele entende que a adição dessa permissão permite que os usuários criem qualquer função vinculada a serviços. Ele aceita esse risco para seus usuários avançados.

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToAllServicesExceptPeopleManagement",
            "Effect": "Allow",
            "NotAction": [
                "iam:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Paulo opta por aguardar 90 dias até [visualizar as informações acessadas por último](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing) para o grupo `Development` usando o Console de gerenciamento da AWS. Ele exibe a lista de serviços que os membros do grupo acessaram. Ele aprende que os usuários acessaram cinco serviços na última semana: AWS CloudTrail, Amazon CloudWatch Logs, Amazon EC2, AWS KMS e Amazon S3. Eles acessaram alguns outros serviços quando estavam avaliando inicialmente a AWS, mas não desde então.

Paulo opta por reduzir as permissões de política para só incluir os cinco serviços e as ações do IAM e do AWS Organizations obrigatórios. Ele edita a política `ExampleDevelopment` usando o texto JSON a seguir.

**nota**  
Os usuários avançados do Paulo podem precisar de `iam:CreateServiceLinkedRole` permissões para usar alguns serviços e recursos. Ele entende que a adição dessa permissão permite que os usuários criem qualquer função vinculada a serviços. Ele aceita esse risco para seus usuários avançados.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToListedServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "kms:*",
                "cloudtrail:*",
                "logs:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para reduzir ainda mais as permissões, Paulo pode exibir os eventos da conta no **Event history (Histórico de eventos)** da AWS CloudTrail. Lá ele pode exibir informações detalhadas que pode usar para reduzir as permissões da política a fim de incluir apenas as ações e os recursos de que os desenvolvedores precisam. Para obter mais informações, consulte [Visualizar eventos do CloudTrail no console do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) no *Guia do usuário do AWS CloudTrail*.

## Uso de informações para reduzir permissões para um usuário do IAM
<a name="access_policies_last-accessed-reduce-permissions-users"></a>

Você pode usar informações do último acesso para reduzir as permissões de um usuário do IAM individual.

Por exemplo, Martha Rivera é a administradora de TI responsável por garantir que as pessoas na organização não tenham permissões da AWS em excesso. Como parte de uma verificação de segurança periódica, ela revisa as permissões de todos os usuários do IAM. Um desses usuários é um desenvolvedor de aplicativos chamado Nikhil Jayashankar que, anteriormente, assumiu a função de um engenheiro de segurança. Por causa da alteração feita em requisitos de trabalho, Nikhil é membro dos grupos `app-dev` e `security-team`. O grupo `app-dev` de seu novo trabalho concede permissões para vários serviços, incluindo Amazon EC2, Amazon EBS, Auto Scaling, Amazon S3, Route 53 e Elastic Transcoder. O grupo `security-team` de seu trabalho anterior concede permissões ao IAM e ao CloudTrail.

Como administradora, Martha inicia uma sessão no console do IAM e escolhe **Usuários**, o nome `nikhilj` e depois a guia **Acessados recentemente**.

Martha revisa a coluna **Acessados recentemente** e nota que Nikhil não acessou recentemente o IAM, o CloudTrail, o Route 53, o Amazon Elastic Transcoder e vários outros serviços da AWS. Nikhil acessou o Amazon S3. Martha escolhe **S3** na lista de serviços e vê que Nikhil realizou algumas ações `List` do Amazon S3 nas últimas duas semanas. Dentro da empresa, Martha confirma que Nikhil não precisa mais acessar o IAM e o CloudTrail, porque ele não é mais membro da equipe de segurança interna. 

Martha agora está pronta para agir sobre as informações de serviço e ação acessadas por último. No entanto, diferentemente do grupo no exemplo anterior, um usuário do IAM como `nikhilj` pode estar sujeito a várias políticas e ser membro de vários grupos. Martha deve prosseguir com cuidado para não interromper inadvertidamente o acesso para `nikhilj` ou outros membros do grupo. Além de aprender o acesso que Nikhil deve ter, ela deve determinar *como* ele está recebendo essas permissões. 

Martha escolhe a guia **Permissions (Permissões)**, em que ela exibe quais políticas estão anexadas diretamente a `nikhilj` e as anexadas de um grupo. Ela expande cada política e exibe o resumo da política para saber qual política dá acesso a serviços que Nikhil não está usando:
+ IAM: a política gerenciada pela AWS `IAMFullAccess` é anexada diretamente a `nikhilj` e anexada ao grupo `security-team`.
+ CloudTrail: a política gerenciada pela AWS `AWSCloudTrailReadOnlyAccess` é anexada ao grupo `security-team`.
+ Route 53: a política gerenciada pelo cliente `App-Dev-Route53` é anexada ao grupo `app-dev`.
+ Elastic Transcoder: a política gerenciada pelo cliente `App-Dev-ElasticTranscoder` é anexada ao grupo `app-dev`.

Martha opta por remover a política gerenciada pela `IAMFullAccess` AWS anexada diretamente a `nikhilj`. Ela também remove a participação de Nikhil no grupo `security-team`. Essas duas ações removem o acesso desnecessário ao IAM e ao CloudTrail. 

As permissões de Nikhil para acessar o Route 53 e o Elastic Transcoder são concedidas pelo grupo `app-dev`. Embora Nikhil não esteja usando esses serviços, outros membros do grupo podem estar. Martha analisa as informações do último acesso para o grupo `app-dev` e descobre que vários membros acessaram recentemente o Route 53 e o Amazon S3. Mas nenhum membro do grupo acessou o Elastic Transcoder no último ano. Ela remove a política gerenciada pelo cliente `App-Dev-ElasticTranscoder` do grupo.

Martha acaba revisando as informações acessadas por último para a política gerenciada pelo cliente `App-Dev-ElasticTranscoder`. Ela descobre que a política não está anexada a nenhuma outra identidade do IAM. Ela investiga dentro da empresa para garantir que a política não será necessária no futuro e, em seguida, ela a excluirá.

## Uso das informações antes de excluir recursos do IAM
<a name="last-accessed-sample-delete-resources"></a>

Você pode usar informações do último acesso antes de excluir um recurso do IAM para garantir que um determinado período tenha se passado desde a última vez em que alguém usou o recurso. Isso se aplica a usuários, grupos, funções e políticas. Para saber mais sobre essas ações, consulte os seguintes tópicos:
+ **Usuários do IAM**: [remoção ou desativação de um usuário do IAM](id_users_remove.md)
+ **Grupos**: [exclusão de um grupo do IAM](id_groups_manage_delete.md)
+ **Funções**: [excluir perfis ou perfis de instância](id_roles_manage_delete.md)
+ **Políticas**: [excluir políticas do IAM (essa ação também desvincula a política das identidades)](access_policies_manage-delete.md)

## Uso de informações antes de editar políticas do IAM
<a name="last-accessed-sample-edit-policies"></a>

Você pode revisar as informações do último acesso de uma identidade (usuário, grupo ou função) do IAM ou de uma política do IAM antes de editar uma política que afete esse recurso. Isso é importante porque você não deseja remover acesso para alguém que a esteja usando.

Por exemplo, Arnav Desai é desenvolvedor e administrador da AWS da Exemplo Corp. Quando sua equipe começou a usar a AWS, foi concedido a todos os desenvolvedores acesso de usuário avançado, o que permitiu a eles ter acesso total a todos os serviços, exceto o IAM e o AWS Organizations. Como uma primeira etapa para [conceder o menor privilégio](best-practices.md#grant-least-privilege), Arnav deseja usar a AWS CLI para revisar políticas gerenciadas na conta. 

Para isso, Arnav primeiro lista as políticas de permissões gerenciadas pelo cliente na conta anexadas a uma identidade usando o seguinte comando:

```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```

Na resposta, ele captura o ARN de cada política. Depois disso, Arnav gera um relatório de informações acessadas por último para cada política usando o comando a seguir.

```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Nessa resposta, ele captura o ID do relatório gerado com base no campo `JobId`. Em seguida, Arnav sondará o comando a seguir até o campo `JobStatus` retornar um valor de `COMPLETED` ou `FAILED`. Se a tarefa falhar, ele vai capturar o erro.

```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```

Quando o trabalho tem um status `COMPLETED`, Arnav analisa o conteúdo da matriz `ServicesLastAccessed` formatada em JSON.

```
 "ServicesLastAccessed": [
        {
            "TotalAuthenticatedEntities": 1,
            "LastAuthenticated": 2018-11-01T21:24:33.222Z,
            "ServiceNamespace": "dynamodb",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
            "ServiceName": "Amazon DynamoDB"
        },

        {
            "TotalAuthenticatedEntities": 0,
            "ServiceNamespace": "ec2",
            "ServiceName": "Amazon EC2"
        },

        {
            "TotalAuthenticatedEntities": 3,
            "LastAuthenticated": 2018-08-25T15:29:51.156Z,
            "ServiceNamespace": "s3",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
            "ServiceName": "Amazon S3"
        }
    ]
```

Com base nessas informações, Arnav descobre que a política `ExamplePolicy1` permite acesso a três serviços, Amazon DynamoDB, Amazon S3 e Amazon EC2. O usuário do IAM chamado `IAMExampleUser` tentou acessar o DynamoDB pela última vez em 1.º de novembro e alguém usou a função `IAMExampleRole` para tentar acessar o Amazon S3 em 25 de agosto. Também existem mais duas entidades que tentaram acessar o Amazon S3 no último ano. No entanto, ninguém tentou acessar o Amazon EC2 no último ano.

Isso significa que o Arnav pode remover com segurança as ações do Amazon EC2 da política. Arnav deseja revisar o documento JSON atual da política. Primeiro, ele deve determinar o número da versão da política usando o comando a seguir.

```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Na resposta, Arnav coleta o número da versão padrão atual da matriz `Versions`. Ele acaba usando esse número de versão (`v2`) para solicitar o documento de política JSON usando o comando a seguir.

```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```

Arnav armazena o documento de política JSON retornado no campo `Document` da matriz `PolicyVersion`. No documento de política, Arnav procura ações com o namespace `ec2`. Se não houver ações de outros namespaces restantes na política, ele desanexará a política das identidades afetadas (usuários, grupos e funções). Depois disso, ele exclui a política. Nesse caso, a política inclui os serviços Amazon DynamoDB e Amazon S3. Portanto, Arnav remove as ações do Amazon EC2 do documento e salva suas alterações. Ele acaba usando o comando a seguir para atualizar a política usando a nova versão do documento e definir essa versão como a versão da política padrão.

```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```

A política `ExamplePolicy1` agora é atualizada para remover o acesso ao serviço do Amazon EC2 desnecessário.

## Outros cenários do IAM
<a name="last-accessed-scenarios-other"></a>

As informações sobre quando um recurso (usuário, grupo, função ou política) do IAM tentou acessar pela última vez um serviço podem ajudar quando você concluir qualquer uma das seguintes tarefas:
+ **Políticas**: [Editar uma política em linha ou gerenciada pelo cliente existente para remover permissões](access_policies_manage-edit.md)
+ **Políticas**: [Converter uma política em linha em uma política gerenciada e excluí-la](access_policies-convert-inline-to-managed.md)
+ **Políticas**: [Adicionar uma negação explícita a uma política existente](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **Políticas**: [Desvincular uma política gerenciada de uma identidade (usuário, grupo ou função)](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **Entidades**: [Definir um limite de permissões para controlar as permissões máximas que uma entidade (usuário ou função) pode ter](access_policies_manage-attach-detach.md)
+ **Grupos**: [Remover usuários de um grupo](id_groups_manage_add-remove-users.md)

## Usar informações para refinar permissões para uma unidade organizacional
<a name="access_policies_last-accessed-reduce-permissions-orgs"></a>

Você pode usar informações acessadas por último para refinar as permissões para uma unidade organizacional (UO) no AWS Organizations.

Por exemplo, John Stiles é um administrador do AWS Organizations. Ele é responsável por garantir que as pessoas nas Contas da AWS da empresa não tenham permissões em excesso. Como parte de uma auditoria de segurança periódica, ele analisa as permissões da sua organização. A UO `Development` contém contas que são frequentemente usadas para testar novos serviços da AWS. John decide analisar periodicamente o relatório de serviços que não foram acessados em mais de 180 dias. Depois disso, ele remove as permissões de acesso dos membros da UO a esses serviços. 

John faz login no console do IAM usando as credenciais de sua conta de gerenciamento. No console do IAN, ele localiza os dados do AWS Organizations para a UO `Development`. Ele analisa a tabela **Service access report (Relatório de acesso ao serviço)** e vê dois serviços da AWS que não foram acessados em mais de 180 dias (o período preferencial). Ele lembra-se de adicionar permissões para que as equipes de desenvolvimento acessem o Amazon Lex e o AWS Database Migration Service. John entra em contato com as equipes de desenvolvimento e confirma que eles não têm mais a necessidade de testar esses serviços.

John agora está pronto para agir com base nas informações acessadas por último. Ele escolhe **Editar no AWS Organizations** e lembra-se de que a SCP está anexada a várias entidades. Ele escolhe **Continue (Continuar)**. No AWS Organizations, ele analisa os destinos para saber a quais entidades do AWS Organizations a SCP está anexada. Todas as entidades estão na UO `Development`.

John decide negar acesso às ações do Amazon Lex e do AWS Database Migration Service na SCP `NewServiceTest`. Essa ação remove o acesso desnecessário aos serviços.

# Serviços e ações para os quais a ação do IAM acessou informações pela última vez
<a name="access_policies_last-accessed-action-last-accessed"></a>

A tabela a seguir lista os serviços da AWS para os quais a [ação do IAM acessou informações pela última vez](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html). Para obter uma lista de ações em cada serviço, consulte [Ações, recursos e chaves de condição dos serviços da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na Referência de autorização do serviço.

A AWS fornece informações de ação de último acesso no formato JSON para agilizar a automação dos fluxos de trabalho de gerenciamento de políticas. Com as informações de referência do serviço, você pode acessar as informações de ação do último acesso em Serviços da AWS de arquivos legíveis por máquina. Para obter mais informações, consulte [Simplified AWS service (Serviço da AWS) information for programmatic access](https://docs.aws.amazon.com/service-authorization/latest/reference/service-reference.html) na Service Authorization Reference.


|  **Serviço**  |  **Prefixo do serviço**  | 
| --- | --- | 
|  [AWS Identity and Access Management and Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html)  | access-analyzer | 
|  [AWS Gerenciamento de contas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsaccountmanagement.html)  | conta | 
|  [AWS Certificate Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscertificatemanager.html)  | acm | 
|  [Amazon Managed Workflows for Apache Airflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedworkflowsforapacheairflow.html)  | airflow | 
|  [AWS Amplify](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplify.html)  | amplify | 
|  [AWS Amplify UI Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplifyuibuilder.html)  | amplifyuibuilder | 
|  [Amazon AppIntegrations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappintegrations.html)  | app-integrations | 
|  [AWS AppConfig](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappconfig.html)  | appconfig | 
|  [Amazon AppFlow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappflow.html)  | appflow | 
|  [AWS Application Cost Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationcostprofilerservice.html)  | application-cost-profiler | 
|  [Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)  | applicationinsights | 
|  [AWS App Mesh](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappmesh.html)  | appmesh | 
|  [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappstream2.0.html)  | appstream | 
|  [AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)  | appsync | 
|  [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedserviceforprometheus.html)  | aps | 
|  [Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)  | athena | 
|  [AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)  | auditmanager | 
|  [AWS Auto Scaling](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html)  | ajuste de escala automático | 
|  [AWS Marketplace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html)  | aws-marketplace | 
|  [AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)  | backup | 
|  [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)  | lote | 
|  [Amazon Braket](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbraket.html)  | braket | 
|  [AWS Budgets](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbudgetservice.html)  | orçamentos | 
|  [AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloud9.html)  | cloud9 | 
|  [AWS CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html)  | cloudformation | 
|  [Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html)  | cloudfront | 
|  [AWS CloudHSM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html)  | cloudhsm | 
|  [Amazon CloudSearch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudsearch.html)  | cloudsearch | 
|  [AWS CloudTrail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudtrail.html)  | cloudtrail | 
|  [Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html)  | cloudwatch | 
|  [AWS CodeArtifact](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodeartifact.html)  | codeartifact | 
|  [AWS CodeDeploy](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodedeploy.html)  | codedeploy | 
|  [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodeguruprofiler.html)  | codeguru-profiler | 
|  [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodegurureviewer.html)  | codeguru-reviewer | 
|  [AWS CodePipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodepipeline.html)  | codepipeline | 
|  [AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestar.html)  | codestar | 
|  [AWS CodeStar Notificações do](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestarnotifications.html)  | codestar-notifications | 
|  [Identidade do Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html)  | cognito-identity | 
|  [Grupos de usuários do Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitouserpools.html)  | cognito-idp | 
|  [Amazon Cognito Sync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitosync.html)  | cognito-sync | 
|  [Amazon Comprehend Medical](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)  | comprehendmedical | 
|  [AWS Compute Optimizer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)  | compute-optimizer | 
|  [AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html)  | config | 
|  [Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)  | conectar | 
|  [AWS Cost and Usage Report](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostandusagereport.html)  | cur | 
|  [AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgluedatabrew.html)  | databrew | 
|  [AWS Data Exchange](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdataexchange.html)  | dataexchange | 
|  [AWS Data Pipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatapipeline.html)  | datapipeline | 
|  [DynamoDB Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodbacceleratordax.html)  | dax | 
|  [AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html)  | devicefarm | 
|  [Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html)  | devops-guru | 
|  [AWS Direct Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectconnect.html)  | directconnect | 
|  [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondatalifecyclemanager.html)  | dlm | 
|  [AWS Database Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html)  | dms | 
|  [Amazon DocumentDB Elastic Clusters](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html)  | docdb-elastic | 
|  [Amazon DynamoDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodb.html)  | dynamodb | 
|  [Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html)  | ebs | 
|  [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)  | ec2 | 
|  [Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html)  | ecr | 
|  [Amazon Elastic Container Registry Public](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistrypublic.html)  | ecr-public | 
|  [Amazon Elastic Container Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)  | ecs | 
|  [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html)  | eks | 
|  [Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html)  | elasticache | 
|  [AWS Elastic Beanstalk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselasticbeanstalk.html)  | elasticbeanstalk | 
|  [Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)  | elasticfilesystem | 
|  [Elastic Load Balancing](https://docs.aws.amazon.com/service-authorization/latest/reference/list_elasticloadbalancing.html)  | elasticloadbalancing | 
|  [Amazon Elastic Transcoder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastictranscoder.html)  | elastictranscoder | 
|  [Amazon EMR em EKS (EMR Containers)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemroneksemrcontainers.html)  | emr-containers | 
|  [Amazon EMR Sem Servidor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemrserverless.html)  | emr-serverless | 
|  [Amazon OpenSearch Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)  | es | 
|  [Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html)  | eventos | 
|  [Amazon CloudWatch Evidently](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchevidently.html)  | evidently | 
|  [Amazon FinSpace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfinspace.html)  | finspace | 
|  [Amazon Data Firehose](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)  | firehose | 
|  [AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionsimulator.html)  | fis | 
|  [AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html)  | fms | 
|  [Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector)  | frauddetector | 
|  [Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx)  | fsx | 
|  [Amazon GameLift Servers](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift)  | gamelift | 
|  [Amazon Location Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html)  | geo | 
|  [Amazon Glacier](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3glacier.html)  | glacier | 
|  [Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html)  | grafana | 
|  [AWS IoT Greengrass](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotgreengrass.html)  | greengrass | 
|  [AWS Ground Station](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgroundstation.html)  | groundstation | 
|  [Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html)  | guardduty | 
|  [AWS HealthLake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhealthlake.html)  | healthlake | 
|  [Amazon Honeycode](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhoneycode.html)  | honeycode | 
|  [AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)  | iam | 
|  [AWS Armazenamento de identidades do](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html)  | identitystore | 
|  [EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html)  | imagebuilder | 
|  [Amazon Inspector Classic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html)  | inspector | 
|  [Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html)  | inspector2 | 
|  [AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)  | iot | 
|  [AWS IoT Analytics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotanalytics.html)  | iotanalytics | 
|  [AWS IoT Core Device Advisor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotcoredeviceadvisor.html)  | iotdeviceadvisor | 
|  [AWS IoT Events](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotevents.html)  | iotevents | 
|  [AWS IoT Fleet Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleethubfordevicemanagement.html)  | iotfleethub | 
|  [AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html)  | iotsitewise | 
|  [AWS IoT TwinMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html)  | iottwinmaker | 
|  [AWS IoT Wireless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html)  | iotwireless | 
|  [Amazon Interactive Video Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)  | ivs | 
|  [Amazon Interactive Video Service Chat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservicechat.html)  | ivschat | 
|  [Amazon Managed Streaming for Apache Kafka](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html)  | kafka | 
|  [Amazon Managed Streaming for Kafka Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforkafkaconnect.html)  | kafkaconnect | 
|  [Amazon Kendra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkendra.html)  | kendra | 
|  [Amazon Kinesis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesis.html)  | kinesis | 
|  [Amazon Kinesis Analytics V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalyticsv2.html)  | kinesisanalytics | 
|  [AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)  | kms | 
|  [AWS Lambda](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html)  | lambda | 
|  [Amazon Lex](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlexv2.html)  | lex | 
|  [AWS License Manager Linux Subscriptions Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslicensemanagerlinuxsubscriptionsmanager.html)  | license-manager-linux-subscriptions | 
|  [Amazon Lightsail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlightsail.html)  | lightsail | 
|  [Amazon CloudWatch Logs](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)  | logs | 
|  [Amazon Lookout for Equipment](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforequipment.html)  | lookoutequipment | 
|  [Amazon Lookout for Metrics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutformetrics.html)  | lookoutmetrics | 
|  [Amazon Lookout for Vision](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforvision.html)  | lookoutvision | 
|  [AWS Mainframe Modernization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmainframemodernizationservice.html)  | m2 | 
|  [Amazon Managed Blockchain](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedblockchain.html)  | managedblockchain | 
|  [AWS Elemental MediaConnect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconnect.html)  | mediaconnect | 
|  [AWS Elemental MediaConvert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconvert.html)  | mediaconvert | 
|  [AWS Elemental MediaLive](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmedialive.html)  | medialive | 
|  [AWS Elemental MediaStore](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediastore.html)  | mediastore | 
|  [AWS Elemental MediaTailor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediatailor.html)  | mediatailor | 
|  [Amazon MemoryDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmemorydb.html)  | memorydb | 
|  [AWS Application Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationmigrationservice.html)  | mgn | 
|  [AWS Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhub.html)  | mgh | 
|  [AWS Migration Hub Strategy Recommendations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubstrategyrecommendations.html)  | migrationhub-strategy | 
|  [Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html)  | mobiletargeting | 
|  [Amazon MQ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmq.html)  | mq | 
|  [AWS Network Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkmanager.html)  | networkmanager | 
|  [Amazon Nimble Studio](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html)  | nimble | 
|  [AWS HealthOmics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html)  | omics | 
|  [AWS OpsWorks](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworks.html)  | opsworks | 
|  [AWS OpsWorks CM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworksconfigurationmanagement)  | opsworks-cm | 
|  [AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)  | outposts | 
|  [AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html)  | organizações | 
|  [AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)  | panorama | 
|  [AWS Performance Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsperformanceinsights.html)  | pi | 
|  [Amazon EventBridge Pipes](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgepipes.html)  | pipes | 
|  [Amazon Polly](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)  | polly | 
|  [Amazon Connect Customer Profiles](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectcustomerprofiles.html)  | perfil | 
|  [Amazon QLDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html)  | qldb | 
|  [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html)  | ram | 
|  [AWS Lixeira da](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)  | rbin | 
|  [Amazon Relational Database Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)  | rds | 
|  [Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html)  | redshift | 
|  [API de dados do Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html)  | redshift-data | 
|  [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubrefactorspaces.html)  | refactor-spaces | 
|  [Amazon Rekognition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)  | rekognition | 
|  [AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresiliencehub.html)  | resiliencehub | 
|  [Explorador de recursos da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html)  | resource-explorer-2 | 
|  [AWS Resource Groups](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourcegroups.html)  | resource-groups | 
|  [AWS RoboMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrobomaker.html)  | robomaker | 
|  [AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementrolesanywhere.html)  | rolesanywhere | 
|  [Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)  | route53 | 
|  [Controles de recuperação do Amazon Route](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)  | route53-recovery-control-config | 
|  [Amazon Route 53 Recovery Readiness](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html)  | route53-recovery-readiness | 
|  [Amazon Route 53 Resolver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)  | route53resolver | 
|  [AWS CloudWatch RUM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudwatchrum.html)  | rum | 
|  [Amazon Simple Storage Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)  | s3 | 
|  [Amazon S3 on Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html)  | s3-outposts | 
|  [Recursos geoespaciais do Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)  | sagemaker-geospatial | 
|  [Savings Plans](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssavingsplans.html)  | savingsplans | 
|  [Esquemas do Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgeschemas.html)  | schemas | 
|  [Amazon SimpleDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpledb.html)  | sdb | 
|  [AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)  | secretsmanager | 
|  [AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html)  | securityhub | 
|  [Amazon Security Lake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsecuritylake.html)  | securitylake | 
|  [AWS Serverless Application Repository](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsserverlessapplicationrepository.html)  | serverlessrepo | 
|  [AWS Service Catalog](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservicecatalog.html)  | servicecatalog | 
|  [AWS Cloud Map](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html)  | servicediscovery | 
|  [Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)  | servicequotas | 
|  [Amazon Simple Email Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html)  | ses | 
|  [AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)  | shield | 
|  [AWS Signer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssigner.html)  | signer | 
|  [AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html)  | simspaceweaver | 
|  [AWS Server Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservermigrationservice.html)  | sms | 
|  [SMS e serviço de voz do Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html)  | sms-voice | 
|  [AWS Snowball Edge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html)  | snowball | 
|  [Amazon Simple Queue Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html)  | sqs | 
|  [AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html)  | ssm | 
|  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanager.html)  | ssm-incidents | 
|  [AWS Systems Manager para SAP](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerforsap.html)  | ssm-sap | 
|  [AWS Step Functions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html)  | estados | 
|  [AWS Security Token Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html)  | sts | 
|  [Amazon Simple Workflow Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpleworkflowservice.html)  | swf | 
|  [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchsynthetics.html)  | synthetics | 
|  [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonresourcegrouptaggingapi.html)  | tag | 
|  [Amazon Textract](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)  | textract | 
|  [Amazon Timestream](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestream.html)  | timestream | 
|  [AWS Telco Network Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html)  | tnb | 
|  [Amazon Transcribe](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)  | transcribe | 
|  [AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)  | transferência | 
|  [Amazon Translate](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranslate.html)  | translate | 
|  [Amazon Connect Voice ID](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectvoiceid.html)  | voiceid | 
|  [Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html)  | vpc-lattice | 
|  [AWS WAFV2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html)  | wafv2 | 
|  [AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html)  | wellarchitected | 
|  [Amazon Connect Wisdom](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectwisdom.html)  | wisdom | 
|  [Amazon WorkLink](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworklink.html)  | worklink | 
|  [Amazon WorkSpaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkspaces.html)  | espaços de trabalho | 
|  [AWS X-Ray](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsx-ray.html)  | xray | 

## Ações para as informações acessadas pela última vez pela ação
<a name="access_policies_last-accessed-action-last-accessed-supported-actions"></a>

A tabela a seguir lista as ações para as quais informações acessadas pela última vez pela ação estão disponíveis.

**Importante**  
A ação `iam:UpdateAccountName` será descontinuada em 22 de abril de 2026. Depois de 22 de abril de 2026, somente a permissão `[account:PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)` controlará o acesso à atualização do nome da conta. É altamente recomendável que você atualize todas as [políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) que controlam as atualizações do nome da conta para usar a permissão `account:PutAccountName`.


|  **Prefixo do serviço**  |  **Ações do**  | 
| --- | --- | 
| access-analyzer |  access-analyzer:ApplyArchiveRule access-analyzer:CancelPolicyGeneration access-analyzer:CheckAccessNotGranted access-analyzer:CheckNoNewAccess access-analyzer:CheckNoPublicAccess access-analyzer:CreateAccessPreview access-analyzer:CreateAnalyzer access-analyzer:CreateArchiveRule access-analyzer:DeleteAnalyzer access-analyzer:DeleteArchiveRule access-analyzer:GenerateFindingRecommendation access-analyzer:GetAccessPreview access-analyzer:GetAnalyzedResource access-analyzer:GetAnalyzer access-analyzer:GetArchiveRule access-analyzer:GetFinding access-analyzer:GetFindingRecommendation access-analyzer:GetFindingsStatistics access-analyzer:GetGeneratedPolicy access-analyzer:ListAccessPreviewFindings access-analyzer:ListAccessPreviews access-analyzer:ListAnalyzedResources access-analyzer:ListAnalyzers access-analyzer:ListArchiveRules access-analyzer:ListFindings access-analyzer:ListPolicyGenerations access-analyzer:StartPolicyGeneration access-analyzer:StartResourceScan access-analyzer:UpdateAnalyzer access-analyzer:UpdateArchiveRule access-analyzer:UpdateFindings access-analyzer:ValidatePolicy  | 
| conta |  account:AcceptPrimaryEmailUpdate account:DeleteAlternateContact account:DisableRegion account:EnableRegion account:GetAccountInformation account:GetAlternateContact account:GetContactInformation account:GetGovCloudAccountInformation account:GetPrimaryEmail account:GetRegionOptStatus account:ListRegions account:PutAccountName account:PutAlternateContact account:PutContactInformation account:StartPrimaryEmailUpdate  | 
| acm |  acm:DeleteCertificate acm:DescribeCertificate acm:ExportCertificate acm:GetAccountConfiguration acm:GetCertificate acm:ImportCertificate acm:ListCertificates acm:PutAccountConfiguration acm:RenewCertificate acm:RequestCertificate acm:ResendValidationEmail acm:UpdateCertificateOptions  | 
| airflow |  airflow:CreateCliToken airflow:CreateEnvironment airflow:CreateWebLoginToken airflow:DeleteEnvironment airflow:GetEnvironment airflow:ListEnvironments airflow:PublishMetrics airflow:UpdateEnvironment  | 
| amplify |  amplify:CreateApp amplify:CreateBackendEnvironment amplify:CreateBranch amplify:CreateDeployment amplify:CreateDomainAssociation amplify:CreateWebHook amplify:DeleteApp amplify:DeleteBackendEnvironment amplify:DeleteBranch amplify:DeleteDomainAssociation amplify:DeleteJob amplify:DeleteWebHook amplify:GenerateAccessLogs amplify:GetApp amplify:GetArtifactUrl amplify:GetBackendEnvironment amplify:GetBranch amplify:GetDomainAssociation amplify:GetJob amplify:GetWebHook amplify:ListApps amplify:ListArtifacts amplify:ListBackendEnvironments amplify:ListBranches amplify:ListDomainAssociations amplify:ListJobs amplify:ListWebHooks amplify:StartDeployment amplify:StartJob amplify:StopJob amplify:UpdateApp amplify:UpdateBranch amplify:UpdateDomainAssociation amplify:UpdateWebHook  | 
| amplifyuibuilder |  amplifyuibuilder:CreateComponent amplifyuibuilder:CreateForm amplifyuibuilder:CreateTheme amplifyuibuilder:DeleteComponent amplifyuibuilder:DeleteForm amplifyuibuilder:DeleteTheme amplifyuibuilder:ExportComponents amplifyuibuilder:ExportThemes amplifyuibuilder:GetCodegenJob amplifyuibuilder:ListCodegenJobs amplifyuibuilder:ListComponents amplifyuibuilder:ListForms amplifyuibuilder:ListThemes amplifyuibuilder:ResetMetadataFlag amplifyuibuilder:StartCodegenJob amplifyuibuilder:UpdateComponent amplifyuibuilder:UpdateForm amplifyuibuilder:UpdateTheme  | 
| app-integrations |  app-integrations:CreateApplication app-integrations:CreateDataIntegration app-integrations:CreateDataIntegrationAssociation app-integrations:CreateEventIntegration app-integrations:DeleteApplication app-integrations:DeleteDataIntegration app-integrations:DeleteEventIntegration app-integrations:GetApplication app-integrations:GetDataIntegration app-integrations:GetEventIntegration app-integrations:ListApplicationAssociations app-integrations:ListApplications app-integrations:ListDataIntegrationAssociations app-integrations:ListDataIntegrations app-integrations:ListEventIntegrationAssociations app-integrations:ListEventIntegrations app-integrations:UpdateApplication app-integrations:UpdateDataIntegration app-integrations:UpdateDataIntegrationAssociation app-integrations:UpdateEventIntegration  | 
| appconfig |  appconfig:CreateApplication appconfig:CreateConfigurationProfile appconfig:CreateDeploymentStrategy appconfig:CreateEnvironment appconfig:CreateExtension appconfig:CreateExtensionAssociation appconfig:CreateHostedConfigurationVersion appconfig:DeleteApplication appconfig:DeleteConfigurationProfile appconfig:DeleteDeploymentStrategy appconfig:DeleteEnvironment appconfig:DeleteExtension appconfig:DeleteExtensionAssociation appconfig:DeleteHostedConfigurationVersion appconfig:GetAccountSettings appconfig:GetApplication appconfig:GetConfiguration appconfig:GetConfigurationProfile appconfig:GetDeployment appconfig:GetDeploymentStrategy appconfig:GetEnvironment appconfig:GetExtension appconfig:GetExtensionAssociation appconfig:GetHostedConfigurationVersion appconfig:ListApplications appconfig:ListConfigurationProfiles appconfig:ListDeploymentStrategies appconfig:ListDeployments appconfig:ListEnvironments appconfig:ListExtensionAssociations appconfig:ListExtensions appconfig:ListHostedConfigurationVersions appconfig:StartDeployment appconfig:StopDeployment appconfig:UpdateAccountSettings appconfig:UpdateApplication appconfig:UpdateConfigurationProfile appconfig:UpdateDeploymentStrategy appconfig:UpdateEnvironment appconfig:UpdateExtension appconfig:UpdateExtensionAssociation appconfig:ValidateConfiguration  | 
| appflow |  appflow:CancelFlowExecutions appflow:CreateConnectorProfile appflow:CreateFlow appflow:DeleteConnectorProfile appflow:DeleteFlow appflow:DescribeConnector appflow:DescribeConnectorEntity appflow:DescribeConnectorProfiles appflow:DescribeConnectors appflow:DescribeFlow appflow:DescribeFlowExecutionRecords appflow:ListConnectorEntities appflow:ListConnectors appflow:ListFlows appflow:RegisterConnector appflow:ResetConnectorMetadataCache appflow:StartFlow appflow:StopFlow appflow:UnRegisterConnector appflow:UpdateConnectorProfile appflow:UpdateConnectorRegistration appflow:UpdateFlow  | 
| applicationinsights |  applicationinsights:AddWorkload applicationinsights:CreateApplication applicationinsights:CreateComponent applicationinsights:CreateLogPattern applicationinsights:DeleteApplication applicationinsights:DeleteComponent applicationinsights:DeleteLogPattern applicationinsights:DescribeApplication applicationinsights:DescribeComponent applicationinsights:DescribeComponentConfiguration applicationinsights:DescribeComponentConfigurationRecommendation applicationinsights:DescribeLogPattern applicationinsights:DescribeObservation applicationinsights:DescribeProblem applicationinsights:DescribeProblemObservations applicationinsights:DescribeWorkload applicationinsights:ListApplications applicationinsights:ListComponents applicationinsights:ListConfigurationHistory applicationinsights:ListLogPatternSets applicationinsights:ListLogPatterns applicationinsights:ListProblems applicationinsights:ListWorkloads applicationinsights:RemoveWorkload applicationinsights:UpdateApplication applicationinsights:UpdateComponent applicationinsights:UpdateComponentConfiguration applicationinsights:UpdateLogPattern applicationinsights:UpdateWorkload  | 
| appmesh |  appmesh:CreateGatewayRoute appmesh:CreateMesh appmesh:CreateRoute appmesh:CreateVirtualGateway appmesh:CreateVirtualNode appmesh:CreateVirtualRouter appmesh:CreateVirtualService appmesh:DeleteGatewayRoute appmesh:DeleteMesh appmesh:DeleteRoute appmesh:DeleteVirtualGateway appmesh:DeleteVirtualNode appmesh:DeleteVirtualRouter appmesh:DeleteVirtualService appmesh:DescribeGatewayRoute appmesh:DescribeMesh appmesh:DescribeRoute appmesh:DescribeVirtualGateway appmesh:DescribeVirtualNode appmesh:DescribeVirtualRouter appmesh:DescribeVirtualService appmesh:ListGatewayRoutes appmesh:ListMeshes appmesh:ListRoutes appmesh:ListVirtualGateways appmesh:ListVirtualNodes appmesh:ListVirtualRouters appmesh:ListVirtualServices appmesh:StreamAggregatedResources appmesh:UpdateGatewayRoute appmesh:UpdateMesh appmesh:UpdateRoute appmesh:UpdateVirtualGateway appmesh:UpdateVirtualNode appmesh:UpdateVirtualRouter appmesh:UpdateVirtualService  | 
| appstream |  appstream:AssociateAppBlockBuilderAppBlock appstream:AssociateApplicationFleet appstream:AssociateApplicationToEntitlement appstream:AssociateFleet appstream:AssociateSoftwareToImageBuilder appstream:BatchAssociateUserStack appstream:BatchDisassociateUserStack appstream:CopyImage appstream:CreateAppBlock appstream:CreateAppBlockBuilder appstream:CreateAppBlockBuilderStreamingURL appstream:CreateApplication appstream:CreateDirectoryConfig appstream:CreateEntitlement appstream:CreateFleet appstream:CreateImageBuilder appstream:CreateImageBuilderStreamingURL appstream:CreateStack appstream:CreateStreamingURL appstream:CreateThemeForStack appstream:CreateUpdatedImage appstream:CreateUsageReportSubscription appstream:CreateUser appstream:DeleteAppBlock appstream:DeleteAppBlockBuilder appstream:DeleteApplication appstream:DeleteDirectoryConfig appstream:DeleteEntitlement appstream:DeleteFleet appstream:DeleteImage appstream:DeleteImageBuilder appstream:DeleteImagePermissions appstream:DeleteStack appstream:DeleteThemeForStack appstream:DeleteUsageReportSubscription appstream:DeleteUser appstream:DescribeAppBlockBuilderAppBlockAssociations appstream:DescribeAppBlockBuilders appstream:DescribeAppBlocks appstream:DescribeAppLicenseUsage appstream:DescribeApplicationFleetAssociations appstream:DescribeApplications appstream:DescribeDirectoryConfigs appstream:DescribeEntitlements appstream:DescribeFleets appstream:DescribeImageBuilders appstream:DescribeImagePermissions appstream:DescribeImages appstream:DescribeSessions appstream:DescribeStacks appstream:DescribeThemeForStack appstream:DescribeUsageReportSubscriptions appstream:DescribeUserStackAssociations appstream:DescribeUsers appstream:DisableUser appstream:DisassociateAppBlockBuilderAppBlock appstream:DisassociateApplicationFleet appstream:DisassociateApplicationFromEntitlement appstream:DisassociateFleet appstream:DisassociateSoftwareFromImageBuilder appstream:EnableUser appstream:ExpireSession appstream:GetExportImageTask appstream:ListAssociatedFleets appstream:ListAssociatedStacks appstream:ListEntitledApplications appstream:ListExportImageTasks appstream:StartAppBlockBuilder appstream:StartFleet appstream:StartImageBuilder appstream:StartSoftwareDeploymentToImageBuilder appstream:StopAppBlockBuilder appstream:StopFleet appstream:StopImageBuilder appstream:UpdateAppBlockBuilder appstream:UpdateApplication appstream:UpdateDirectoryConfig appstream:UpdateEntitlement appstream:UpdateFleet appstream:UpdateImagePermissions appstream:UpdateStack appstream:UpdateThemeForStack  | 
| appsync |  appsync:AssociateApi appsync:AssociateMergedGraphqlApi appsync:AssociateSourceGraphqlApi appsync:AssociateWebACL appsync:CreateApi appsync:CreateApiCache appsync:CreateApiKey appsync:CreateChannelNamespace appsync:CreateDataSource appsync:CreateDomainName appsync:CreateFunction appsync:CreateGraphqlApi appsync:CreateResolver appsync:CreateType appsync:DeleteApi appsync:DeleteApiCache appsync:DeleteApiKey appsync:DeleteChannelNamespace appsync:DeleteDataSource appsync:DeleteDomainName appsync:DeleteFunction appsync:DeleteGraphqlApi appsync:DeleteResolver appsync:DeleteType appsync:DisassociateApi appsync:DisassociateMergedGraphqlApi appsync:DisassociateSourceGraphqlApi appsync:DisassociateWebACL appsync:EvaluateCode appsync:EvaluateMappingTemplate appsync:FlushApiCache appsync:GetApi appsync:GetApiAssociation appsync:GetApiCache appsync:GetChannelNamespace appsync:GetDataSource appsync:GetDataSourceIntrospection appsync:GetDomainName appsync:GetFunction appsync:GetGraphqlApi appsync:GetGraphqlApiEnvironmentVariables appsync:GetIntrospectionSchema appsync:GetResolver appsync:GetSchemaCreationStatus appsync:GetSourceApiAssociation appsync:GetType appsync:GetWebACLForResource appsync:ListApiKeys appsync:ListApis appsync:ListChannelNamespaces appsync:ListDataSources appsync:ListDomainNames appsync:ListFunctions appsync:ListGraphqlApis appsync:ListResolvers appsync:ListResolversByFunction appsync:ListResourcesForWebACL appsync:ListSourceApiAssociations appsync:ListTypes appsync:ListTypesByAssociation appsync:PutGraphqlApiEnvironmentVariables appsync:StartDataSourceIntrospection appsync:StartSchemaCreation appsync:StartSchemaMerge appsync:UpdateApi appsync:UpdateApiCache appsync:UpdateApiKey appsync:UpdateChannelNamespace appsync:UpdateDataSource appsync:UpdateDomainName appsync:UpdateFunction appsync:UpdateGraphqlApi appsync:UpdateResolver appsync:UpdateSourceApiAssociation appsync:UpdateType  | 
| aps |  aps:CreateAlertManagerDefinition aps:CreateAnomalyDetector aps:CreateLoggingConfiguration aps:CreateQueryLoggingConfiguration aps:CreateRuleGroupsNamespace aps:CreateWorkspace aps:DeleteAlertManagerDefinition aps:DeleteAnomalyDetector aps:DeleteLoggingConfiguration aps:DeleteQueryLoggingConfiguration aps:DeleteResourcePolicy aps:DeleteRuleGroupsNamespace aps:DeleteScraper aps:DeleteScraperLoggingConfiguration aps:DeleteWorkspace aps:DescribeAlertManagerDefinition aps:DescribeAnomalyDetector aps:DescribeLoggingConfiguration aps:DescribeQueryLoggingConfiguration aps:DescribeResourcePolicy aps:DescribeRuleGroupsNamespace aps:DescribeScraper aps:DescribeScraperLoggingConfiguration aps:DescribeWorkspace aps:DescribeWorkspaceConfiguration aps:GetDefaultScraperConfiguration aps:ListAnomalyDetectors aps:ListRuleGroupsNamespaces aps:ListScrapers aps:ListWorkspaces aps:PutAlertManagerDefinition aps:PutAnomalyDetector aps:PutResourcePolicy aps:PutRuleGroupsNamespace aps:UpdateLoggingConfiguration aps:UpdateQueryLoggingConfiguration aps:UpdateScraper aps:UpdateScraperLoggingConfiguration aps:UpdateWorkspaceAlias aps:UpdateWorkspaceConfiguration  | 
| athena |  athena:BatchGetNamedQuery athena:BatchGetPreparedStatement athena:BatchGetQueryExecution athena:CancelCapacityReservation athena:CreateCapacityReservation athena:CreateDataCatalog athena:CreateNamedQuery athena:CreateNotebook athena:CreatePreparedStatement athena:CreatePresignedNotebookUrl athena:CreateWorkGroup athena:DeleteCapacityReservation athena:DeleteDataCatalog athena:DeleteNamedQuery athena:DeleteNotebook athena:DeletePreparedStatement athena:DeleteWorkGroup athena:ExportNotebook athena:GetCalculationExecution athena:GetCalculationExecutionCode athena:GetCalculationExecutionStatus athena:GetCapacityAssignmentConfiguration athena:GetCapacityReservation athena:GetDataCatalog athena:GetDatabase athena:GetNamedQuery athena:GetNotebookMetadata athena:GetPreparedStatement athena:GetQueryExecution athena:GetQueryResults athena:GetQueryResultsStream athena:GetQueryRuntimeStatistics athena:GetResourceDashboard athena:GetSession athena:GetSessionEndpoint athena:GetSessionStatus athena:GetTableMetadata athena:GetWorkGroup athena:ImportNotebook athena:ListApplicationDPUSizes athena:ListCalculationExecutions athena:ListCapacityReservations athena:ListDataCatalogs athena:ListDatabases athena:ListEngineVersions athena:ListExecutors athena:ListNamedQueries athena:ListNotebookMetadata athena:ListNotebookSessions athena:ListPreparedStatements athena:ListQueryExecutions athena:ListSessions athena:ListTableMetadata athena:ListWorkGroups athena:PutCapacityAssignmentConfiguration athena:StartCalculationExecution athena:StartQueryExecution athena:StartSession athena:StopCalculationExecution athena:StopQueryExecution athena:TerminateSession athena:UpdateCapacityReservation athena:UpdateDataCatalog athena:UpdateNamedQuery athena:UpdateNotebook athena:UpdateNotebookMetadata athena:UpdatePreparedStatement athena:UpdateWorkGroup  | 
| auditmanager |  auditmanager:AssociateAssessmentReportEvidenceFolder auditmanager:BatchAssociateAssessmentReportEvidence auditmanager:BatchCreateDelegationByAssessment auditmanager:BatchDeleteDelegationByAssessment auditmanager:BatchDisassociateAssessmentReportEvidence auditmanager:BatchImportEvidenceToAssessmentControl auditmanager:CreateAssessment auditmanager:CreateAssessmentFramework auditmanager:CreateAssessmentReport auditmanager:CreateControl auditmanager:DeleteAssessment auditmanager:DeleteAssessmentFramework auditmanager:DeleteAssessmentFrameworkShare auditmanager:DeleteAssessmentReport auditmanager:DeleteControl auditmanager:DeregisterAccount auditmanager:DeregisterOrganizationAdminAccount auditmanager:DisassociateAssessmentReportEvidenceFolder auditmanager:GetAccountStatus auditmanager:GetAssessment auditmanager:GetAssessmentFramework auditmanager:GetAssessmentReportUrl auditmanager:GetChangeLogs auditmanager:GetControl auditmanager:GetDelegations auditmanager:GetEvidence auditmanager:GetEvidenceByEvidenceFolder auditmanager:GetEvidenceFileUploadUrl auditmanager:GetEvidenceFolder auditmanager:GetEvidenceFoldersByAssessment auditmanager:GetEvidenceFoldersByAssessmentControl auditmanager:GetInsights auditmanager:GetInsightsByAssessment auditmanager:GetOrganizationAdminAccount auditmanager:GetServicesInScope auditmanager:GetSettings auditmanager:ListAssessmentControlInsightsByControlDomain auditmanager:ListAssessmentFrameworkShareRequests auditmanager:ListAssessmentFrameworks auditmanager:ListAssessmentReports auditmanager:ListAssessments auditmanager:ListControlDomainInsights auditmanager:ListControlDomainInsightsByAssessment auditmanager:ListControlInsightsByControlDomain auditmanager:ListControls auditmanager:ListKeywordsForDataSource auditmanager:ListNotifications auditmanager:RegisterAccount auditmanager:RegisterOrganizationAdminAccount auditmanager:StartAssessmentFrameworkShare auditmanager:UpdateAssessment auditmanager:UpdateAssessmentControl auditmanager:UpdateAssessmentControlSetStatus auditmanager:UpdateAssessmentFramework auditmanager:UpdateAssessmentFrameworkShare auditmanager:UpdateAssessmentStatus auditmanager:UpdateControl auditmanager:UpdateSettings auditmanager:ValidateAssessmentReportIntegrity  | 
| ajuste de escala automático |  autoscaling:AttachInstances autoscaling:AttachLoadBalancerTargetGroups autoscaling:AttachLoadBalancers autoscaling:AttachTrafficSources autoscaling:BatchDeleteScheduledAction autoscaling:BatchPutScheduledUpdateGroupAction autoscaling:CancelInstanceRefresh autoscaling:CompleteLifecycleAction autoscaling:CreateAutoScalingGroup autoscaling:CreateLaunchConfiguration autoscaling:DeleteAutoScalingGroup autoscaling:DeleteLaunchConfiguration autoscaling:DeleteLifecycleHook autoscaling:DeleteNotificationConfiguration autoscaling:DeletePolicy autoscaling:DeleteScheduledAction autoscaling:DeleteWarmPool autoscaling:DescribeAccountLimits autoscaling:DescribeAdjustmentTypes autoscaling:DescribeAutoScalingGroups autoscaling:DescribeAutoScalingInstances autoscaling:DescribeAutoScalingNotificationTypes autoscaling:DescribeInstanceRefreshes autoscaling:DescribeLaunchConfigurations autoscaling:DescribeLifecycleHookTypes autoscaling:DescribeLifecycleHooks autoscaling:DescribeLoadBalancerTargetGroups autoscaling:DescribeLoadBalancers autoscaling:DescribeMetricCollectionTypes autoscaling:DescribeNotificationConfigurations autoscaling:DescribePolicies autoscaling:DescribeScalingActivities autoscaling:DescribeScalingProcessTypes autoscaling:DescribeScheduledActions autoscaling:DescribeTerminationPolicyTypes autoscaling:DescribeTrafficSources autoscaling:DescribeWarmPool autoscaling:DetachInstances autoscaling:DetachLoadBalancerTargetGroups autoscaling:DetachLoadBalancers autoscaling:DetachTrafficSources autoscaling:DisableMetricsCollection autoscaling:EnableMetricsCollection autoscaling:EnterStandby autoscaling:ExecutePolicy autoscaling:ExitStandby autoscaling:GetPredictiveScalingForecast autoscaling:PutLifecycleHook autoscaling:PutNotificationConfiguration autoscaling:PutScalingPolicy autoscaling:PutScheduledUpdateGroupAction autoscaling:PutWarmPool autoscaling:RecordLifecycleActionHeartbeat autoscaling:ResumeProcesses autoscaling:RollbackInstanceRefresh autoscaling:SetDesiredCapacity autoscaling:SetInstanceHealth autoscaling:SetInstanceProtection autoscaling:StartInstanceRefresh autoscaling:SuspendProcesses autoscaling:TerminateInstanceInAutoScalingGroup autoscaling:UpdateAutoScalingGroup  | 
| aws-marketplace |  aws-marketplace:GetEntitlements  | 
| backup |  backup:CancelLegalHold backup:CreateBackupPlan backup:CreateBackupSelection backup:CreateBackupVault backup:CreateFramework backup:CreateLegalHold backup:CreateLogicallyAirGappedBackupVault backup:CreateReportPlan backup:CreateRestoreAccessBackupVault backup:CreateRestoreTestingPlan backup:CreateRestoreTestingSelection backup:CreateTieringConfiguration backup:DeleteBackupPlan backup:DeleteBackupSelection backup:DeleteBackupVault backup:DeleteBackupVaultAccessPolicy backup:DeleteBackupVaultLockConfiguration backup:DeleteBackupVaultNotifications backup:DeleteFramework backup:DeleteRecoveryPoint backup:DeleteReportPlan backup:DeleteRestoreTestingPlan backup:DeleteRestoreTestingSelection backup:DeleteTieringConfiguration backup:DescribeBackupJob backup:DescribeBackupVault backup:DescribeCopyJob backup:DescribeFramework backup:DescribeGlobalSettings backup:DescribeProtectedResource backup:DescribeRecoveryPoint backup:DescribeRegionSettings backup:DescribeReportJob backup:DescribeReportPlan backup:DescribeRestoreJob backup:DescribeScanJob backup:DisassociateRecoveryPoint backup:DisassociateRecoveryPointFromParent backup:ExportBackupPlanTemplate backup:GetBackupPlan backup:GetBackupPlanFromJSON backup:GetBackupPlanFromTemplate backup:GetBackupSelection backup:GetBackupVaultAccessPolicy backup:GetBackupVaultNotifications backup:GetLegalHold backup:GetRecoveryPointRestoreMetadata backup:GetRestoreJobMetadata backup:GetRestoreTestingInferredMetadata backup:GetRestoreTestingPlan backup:GetRestoreTestingSelection backup:GetSupportedResourceTypes backup:GetTieringConfiguration backup:ListBackupJobSummaries backup:ListBackupJobs backup:ListBackupPlanTemplates backup:ListBackupPlanVersions backup:ListBackupPlans backup:ListBackupSelections backup:ListBackupVaults backup:ListCopyJobSummaries backup:ListCopyJobs backup:ListFrameworks backup:ListIndexedRecoveryPoints backup:ListLegalHolds backup:ListProtectedResources backup:ListRecoveryPointsByBackupVault backup:ListRecoveryPointsByLegalHold backup:ListRecoveryPointsByResource backup:ListReportJobs backup:ListReportPlans backup:ListRestoreAccessBackupVaults backup:ListRestoreJobSummaries backup:ListRestoreJobs backup:ListRestoreJobsByProtectedResource backup:ListRestoreTestingPlans backup:ListRestoreTestingSelections backup:ListScanJobSummaries backup:ListScanJobs backup:ListTieringConfigurations backup:PutBackupVaultAccessPolicy backup:PutBackupVaultLockConfiguration backup:PutBackupVaultNotifications backup:PutRestoreValidationResult backup:StartBackupJob backup:StartCopyJob backup:StartReportJob backup:StartRestoreJob backup:StopBackupJob backup:UpdateBackupPlan backup:UpdateFramework backup:UpdateGlobalSettings backup:UpdateRecoveryPointLifecycle backup:UpdateRegionSettings backup:UpdateReportPlan backup:UpdateRestoreTestingPlan backup:UpdateRestoreTestingSelection backup:UpdateTieringConfiguration  | 
| lote |  batch:CancelJob batch:CreateComputeEnvironment batch:CreateConsumableResource batch:CreateJobQueue batch:CreateSchedulingPolicy batch:CreateServiceEnvironment batch:DeleteComputeEnvironment batch:DeleteConsumableResource batch:DeleteJobQueue batch:DeleteSchedulingPolicy batch:DeleteServiceEnvironment batch:DeregisterJobDefinition batch:DescribeComputeEnvironments batch:DescribeConsumableResource batch:DescribeJobDefinitions batch:DescribeJobQueues batch:DescribeJobs batch:DescribeSchedulingPolicies batch:DescribeServiceEnvironments batch:DescribeServiceJob batch:GetJobQueueSnapshot batch:ListConsumableResources batch:ListJobs batch:ListJobsByConsumableResource batch:ListSchedulingPolicies batch:ListServiceJobs batch:RegisterJobDefinition batch:SubmitJob batch:SubmitServiceJob batch:TerminateJob batch:TerminateServiceJob batch:UpdateComputeEnvironment batch:UpdateConsumableResource batch:UpdateJobQueue batch:UpdateSchedulingPolicy batch:UpdateServiceEnvironment  | 
| braket |  braket:CancelJob braket:CancelQuantumTask braket:CreateJob braket:CreateQuantumTask braket:CreateSpendingLimit braket:GetDevice braket:GetJob braket:GetQuantumTask braket:SearchDevices braket:SearchJobs braket:SearchQuantumTasks braket:SearchSpendingLimits  | 
| orçamentos |  budgets:CreateBudgetAction budgets:DeleteBudgetAction budgets:DescribeBudgetAction budgets:DescribeBudgetActionHistories budgets:DescribeBudgetActionsForAccount budgets:DescribeBudgetActionsForBudget budgets:ExecuteBudgetAction budgets:ModifyBudget budgets:UpdateBudgetAction budgets:ViewBudget  | 
| cloud9 |  cloud9:CreateEnvironmentEC2 cloud9:CreateEnvironmentMembership cloud9:DeleteEnvironment cloud9:DeleteEnvironmentMembership cloud9:DescribeEnvironmentMemberships cloud9:DescribeEnvironmentStatus cloud9:DescribeEnvironments cloud9:ListEnvironments cloud9:UpdateEnvironment cloud9:UpdateEnvironmentMembership  | 
| cloudformation |  cloudformation:BatchDescribeTypeConfigurations cloudformation:CancelUpdateStack cloudformation:ContinueUpdateRollback cloudformation:CreateChangeSet cloudformation:CreateGeneratedTemplate cloudformation:CreateStack cloudformation:CreateStackInstances cloudformation:CreateStackSet cloudformation:DeactivateType cloudformation:DeleteChangeSet cloudformation:DeleteGeneratedTemplate cloudformation:DeleteStack cloudformation:DeleteStackInstances cloudformation:DeleteStackSet cloudformation:DeregisterType cloudformation:DescribeAccountLimits cloudformation:DescribeChangeSet cloudformation:DescribeChangeSetHooks cloudformation:DescribeEvents cloudformation:DescribeGeneratedTemplate cloudformation:DescribeOrganizationsAccess cloudformation:DescribePublisher cloudformation:DescribeResourceScan cloudformation:DescribeStackDriftDetectionStatus cloudformation:DescribeStackEvents cloudformation:DescribeStackInstance cloudformation:DescribeStackResource cloudformation:DescribeStackResourceDrifts cloudformation:DescribeStackResources cloudformation:DescribeStackSet cloudformation:DescribeStackSetOperation cloudformation:DescribeStacks cloudformation:DescribeType cloudformation:DescribeTypeRegistration cloudformation:DetectStackDrift cloudformation:DetectStackResourceDrift cloudformation:DetectStackSetDrift cloudformation:EstimateTemplateCost cloudformation:ExecuteChangeSet cloudformation:GetGeneratedTemplate cloudformation:GetHookResult cloudformation:GetStackPolicy cloudformation:GetTemplate cloudformation:GetTemplateSummary cloudformation:ImportStacksToStackSet cloudformation:ListChangeSets cloudformation:ListExports cloudformation:ListGeneratedTemplates cloudformation:ListHookResults cloudformation:ListImports cloudformation:ListResourceScanRelatedResources cloudformation:ListResourceScanResources cloudformation:ListResourceScans cloudformation:ListStackInstanceResourceDrifts cloudformation:ListStackInstances cloudformation:ListStackRefactors cloudformation:ListStackResources cloudformation:ListStackSetAutoDeploymentTargets cloudformation:ListStackSetOperationResults cloudformation:ListStackSetOperations cloudformation:ListStackSets cloudformation:ListTypeRegistrations cloudformation:ListTypeVersions cloudformation:ListTypes cloudformation:PublishType cloudformation:RecordHandlerProgress cloudformation:RegisterPublisher cloudformation:RegisterType cloudformation:RollbackStack cloudformation:SetStackPolicy cloudformation:SetTypeConfiguration cloudformation:SetTypeDefaultVersion cloudformation:SignalResource cloudformation:StartResourceScan cloudformation:StopStackSetOperation cloudformation:TestType cloudformation:UpdateGeneratedTemplate cloudformation:UpdateStack cloudformation:UpdateStackInstances cloudformation:UpdateStackSet cloudformation:UpdateTerminationProtection cloudformation:ValidateTemplate  | 
| cloudfront |  cloudfront:AssociateAlias cloudfront:AssociateDistributionTenantWebACL cloudfront:AssociateDistributionWebACL cloudfront:CreateCachePolicy cloudfront:CreateCloudFrontOriginAccessIdentity cloudfront:CreateConnectionFunction cloudfront:CreateContinuousDeploymentPolicy cloudfront:CreateDistributionTenant cloudfront:CreateFieldLevelEncryptionConfig cloudfront:CreateFieldLevelEncryptionProfile cloudfront:CreateFunction cloudfront:CreateInvalidation cloudfront:CreateKeyGroup cloudfront:CreateKeyValueStore cloudfront:CreateMonitoringSubscription cloudfront:CreateOriginAccessControl cloudfront:CreateOriginRequestPolicy cloudfront:CreatePublicKey cloudfront:CreateRealtimeLogConfig cloudfront:CreateResponseHeadersPolicy cloudfront:CreateTrustStore cloudfront:DeleteAnycastIpList cloudfront:DeleteCachePolicy cloudfront:DeleteCloudFrontOriginAccessIdentity cloudfront:DeleteConnectionFunction cloudfront:DeleteConnectionGroup cloudfront:DeleteContinuousDeploymentPolicy cloudfront:DeleteDistribution cloudfront:DeleteDistributionTenant cloudfront:DeleteFieldLevelEncryptionConfig cloudfront:DeleteFieldLevelEncryptionProfile cloudfront:DeleteFunction cloudfront:DeleteKeyGroup cloudfront:DeleteKeyValueStore cloudfront:DeleteMonitoringSubscription cloudfront:DeleteOriginAccessControl cloudfront:DeleteOriginRequestPolicy cloudfront:DeletePublicKey cloudfront:DeleteRealtimeLogConfig cloudfront:DeleteResponseHeadersPolicy cloudfront:DeleteStreamingDistribution cloudfront:DeleteTrustStore cloudfront:DeleteVpcOrigin cloudfront:DescribeFunction cloudfront:DescribeKeyValueStore cloudfront:DisassociateDistributionTenantWebACL cloudfront:DisassociateDistributionWebACL cloudfront:GetAnycastIpList cloudfront:GetCachePolicy cloudfront:GetCachePolicyConfig cloudfront:GetCloudFrontOriginAccessIdentity cloudfront:GetCloudFrontOriginAccessIdentityConfig cloudfront:GetContinuousDeploymentPolicy cloudfront:GetContinuousDeploymentPolicyConfig cloudfront:GetDistributionConfig cloudfront:GetFieldLevelEncryption cloudfront:GetFieldLevelEncryptionConfig cloudfront:GetFieldLevelEncryptionProfile cloudfront:GetFieldLevelEncryptionProfileConfig cloudfront:GetFunction cloudfront:GetInvalidation cloudfront:GetInvalidationForDistributionTenant cloudfront:GetKeyGroup cloudfront:GetKeyGroupConfig cloudfront:GetMonitoringSubscription cloudfront:GetOriginAccessControl cloudfront:GetOriginAccessControlConfig cloudfront:GetOriginRequestPolicy cloudfront:GetOriginRequestPolicyConfig cloudfront:GetPublicKey cloudfront:GetPublicKeyConfig cloudfront:GetRealtimeLogConfig cloudfront:GetResponseHeadersPolicy cloudfront:GetResponseHeadersPolicyConfig cloudfront:GetStreamingDistribution cloudfront:GetStreamingDistributionConfig cloudfront:GetVpcOrigin cloudfront:ListAnycastIpLists cloudfront:ListCachePolicies cloudfront:ListCloudFrontOriginAccessIdentities cloudfront:ListConflictingAliases cloudfront:ListConnectionFunctions cloudfront:ListConnectionGroups cloudfront:ListContinuousDeploymentPolicies cloudfront:ListDistributionTenants cloudfront:ListDistributionTenantsByCustomization cloudfront:ListDistributions cloudfront:ListDistributionsByAnycastIpListId cloudfront:ListDistributionsByCachePolicyId cloudfront:ListDistributionsByConnectionMode cloudfront:ListDistributionsByKeyGroup cloudfront:ListDistributionsByOriginRequestPolicyId cloudfront:ListDistributionsByRealtimeLogConfig cloudfront:ListDistributionsByResponseHeadersPolicyId cloudfront:ListDistributionsByVpcOriginId cloudfront:ListDistributionsByWebACLId cloudfront:ListFieldLevelEncryptionConfigs cloudfront:ListFieldLevelEncryptionProfiles cloudfront:ListFunctions cloudfront:ListInvalidations cloudfront:ListInvalidationsForDistributionTenant cloudfront:ListKeyGroups cloudfront:ListKeyValueStores cloudfront:ListOriginAccessControls cloudfront:ListOriginRequestPolicies cloudfront:ListPublicKeys cloudfront:ListRealtimeLogConfigs cloudfront:ListResponseHeadersPolicies cloudfront:ListStreamingDistributions cloudfront:ListTrustStores cloudfront:PublishConnectionFunction cloudfront:PublishFunction cloudfront:TestConnectionFunction cloudfront:TestFunction cloudfront:UpdateAnycastIpList cloudfront:UpdateCachePolicy cloudfront:UpdateCloudFrontOriginAccessIdentity cloudfront:UpdateConnectionFunction cloudfront:UpdateConnectionGroup cloudfront:UpdateContinuousDeploymentPolicy cloudfront:UpdateDistribution cloudfront:UpdateDistributionTenant cloudfront:UpdateFieldLevelEncryptionConfig cloudfront:UpdateFieldLevelEncryptionProfile cloudfront:UpdateFunction cloudfront:UpdateKeyGroup cloudfront:UpdateKeyValueStore cloudfront:UpdateOriginAccessControl cloudfront:UpdateOriginRequestPolicy cloudfront:UpdatePublicKey cloudfront:UpdateRealtimeLogConfig cloudfront:UpdateResponseHeadersPolicy cloudfront:UpdateTrustStore  | 
| cloudhsm |  cloudhsm:CreateHsm cloudhsm:DeleteBackup cloudhsm:DeleteHsm cloudhsm:DeleteResourcePolicy cloudhsm:DescribeBackups cloudhsm:DescribeClusters cloudhsm:GetResourcePolicy cloudhsm:InitializeCluster cloudhsm:ModifyBackupAttributes cloudhsm:ModifyCluster cloudhsm:PutResourcePolicy cloudhsm:RestoreBackup  | 
| cloudsearch |  cloudsearch:BuildSuggesters cloudsearch:CreateDomain cloudsearch:DefineAnalysisScheme cloudsearch:DefineExpression cloudsearch:DefineIndexField cloudsearch:DefineSuggester cloudsearch:DeleteAnalysisScheme cloudsearch:DeleteDomain cloudsearch:DeleteExpression cloudsearch:DeleteIndexField cloudsearch:DeleteSuggester cloudsearch:DescribeAnalysisSchemes cloudsearch:DescribeAvailabilityOptions cloudsearch:DescribeDomainEndpointOptions cloudsearch:DescribeDomains cloudsearch:DescribeExpressions cloudsearch:DescribeIndexFields cloudsearch:DescribeScalingParameters cloudsearch:DescribeServiceAccessPolicies cloudsearch:DescribeSuggesters cloudsearch:IndexDocuments cloudsearch:ListDomainNames cloudsearch:UpdateAvailabilityOptions cloudsearch:UpdateDomainEndpointOptions cloudsearch:UpdateScalingParameters cloudsearch:UpdateServiceAccessPolicies  | 
| cloudtrail |  cloudtrail:CancelQuery cloudtrail:CreateChannel cloudtrail:CreateDashboard cloudtrail:CreateEventDataStore cloudtrail:CreateTrail cloudtrail:DeleteChannel cloudtrail:DeleteDashboard cloudtrail:DeleteEventDataStore cloudtrail:DeleteResourcePolicy cloudtrail:DeleteTrail cloudtrail:DeregisterOrganizationDelegatedAdmin cloudtrail:DescribeQuery cloudtrail:DescribeTrails cloudtrail:DisableFederation cloudtrail:GenerateQuery cloudtrail:GetChannel cloudtrail:GetDashboard cloudtrail:GetEventConfiguration cloudtrail:GetEventDataStore cloudtrail:GetEventDataStoreData cloudtrail:GetEventSelectors cloudtrail:GetImport cloudtrail:GetInsightSelectors cloudtrail:GetResourcePolicy cloudtrail:GetTrail cloudtrail:GetTrailStatus cloudtrail:ListChannels cloudtrail:ListDashboards cloudtrail:ListEventDataStores cloudtrail:ListImportFailures cloudtrail:ListImports cloudtrail:ListInsightsData cloudtrail:ListPublicKeys cloudtrail:ListQueries cloudtrail:ListTrails cloudtrail:LookupEvents cloudtrail:PutEventConfiguration cloudtrail:PutEventSelectors cloudtrail:PutInsightSelectors cloudtrail:PutResourcePolicy cloudtrail:RegisterOrganizationDelegatedAdmin cloudtrail:RestoreEventDataStore cloudtrail:SearchSampleQueries cloudtrail:StartEventDataStoreIngestion cloudtrail:StartImport cloudtrail:StartLogging cloudtrail:StartQuery cloudtrail:StopEventDataStoreIngestion cloudtrail:StopImport cloudtrail:StopLogging cloudtrail:UpdateChannel cloudtrail:UpdateDashboard cloudtrail:UpdateEventDataStore cloudtrail:UpdateTrail  | 
| cloudwatch |  cloudwatch:DeleteAlarms cloudwatch:DeleteAnomalyDetector cloudwatch:DeleteDashboards cloudwatch:DeleteInsightRules cloudwatch:DeleteMetricStream cloudwatch:DescribeAlarmHistory cloudwatch:DescribeAlarms cloudwatch:DescribeAlarmsForMetric cloudwatch:DescribeAnomalyDetectors cloudwatch:DescribeInsightRules cloudwatch:DisableAlarmActions cloudwatch:DisableInsightRules cloudwatch:EnableAlarmActions cloudwatch:EnableInsightRules cloudwatch:GetDashboard cloudwatch:GetInsightRuleReport cloudwatch:GetMetricStatistics cloudwatch:GetMetricStream cloudwatch:ListDashboards cloudwatch:ListManagedInsightRules cloudwatch:ListMetricStreams cloudwatch:PutAnomalyDetector cloudwatch:PutCompositeAlarm cloudwatch:PutDashboard cloudwatch:PutInsightRule cloudwatch:PutManagedInsightRules cloudwatch:PutMetricAlarm cloudwatch:PutMetricStream cloudwatch:SetAlarmState cloudwatch:StartMetricStreams cloudwatch:StopMetricStreams  | 
| codeartifact |  codeartifact:AssociateExternalConnection codeartifact:CopyPackageVersions codeartifact:CreateDomain codeartifact:CreateRepository codeartifact:DeleteDomain codeartifact:DeleteDomainPermissionsPolicy codeartifact:DeletePackage codeartifact:DeletePackageVersions codeartifact:DeleteRepository codeartifact:DeleteRepositoryPermissionsPolicy codeartifact:DescribeDomain codeartifact:DescribePackage codeartifact:DescribePackageVersion codeartifact:DescribeRepository codeartifact:DisassociateExternalConnection codeartifact:DisposePackageVersions codeartifact:GetAssociatedPackageGroup codeartifact:GetAuthorizationToken codeartifact:GetDomainPermissionsPolicy codeartifact:GetPackageVersionAsset codeartifact:GetPackageVersionReadme codeartifact:GetRepositoryEndpoint codeartifact:GetRepositoryPermissionsPolicy codeartifact:ListDomains codeartifact:ListPackageGroups codeartifact:ListPackageVersionAssets codeartifact:ListPackageVersionDependencies codeartifact:ListPackageVersions codeartifact:ListPackages codeartifact:ListRepositories codeartifact:ListRepositoriesInDomain codeartifact:PublishPackageVersion codeartifact:PutDomainPermissionsPolicy codeartifact:PutPackageMetadata codeartifact:PutPackageOriginConfiguration codeartifact:PutRepositoryPermissionsPolicy codeartifact:ReadFromRepository codeartifact:UpdatePackageVersionsStatus codeartifact:UpdateRepository  | 
| codedeploy |  codedeploy:BatchGetApplicationRevisions codedeploy:BatchGetApplications codedeploy:BatchGetDeploymentGroups codedeploy:BatchGetDeploymentInstances codedeploy:BatchGetDeploymentTargets codedeploy:BatchGetDeployments codedeploy:BatchGetOnPremisesInstances codedeploy:ContinueDeployment codedeploy:CreateApplication codedeploy:CreateDeployment codedeploy:CreateDeploymentConfig codedeploy:CreateDeploymentGroup codedeploy:DeleteApplication codedeploy:DeleteDeploymentConfig codedeploy:DeleteDeploymentGroup codedeploy:DeleteGitHubAccountToken codedeploy:DeleteResourcesByExternalId codedeploy:DeregisterOnPremisesInstance codedeploy:GetApplication codedeploy:GetApplicationRevision codedeploy:GetDeployment codedeploy:GetDeploymentConfig codedeploy:GetDeploymentGroup codedeploy:GetDeploymentInstance codedeploy:GetDeploymentTarget codedeploy:GetOnPremisesInstance codedeploy:ListApplicationRevisions codedeploy:ListApplications codedeploy:ListDeploymentConfigs codedeploy:ListDeploymentGroups codedeploy:ListDeploymentInstances codedeploy:ListDeploymentTargets codedeploy:ListDeployments codedeploy:ListGitHubAccountTokenNames codedeploy:ListOnPremisesInstances codedeploy:PutLifecycleEventHookExecutionStatus codedeploy:RegisterApplicationRevision codedeploy:RegisterOnPremisesInstance codedeploy:SkipWaitTimeForInstanceTermination codedeploy:StopDeployment codedeploy:UpdateApplication codedeploy:UpdateDeploymentGroup  | 
| codeguru-profiler |  codeguru-profiler:AddNotificationChannels codeguru-profiler:BatchGetFrameMetricData codeguru-profiler:CreateProfilingGroup codeguru-profiler:DeleteProfilingGroup codeguru-profiler:DescribeProfilingGroup codeguru-profiler:GetFindingsReportAccountSummary codeguru-profiler:GetNotificationConfiguration codeguru-profiler:GetPolicy codeguru-profiler:GetProfile codeguru-profiler:GetRecommendations codeguru-profiler:ListFindingsReports codeguru-profiler:ListProfileTimes codeguru-profiler:ListProfilingGroups codeguru-profiler:PutPermission codeguru-profiler:RemoveNotificationChannel codeguru-profiler:RemovePermission codeguru-profiler:SubmitFeedback codeguru-profiler:UpdateProfilingGroup  | 
| codeguru-reviewer |  codeguru-reviewer:AssociateRepository codeguru-reviewer:CreateCodeReview codeguru-reviewer:DescribeCodeReview codeguru-reviewer:DescribeRecommendationFeedback codeguru-reviewer:DescribeRepositoryAssociation codeguru-reviewer:DisassociateRepository codeguru-reviewer:ListCodeReviews codeguru-reviewer:ListRecommendationFeedback codeguru-reviewer:ListRecommendations codeguru-reviewer:ListRepositoryAssociations codeguru-reviewer:PutRecommendationFeedback  | 
| codepipeline |  codepipeline:AcknowledgeJob codepipeline:AcknowledgeThirdPartyJob codepipeline:CreateCustomActionType codepipeline:CreatePipeline codepipeline:DeleteCustomActionType codepipeline:DeletePipeline codepipeline:DeleteWebhook codepipeline:DeregisterWebhookWithThirdParty codepipeline:GetActionType codepipeline:GetJobDetails codepipeline:GetPipeline codepipeline:GetPipelineExecution codepipeline:GetPipelineState codepipeline:GetThirdPartyJobDetails codepipeline:ListActionExecutions codepipeline:ListActionTypes codepipeline:ListPipelineExecutions codepipeline:ListPipelines codepipeline:ListRuleExecutions codepipeline:ListRuleTypes codepipeline:ListWebhooks codepipeline:OverrideStageCondition codepipeline:PollForJobs codepipeline:PollForThirdPartyJobs codepipeline:PutActionRevision codepipeline:PutApprovalResult codepipeline:PutJobFailureResult codepipeline:PutJobSuccessResult codepipeline:PutThirdPartyJobFailureResult codepipeline:PutThirdPartyJobSuccessResult codepipeline:PutWebhook codepipeline:RegisterWebhookWithThirdParty codepipeline:RollbackStage codepipeline:StartPipelineExecution codepipeline:StopPipelineExecution codepipeline:UpdateActionType codepipeline:UpdatePipeline  | 
| codestar |  codestar:AssociateTeamMember codestar:CreateProject codestar:CreateUserProfile codestar:DeleteProject codestar:DeleteUserProfile codestar:DescribeProject codestar:DescribeUserProfile codestar:DisassociateTeamMember codestar:ListProjects codestar:ListResources codestar:ListTeamMembers codestar:ListUserProfiles codestar:UpdateProject codestar:UpdateTeamMember codestar:UpdateUserProfile  | 
| codestar-notifications |  codestar-notifications:CreateNotificationRule codestar-notifications:DeleteNotificationRule codestar-notifications:DeleteTarget codestar-notifications:DescribeNotificationRule codestar-notifications:ListEventTypes codestar-notifications:ListNotificationRules codestar-notifications:ListTargets codestar-notifications:Subscribe codestar-notifications:Unsubscribe codestar-notifications:UpdateNotificationRule  | 
| cognito-identity |  cognito-identity:CreateIdentityPool cognito-identity:DeleteIdentities cognito-identity:DeleteIdentityPool cognito-identity:DescribeIdentity cognito-identity:DescribeIdentityPool cognito-identity:GetIdentityPoolRoles cognito-identity:ListIdentities cognito-identity:ListIdentityPools cognito-identity:LookupDeveloperIdentity cognito-identity:MergeDeveloperIdentities cognito-identity:SetIdentityPoolRoles cognito-identity:UnlinkDeveloperIdentity cognito-identity:UpdateIdentityPool  | 
| cognito-idp |  cognito-idp:AddCustomAttributes cognito-idp:AdminAddUserToGroup cognito-idp:AdminConfirmSignUp cognito-idp:AdminCreateUser cognito-idp:AdminDeleteUser cognito-idp:AdminDeleteUserAttributes cognito-idp:AdminDisableProviderForUser cognito-idp:AdminDisableUser cognito-idp:AdminEnableUser cognito-idp:AdminForgetDevice cognito-idp:AdminGetDevice cognito-idp:AdminGetUser cognito-idp:AdminInitiateAuth cognito-idp:AdminLinkProviderForUser cognito-idp:AdminListDevices cognito-idp:AdminListGroupsForUser cognito-idp:AdminListUserAuthEvents cognito-idp:AdminRemoveUserFromGroup cognito-idp:AdminResetUserPassword cognito-idp:AdminRespondToAuthChallenge cognito-idp:AdminSetUserMFAPreference cognito-idp:AdminSetUserPassword cognito-idp:AdminSetUserSettings cognito-idp:AdminUpdateAuthEventFeedback cognito-idp:AdminUpdateDeviceStatus cognito-idp:AdminUpdateUserAttributes cognito-idp:AdminUserGlobalSignOut cognito-idp:AssociateSoftwareToken cognito-idp:ChangePassword cognito-idp:ConfirmDevice cognito-idp:ConfirmForgotPassword cognito-idp:ConfirmSignUp cognito-idp:CreateGroup cognito-idp:CreateIdentityProvider cognito-idp:CreateManagedLoginBranding cognito-idp:CreateResourceServer cognito-idp:CreateTerms cognito-idp:CreateUserImportJob cognito-idp:CreateUserPool cognito-idp:CreateUserPoolClient cognito-idp:CreateUserPoolDomain cognito-idp:DeleteGroup cognito-idp:DeleteIdentityProvider cognito-idp:DeleteManagedLoginBranding cognito-idp:DeleteResourceServer cognito-idp:DeleteTerms cognito-idp:DeleteUser cognito-idp:DeleteUserAttributes cognito-idp:DeleteUserPool cognito-idp:DeleteUserPoolClient cognito-idp:DeleteUserPoolDomain cognito-idp:DescribeIdentityProvider cognito-idp:DescribeManagedLoginBranding cognito-idp:DescribeManagedLoginBrandingByClient cognito-idp:DescribeResourceServer cognito-idp:DescribeRiskConfiguration cognito-idp:DescribeTerms cognito-idp:DescribeUserImportJob cognito-idp:DescribeUserPool cognito-idp:DescribeUserPoolClient cognito-idp:DescribeUserPoolDomain cognito-idp:ForgetDevice cognito-idp:ForgotPassword cognito-idp:GetCSVHeader cognito-idp:GetDevice cognito-idp:GetGroup cognito-idp:GetIdentityProviderByIdentifier cognito-idp:GetLogDeliveryConfiguration cognito-idp:GetSigningCertificate cognito-idp:GetUICustomization cognito-idp:GetUser cognito-idp:GetUserAttributeVerificationCode cognito-idp:GetUserPoolMfaConfig cognito-idp:GlobalSignOut cognito-idp:InitiateAuth cognito-idp:ListDevices cognito-idp:ListGroups cognito-idp:ListIdentityProviders cognito-idp:ListResourceServers cognito-idp:ListTerms cognito-idp:ListUserImportJobs cognito-idp:ListUserPoolClients cognito-idp:ListUserPools cognito-idp:ListUsers cognito-idp:ListUsersInGroup cognito-idp:ResendConfirmationCode cognito-idp:RespondToAuthChallenge cognito-idp:RevokeToken cognito-idp:SetLogDeliveryConfiguration cognito-idp:SetRiskConfiguration cognito-idp:SetUICustomization cognito-idp:SetUserMFAPreference cognito-idp:SetUserPoolMfaConfig cognito-idp:SetUserSettings cognito-idp:SignUp cognito-idp:StartUserImportJob cognito-idp:StopUserImportJob cognito-idp:UpdateAuthEventFeedback cognito-idp:UpdateDeviceStatus cognito-idp:UpdateGroup cognito-idp:UpdateIdentityProvider cognito-idp:UpdateResourceServer cognito-idp:UpdateTerms cognito-idp:UpdateUserAttributes cognito-idp:UpdateUserPool cognito-idp:UpdateUserPoolClient cognito-idp:UpdateUserPoolDomain cognito-idp:VerifySoftwareToken cognito-idp:VerifyUserAttribute  | 
| cognito-sync |  cognito-sync:BulkPublish cognito-sync:DeleteDataset cognito-sync:DescribeDataset cognito-sync:DescribeIdentityPoolUsage cognito-sync:DescribeIdentityUsage cognito-sync:GetBulkPublishDetails cognito-sync:GetCognitoEvents cognito-sync:GetIdentityPoolConfiguration cognito-sync:ListDatasets cognito-sync:ListIdentityPoolUsage cognito-sync:ListRecords cognito-sync:RegisterDevice cognito-sync:SetCognitoEvents cognito-sync:SetIdentityPoolConfiguration cognito-sync:SubscribeToDataset cognito-sync:UnsubscribeFromDataset cognito-sync:UpdateRecords  | 
| comprehendmedical |  comprehendmedical:DescribeEntitiesDetectionV2Job comprehendmedical:DescribeICD10CMInferenceJob comprehendmedical:DescribePHIDetectionJob comprehendmedical:DescribeRxNormInferenceJob comprehendmedical:DescribeSNOMEDCTInferenceJob comprehendmedical:DetectEntitiesV2 comprehendmedical:DetectPHI comprehendmedical:InferICD10CM comprehendmedical:InferRxNorm comprehendmedical:InferSNOMEDCT comprehendmedical:ListEntitiesDetectionV2Jobs comprehendmedical:ListICD10CMInferenceJobs comprehendmedical:ListPHIDetectionJobs comprehendmedical:ListRxNormInferenceJobs comprehendmedical:ListSNOMEDCTInferenceJobs comprehendmedical:StartEntitiesDetectionV2Job comprehendmedical:StartICD10CMInferenceJob comprehendmedical:StartPHIDetectionJob comprehendmedical:StartRxNormInferenceJob comprehendmedical:StartSNOMEDCTInferenceJob comprehendmedical:StopEntitiesDetectionV2Job comprehendmedical:StopICD10CMInferenceJob comprehendmedical:StopPHIDetectionJob comprehendmedical:StopRxNormInferenceJob comprehendmedical:StopSNOMEDCTInferenceJob  | 
| compute-optimizer |  compute-optimizer:DeleteRecommendationPreferences compute-optimizer:DescribeRecommendationExportJobs compute-optimizer:ExportAutoScalingGroupRecommendations compute-optimizer:ExportEBSVolumeRecommendations compute-optimizer:ExportEC2InstanceRecommendations compute-optimizer:ExportECSServiceRecommendations compute-optimizer:ExportIdleRecommendations compute-optimizer:ExportLambdaFunctionRecommendations compute-optimizer:ExportLicenseRecommendations compute-optimizer:ExportRDSDatabaseRecommendations compute-optimizer:GetEC2RecommendationProjectedMetrics compute-optimizer:GetECSServiceRecommendationProjectedMetrics compute-optimizer:GetEffectiveRecommendationPreferences compute-optimizer:GetEnrollmentStatus compute-optimizer:GetEnrollmentStatusesForOrganization compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics compute-optimizer:GetRecommendationPreferences compute-optimizer:GetRecommendationSummaries compute-optimizer:PutRecommendationPreferences compute-optimizer:UpdateEnrollmentStatus  | 
| config |  config:BatchGetResourceConfig config:DeleteAggregationAuthorization config:DeleteConfigRule config:DeleteConfigurationAggregator config:DeleteConfigurationRecorder config:DeleteConformancePack config:DeleteDeliveryChannel config:DeleteEvaluationResults config:DeleteOrganizationConfigRule config:DeleteOrganizationConformancePack config:DeletePendingAggregationRequest config:DeleteRemediationConfiguration config:DeleteRemediationExceptions config:DeleteResourceConfig config:DeleteRetentionConfiguration config:DeleteStoredQuery config:DeliverConfigSnapshot config:DescribeAggregateComplianceByConfigRules config:DescribeAggregateComplianceByConformancePacks config:DescribeAggregationAuthorizations config:DescribeComplianceByConfigRule config:DescribeComplianceByResource config:DescribeConfigRuleEvaluationStatus config:DescribeConfigRules config:DescribeConfigurationAggregatorSourcesStatus config:DescribeConfigurationAggregators config:DescribeConfigurationRecorderStatus config:DescribeConfigurationRecorders config:DescribeConformancePackCompliance config:DescribeConformancePackStatus config:DescribeConformancePacks config:DescribeDeliveryChannelStatus config:DescribeDeliveryChannels config:DescribeOrganizationConfigRuleStatuses config:DescribeOrganizationConfigRules config:DescribeOrganizationConformancePackStatuses config:DescribeOrganizationConformancePacks config:DescribePendingAggregationRequests config:DescribeRemediationConfigurations config:DescribeRemediationExceptions config:DescribeRemediationExecutionStatus config:DescribeRetentionConfigurations config:GetComplianceDetailsByConfigRule config:GetComplianceDetailsByResource config:GetComplianceSummaryByConfigRule config:GetComplianceSummaryByResourceType config:GetConformancePackComplianceDetails config:GetConformancePackComplianceSummary config:GetCustomRulePolicy config:GetDiscoveredResourceCounts config:GetOrganizationConfigRuleDetailedStatus config:GetOrganizationConformancePackDetailedStatus config:GetOrganizationCustomRulePolicy config:GetResourceConfigHistory config:GetResourceEvaluationSummary config:GetStoredQuery config:ListConfigurationRecorders config:ListConformancePackComplianceScores config:ListDiscoveredResources config:ListResourceEvaluations config:ListStoredQueries config:PutConfigRule config:PutConfigurationAggregator config:PutConfigurationRecorder config:PutConformancePack config:PutDeliveryChannel config:PutEvaluations config:PutExternalEvaluation config:PutOrganizationConfigRule config:PutOrganizationConformancePack config:PutRemediationConfigurations config:PutRemediationExceptions config:PutResourceConfig config:PutRetentionConfiguration config:PutStoredQuery config:SelectResourceConfig config:StartConfigRulesEvaluation config:StartConfigurationRecorder config:StartRemediationExecution config:StartResourceEvaluation config:StopConfigurationRecorder  | 
| conectar |  connect:ActivateEvaluationForm connect:AssociateAnalyticsDataSet connect:AssociateApprovedOrigin connect:AssociateBot connect:AssociateContactWithUser connect:AssociateDefaultVocabulary connect:AssociateEmailAddressAlias connect:AssociateFlow connect:AssociateInstanceStorageConfig connect:AssociateLambdaFunction connect:AssociateLexBot connect:AssociatePhoneNumberContactFlow connect:AssociateQueueQuickConnects connect:AssociateRoutingProfileQueues connect:AssociateSecurityKey connect:AssociateUserProficiencies connect:BatchAssociateAnalyticsDataSet connect:BatchCreateDataTableValue connect:BatchDeleteDataTableValue connect:BatchDescribeDataTableValue connect:BatchDisassociateAnalyticsDataSet connect:BatchGetFlowAssociation connect:BatchPutContact connect:BatchUpdateDataTableValue connect:ClaimPhoneNumber connect:CreateAgentStatus connect:CreateContact connect:CreateContactFlow connect:CreateContactFlowModule connect:CreateContactFlowModuleAlias connect:CreateContactFlowModuleVersion connect:CreateContactFlowVersion connect:CreateDataTable connect:CreateDataTableAttribute connect:CreateEmailAddress connect:CreateEvaluationForm connect:CreateHoursOfOperation connect:CreateInstance connect:CreateIntegrationAssociation connect:CreateParticipant connect:CreatePersistentContactAssociation connect:CreatePredefinedAttribute connect:CreatePrompt connect:CreatePushNotificationRegistration connect:CreateQueue connect:CreateQuickConnect connect:CreateRoutingProfile connect:CreateRule connect:CreateSecurityProfile connect:CreateTaskTemplate connect:CreateTrafficDistributionGroup connect:CreateUseCase connect:CreateUser connect:CreateUserHierarchyGroup connect:CreateView connect:CreateViewVersion connect:CreateVocabulary connect:CreateWorkspace connect:DeactivateEvaluationForm connect:DeleteContactEvaluation connect:DeleteContactFlow connect:DeleteContactFlowModule connect:DeleteContactFlowModuleAlias connect:DeleteContactFlowModuleVersion connect:DeleteContactFlowVersion connect:DeleteDataTable connect:DeleteDataTableAttribute connect:DeleteEmailAddress connect:DeleteEvaluationForm connect:DeleteHoursOfOperation connect:DeleteHoursOfOperationOverride connect:DeleteInstance connect:DeleteIntegrationAssociation connect:DeletePredefinedAttribute connect:DeletePrompt connect:DeletePushNotificationRegistration connect:DeleteQueue connect:DeleteQuickConnect connect:DeleteRoutingProfile connect:DeleteRule connect:DeleteSecurityProfile connect:DeleteTaskTemplate connect:DeleteTrafficDistributionGroup connect:DeleteUseCase connect:DeleteUser connect:DeleteUserHierarchyGroup connect:DeleteView connect:DeleteVocabulary connect:DeleteWorkspace connect:DeleteWorkspaceMedia connect:DescribeAuthenticationProfile connect:DescribeContactFlowModuleAlias connect:DescribeDataTableAttribute connect:DescribeHoursOfOperationOverride connect:DescribeInstanceAttribute connect:DescribeInstanceStorageConfig connect:DescribePhoneNumber connect:DescribeRule connect:DescribeTrafficDistributionGroup connect:DescribeUserHierarchyStructure connect:DescribeVocabulary connect:DisassociateAnalyticsDataSet connect:DisassociateApprovedOrigin connect:DisassociateBot connect:DisassociateEmailAddressAlias connect:DisassociateFlow connect:DisassociateInstanceStorageConfig connect:DisassociateLambdaFunction connect:DisassociateLexBot connect:DisassociatePhoneNumberContactFlow connect:DisassociateQueueQuickConnects connect:DisassociateRoutingProfileQueues connect:DisassociateSecurityKey connect:DisassociateUserProficiencies connect:DismissUserContact connect:EvaluateDataTableValues connect:GetContactAttributes connect:GetContactMetrics connect:GetCurrentMetricData connect:GetCurrentUserData connect:GetEffectiveHoursOfOperations connect:GetFederationToken connect:GetFlowAssociation connect:GetMetricData connect:GetMetricDataV2 connect:GetPromptFile connect:GetTaskTemplate connect:GetTrafficDistribution connect:ImportPhoneNumber connect:ImportWorkspaceMedia connect:ListAnalyticsDataAssociations connect:ListAnalyticsDataLakeDataSets connect:ListApprovedOrigins connect:ListAssociatedContacts connect:ListAuthenticationProfiles connect:ListBots connect:ListContactEvaluations connect:ListContactFlowModuleAliases connect:ListContactFlowModuleVersions connect:ListContactFlowModules connect:ListContactFlowVersions connect:ListContactFlows connect:ListContactReferences connect:ListDataTableAttributes connect:ListDataTablePrimaryValues connect:ListDataTableValues connect:ListDataTables connect:ListDefaultVocabularies connect:ListEvaluationFormVersions connect:ListEvaluationForms connect:ListFlowAssociations connect:ListHoursOfOperations connect:ListInstanceAttributes connect:ListInstanceStorageConfigs connect:ListIntegrationAssociations connect:ListLambdaFunctions connect:ListLexBots connect:ListPhoneNumbers connect:ListPhoneNumbersV2 connect:ListPredefinedAttributes connect:ListPrompts connect:ListQueueQuickConnects connect:ListQueues connect:ListQuickConnects connect:ListRealtimeContactAnalysisSegmentsV2 connect:ListRoutingProfileManualAssignmentQueues connect:ListRoutingProfileQueues connect:ListRoutingProfiles connect:ListRules connect:ListSecurityKeys connect:ListSecurityProfileApplications connect:ListSecurityProfileFlowModules connect:ListSecurityProfilePermissions connect:ListSecurityProfiles connect:ListTaskTemplates connect:ListTrafficDistributionGroups connect:ListUseCases connect:ListUserHierarchyGroups connect:ListUsers connect:ListViewVersions connect:ListViews connect:ListWorkspaceMedia connect:ListWorkspacePages connect:ListWorkspaces connect:MonitorContact connect:PauseContact connect:PutUserStatus connect:ReleasePhoneNumber connect:ReplicateInstance connect:ResumeContact connect:ResumeContactRecording connect:SearchAgentStatuses connect:SearchAvailablePhoneNumbers connect:SearchContactEvaluations connect:SearchContactFlowModules connect:SearchContactFlows connect:SearchContacts connect:SearchDataTables connect:SearchEmailAddresses connect:SearchEvaluationForms connect:SearchHoursOfOperations connect:SearchPredefinedAttributes connect:SearchPrompts connect:SearchQueues connect:SearchQuickConnects connect:SearchRoutingProfiles connect:SearchSecurityProfiles connect:SearchUserHierarchyGroups connect:SearchViews connect:SearchVocabularies connect:SearchWorkspaceAssociations connect:SearchWorkspaces connect:SendChatIntegrationEvent connect:SendOutboundEmail connect:StartChatContact connect:StartContactEvaluation connect:StartContactMediaProcessing connect:StartContactRecording connect:StartContactStreaming connect:StartEmailContact connect:StartOutboundChatContact connect:StartOutboundEmailContact connect:StartOutboundVoiceContact connect:StartScreenSharing connect:StartTaskContact connect:StartWebRTCContact connect:StopContact connect:StopContactMediaProcessing connect:StopContactRecording connect:StopContactStreaming connect:SubmitContactEvaluation connect:SuspendContactRecording connect:TransferContact connect:UpdateAgentStatus connect:UpdateAuthenticationProfile connect:UpdateContact connect:UpdateContactAttributes connect:UpdateContactEvaluation connect:UpdateContactFlowContent connect:UpdateContactFlowMetadata connect:UpdateContactFlowModuleAlias connect:UpdateContactFlowModuleContent connect:UpdateContactFlowModuleMetadata connect:UpdateContactFlowName connect:UpdateContactRoutingData connect:UpdateContactSchedule connect:UpdateDataTableAttribute connect:UpdateDataTableMetadata connect:UpdateDataTablePrimaryValues connect:UpdateEmailAddressMetadata connect:UpdateEvaluationForm connect:UpdateHoursOfOperation connect:UpdateHoursOfOperationOverride connect:UpdateInstanceAttribute connect:UpdateInstanceStorageConfig connect:UpdateParticipantAuthentication connect:UpdateParticipantRoleConfig connect:UpdatePhoneNumber connect:UpdatePhoneNumberMetadata connect:UpdatePredefinedAttribute connect:UpdatePrompt connect:UpdateQueueHoursOfOperation connect:UpdateQueueMaxContacts connect:UpdateQueueName connect:UpdateQueueOutboundCallerConfig connect:UpdateQueueOutboundEmailConfig connect:UpdateQueueStatus connect:UpdateQuickConnectConfig connect:UpdateQuickConnectName connect:UpdateRoutingProfileAgentAvailabilityTimer connect:UpdateRoutingProfileConcurrency connect:UpdateRoutingProfileDefaultOutboundQueue connect:UpdateRoutingProfileName connect:UpdateRoutingProfileQueues connect:UpdateRule connect:UpdateSecurityProfile connect:UpdateTaskTemplate connect:UpdateTrafficDistribution connect:UpdateUserHierarchy connect:UpdateUserHierarchyGroupName connect:UpdateUserHierarchyStructure connect:UpdateUserIdentityInfo connect:UpdateUserPhoneConfig connect:UpdateUserProficiencies connect:UpdateUserRoutingProfile connect:UpdateUserSecurityProfiles connect:UpdateViewContent connect:UpdateViewMetadata connect:UpdateWorkspaceMetadata connect:UpdateWorkspaceTheme connect:UpdateWorkspaceVisibility  | 
| cur |  cur:DeleteReportDefinition cur:DescribeReportDefinitions cur:ModifyReportDefinition cur:PutReportDefinition  | 
| databrew |  databrew:BatchDeleteRecipeVersion databrew:CreateDataset databrew:CreateProfileJob databrew:CreateProject databrew:CreateRecipe databrew:CreateRecipeJob databrew:CreateRuleset databrew:CreateSchedule databrew:DeleteDataset databrew:DeleteJob databrew:DeleteProject databrew:DeleteRecipeVersion databrew:DeleteRuleset databrew:DeleteSchedule databrew:DescribeDataset databrew:DescribeJob databrew:DescribeJobRun databrew:DescribeProject databrew:DescribeRecipe databrew:DescribeRuleset databrew:DescribeSchedule databrew:ListDatasets databrew:ListJobRuns databrew:ListJobs databrew:ListProjects databrew:ListRecipeVersions databrew:ListRecipes databrew:ListRulesets databrew:ListSchedules databrew:PublishRecipe databrew:SendProjectSessionAction databrew:StartJobRun databrew:StartProjectSession databrew:StopJobRun databrew:UpdateDataset databrew:UpdateProfileJob databrew:UpdateProject databrew:UpdateRecipe databrew:UpdateRecipeJob databrew:UpdateRuleset databrew:UpdateSchedule  | 
| dataexchange |  dataexchange:AcceptDataGrant dataexchange:CancelJob dataexchange:CreateDataGrant dataexchange:CreateDataSet dataexchange:CreateEventAction dataexchange:CreateJob dataexchange:CreateRevision dataexchange:DeleteAsset dataexchange:DeleteDataGrant dataexchange:DeleteEventAction dataexchange:DeleteRevision dataexchange:GetDataGrant dataexchange:GetEventAction dataexchange:GetJob dataexchange:GetReceivedDataGrant dataexchange:ListDataGrants dataexchange:ListDataSetRevisions dataexchange:ListDataSets dataexchange:ListEventActions dataexchange:ListJobs dataexchange:ListReceivedDataGrants dataexchange:ListRevisionAssets dataexchange:RevokeRevision dataexchange:SendDataSetNotification dataexchange:StartJob dataexchange:UpdateAsset dataexchange:UpdateDataSet dataexchange:UpdateEventAction dataexchange:UpdateRevision  | 
| datapipeline |  datapipeline:ActivatePipeline datapipeline:CreatePipeline datapipeline:DeactivatePipeline datapipeline:DeletePipeline datapipeline:DescribeObjects datapipeline:DescribePipelines datapipeline:EvaluateExpression datapipeline:GetPipelineDefinition datapipeline:ListPipelines datapipeline:PollForTask datapipeline:PutPipelineDefinition datapipeline:QueryObjects datapipeline:ReportTaskProgress datapipeline:ReportTaskRunnerHeartbeat datapipeline:SetStatus datapipeline:SetTaskStatus datapipeline:ValidatePipelineDefinition  | 
| dax |  dax:CreateCluster dax:DecreaseReplicationFactor dax:DeleteCluster dax:DeleteParameterGroup dax:DeleteSubnetGroup dax:DescribeClusters dax:DescribeDefaultParameters dax:DescribeEvents dax:DescribeParameterGroups dax:DescribeParameters dax:DescribeSubnetGroups dax:IncreaseReplicationFactor dax:RebootNode dax:UpdateCluster dax:UpdateParameterGroup dax:UpdateSubnetGroup  | 
| devicefarm |  devicefarm:CreateDevicePool devicefarm:CreateInstanceProfile devicefarm:CreateNetworkProfile devicefarm:CreateProject devicefarm:CreateRemoteAccessSession devicefarm:CreateTestGridProject devicefarm:CreateTestGridUrl devicefarm:CreateUpload devicefarm:CreateVPCEConfiguration devicefarm:DeleteDevicePool devicefarm:DeleteInstanceProfile devicefarm:DeleteNetworkProfile devicefarm:DeleteProject devicefarm:DeleteRemoteAccessSession devicefarm:DeleteRun devicefarm:DeleteTestGridProject devicefarm:DeleteUpload devicefarm:DeleteVPCEConfiguration devicefarm:GetAccountSettings devicefarm:GetDevice devicefarm:GetDeviceInstance devicefarm:GetDevicePool devicefarm:GetDevicePoolCompatibility devicefarm:GetInstanceProfile devicefarm:GetJob devicefarm:GetNetworkProfile devicefarm:GetOfferingStatus devicefarm:GetProject devicefarm:GetRemoteAccessSession devicefarm:GetRun devicefarm:GetSuite devicefarm:GetTest devicefarm:GetTestGridProject devicefarm:GetTestGridSession devicefarm:GetUpload devicefarm:GetVPCEConfiguration devicefarm:ListArtifacts devicefarm:ListDeviceInstances devicefarm:ListDevicePools devicefarm:ListDevices devicefarm:ListInstanceProfiles devicefarm:ListJobs devicefarm:ListNetworkProfiles devicefarm:ListOfferingPromotions devicefarm:ListOfferingTransactions devicefarm:ListOfferings devicefarm:ListProjects devicefarm:ListRemoteAccessSessions devicefarm:ListRuns devicefarm:ListSamples devicefarm:ListSuites devicefarm:ListTestGridProjects devicefarm:ListTestGridSessionActions devicefarm:ListTestGridSessionArtifacts devicefarm:ListTestGridSessions devicefarm:ListTests devicefarm:ListUniqueProblems devicefarm:ListUploads devicefarm:ListVPCEConfigurations devicefarm:PurchaseOffering devicefarm:RenewOffering devicefarm:ScheduleRun devicefarm:StopJob devicefarm:StopRemoteAccessSession devicefarm:StopRun devicefarm:UpdateDeviceInstance devicefarm:UpdateDevicePool devicefarm:UpdateInstanceProfile devicefarm:UpdateNetworkProfile devicefarm:UpdateProject devicefarm:UpdateTestGridProject devicefarm:UpdateUpload devicefarm:UpdateVPCEConfiguration  | 
| devops-guru |  devops-guru:AddNotificationChannel devops-guru:DeleteInsight devops-guru:DescribeAccountHealth devops-guru:DescribeAccountOverview devops-guru:DescribeAnomaly devops-guru:DescribeEventSourcesConfig devops-guru:DescribeFeedback devops-guru:DescribeInsight devops-guru:DescribeOrganizationHealth devops-guru:DescribeOrganizationOverview devops-guru:DescribeOrganizationResourceCollectionHealth devops-guru:DescribeResourceCollectionHealth devops-guru:DescribeServiceIntegration devops-guru:GetCostEstimation devops-guru:GetResourceCollection devops-guru:ListAnomaliesForInsight devops-guru:ListAnomalousLogGroups devops-guru:ListEvents devops-guru:ListInsights devops-guru:ListMonitoredResources devops-guru:ListNotificationChannels devops-guru:ListOrganizationInsights devops-guru:ListRecommendations devops-guru:PutFeedback devops-guru:RemoveNotificationChannel devops-guru:SearchInsights devops-guru:SearchOrganizationInsights devops-guru:StartCostEstimation devops-guru:UpdateEventSourcesConfig devops-guru:UpdateResourceCollection devops-guru:UpdateServiceIntegration  | 
| directconnect |  directconnect:AcceptDirectConnectGatewayAssociationProposal directconnect:AllocateConnectionOnInterconnect directconnect:AllocateHostedConnection directconnect:AllocatePrivateVirtualInterface directconnect:AllocatePublicVirtualInterface directconnect:AllocateTransitVirtualInterface directconnect:AssociateConnectionWithLag directconnect:AssociateHostedConnection directconnect:AssociateMacSecKey directconnect:AssociateVirtualInterface directconnect:ConfirmConnection directconnect:ConfirmCustomerAgreement directconnect:ConfirmPrivateVirtualInterface directconnect:ConfirmPublicVirtualInterface directconnect:ConfirmTransitVirtualInterface directconnect:CreateBGPPeer directconnect:CreateConnection directconnect:CreateDirectConnectGateway directconnect:CreateDirectConnectGatewayAssociation directconnect:CreateDirectConnectGatewayAssociationProposal directconnect:CreateInterconnect directconnect:CreateLag directconnect:CreatePrivateVirtualInterface directconnect:CreatePublicVirtualInterface directconnect:CreateTransitVirtualInterface directconnect:DeleteBGPPeer directconnect:DeleteConnection directconnect:DeleteDirectConnectGateway directconnect:DeleteDirectConnectGatewayAssociation directconnect:DeleteDirectConnectGatewayAssociationProposal directconnect:DeleteInterconnect directconnect:DeleteLag directconnect:DeleteVirtualInterface directconnect:DescribeConnectionLoa directconnect:DescribeConnections directconnect:DescribeConnectionsOnInterconnect directconnect:DescribeCustomerMetadata directconnect:DescribeDirectConnectGatewayAssociationProposals directconnect:DescribeDirectConnectGatewayAssociations directconnect:DescribeDirectConnectGatewayAttachments directconnect:DescribeDirectConnectGateways directconnect:DescribeHostedConnections directconnect:DescribeInterconnectLoa directconnect:DescribeInterconnects directconnect:DescribeLags directconnect:DescribeLoa directconnect:DescribeLocations directconnect:DescribeRouterConfiguration directconnect:DescribeVirtualGateways directconnect:DescribeVirtualInterfaces directconnect:DisassociateConnectionFromLag directconnect:DisassociateMacSecKey directconnect:ListVirtualInterfaceTestHistory directconnect:StartBgpFailoverTest directconnect:StopBgpFailoverTest directconnect:UpdateConnection directconnect:UpdateDirectConnectGateway directconnect:UpdateDirectConnectGatewayAssociation directconnect:UpdateLag directconnect:UpdateVirtualInterfaceAttributes  | 
| dlm |  dlm:CreateLifecyclePolicy dlm:DeleteLifecyclePolicy dlm:GetLifecyclePolicies dlm:GetLifecyclePolicy dlm:UpdateLifecyclePolicy  | 
| dms |  dms:ApplyPendingMaintenanceAction dms:AssociateExtensionPack dms:BatchStartRecommendations dms:CancelMetadataModelCreation dms:CancelReplicationTaskAssessmentRun dms:CreateDataProvider dms:CreateEndpoint dms:CreateEventSubscription dms:CreateInstanceProfile dms:CreateMigrationProject dms:CreateReplicationConfig dms:CreateReplicationInstance dms:CreateReplicationSubnetGroup dms:CreateReplicationTask dms:DeleteCertificate dms:DeleteConnection dms:DeleteDataMigration dms:DeleteDataProvider dms:DeleteEndpoint dms:DeleteEventSubscription dms:DeleteFleetAdvisorCollector dms:DeleteFleetAdvisorDatabases dms:DeleteInstanceProfile dms:DeleteMigrationProject dms:DeleteReplicationConfig dms:DeleteReplicationInstance dms:DeleteReplicationSubnetGroup dms:DeleteReplicationTask dms:DeleteReplicationTaskAssessmentRun dms:DescribeAccountAttributes dms:DescribeApplicableIndividualAssessments dms:DescribeCertificates dms:DescribeConnections dms:DescribeDataMigrations dms:DescribeEndpointSettings dms:DescribeEndpointTypes dms:DescribeEndpoints dms:DescribeEngineVersions dms:DescribeEventCategories dms:DescribeEventSubscriptions dms:DescribeEvents dms:DescribeFleetAdvisorCollectors dms:DescribeFleetAdvisorDatabases dms:DescribeFleetAdvisorLsaAnalysis dms:DescribeFleetAdvisorSchemaObjectSummary dms:DescribeFleetAdvisorSchemas dms:DescribeMetadataModel dms:DescribeMetadataModelChildren dms:DescribeMetadataModelCreations dms:DescribeMetadataModelImports dms:DescribeOrderableReplicationInstances dms:DescribePendingMaintenanceActions dms:DescribeRecommendationLimitations dms:DescribeRecommendations dms:DescribeRefreshSchemasStatus dms:DescribeReplicationConfigs dms:DescribeReplicationInstanceTaskLogs dms:DescribeReplicationInstances dms:DescribeReplicationSubnetGroups dms:DescribeReplicationTableStatistics dms:DescribeReplicationTaskAssessmentResults dms:DescribeReplicationTaskAssessmentRuns dms:DescribeReplicationTaskIndividualAssessments dms:DescribeReplicationTasks dms:DescribeReplications dms:DescribeSchemas dms:DescribeTableStatistics dms:ExportMetadataModelAssessment dms:ImportCertificate dms:ListDataProviders dms:ListExtensionPacks dms:ListInstanceProfiles dms:ListMetadataModelAssessments dms:ListMetadataModelConversions dms:ListMetadataModelExports dms:ListMigrationProjects dms:ModifyDataMigration dms:ModifyEndpoint dms:ModifyEventSubscription dms:ModifyReplicationConfig dms:ModifyReplicationInstance dms:ModifyReplicationSubnetGroup dms:ModifyReplicationTask dms:MoveReplicationTask dms:RebootReplicationInstance dms:RefreshSchemas dms:ReloadReplicationTables dms:ReloadTables dms:RunFleetAdvisorLsaAnalysis dms:StartMetadataModelAssessment dms:StartMetadataModelConversion dms:StartMetadataModelCreation dms:StartMetadataModelExportAsScripts dms:StartMetadataModelExportToTarget dms:StartRecommendations dms:StartReplication dms:StartReplicationTask dms:StartReplicationTaskAssessment dms:StopDataMigration dms:StopReplicationTask dms:TestConnection dms:UpdateConversionConfiguration dms:UpdateDataProvider dms:UpdateInstanceProfile dms:UpdateMigrationProject dms:UpdateSubscriptionsToEventBridge  | 
| docdb-elastic |  docdb-elastic:ApplyPendingMaintenanceAction docdb-elastic:CopyClusterSnapshot docdb-elastic:DeleteCluster docdb-elastic:DeleteClusterSnapshot docdb-elastic:GetCluster docdb-elastic:GetClusterSnapshot docdb-elastic:GetPendingMaintenanceAction docdb-elastic:ListClusterSnapshots docdb-elastic:ListClusters docdb-elastic:ListPendingMaintenanceActions docdb-elastic:RestoreClusterFromSnapshot docdb-elastic:StartCluster docdb-elastic:StopCluster docdb-elastic:UpdateCluster  | 
| dynamodb |  dynamodb:AssociateTableReplica dynamodb:CreateBackup dynamodb:CreateGlobalTable dynamodb:CreateTable dynamodb:DeleteBackup dynamodb:DeleteTable dynamodb:DescribeBackup dynamodb:DescribeContinuousBackups dynamodb:DescribeContributorInsights dynamodb:DescribeEndpoints dynamodb:DescribeExport dynamodb:DescribeGlobalTable dynamodb:DescribeGlobalTableSettings dynamodb:DescribeImport dynamodb:DescribeKinesisStreamingDestination dynamodb:DescribeLimits dynamodb:DescribeStream dynamodb:DescribeTable dynamodb:DescribeTableReplicaAutoScaling dynamodb:DescribeTimeToLive dynamodb:DisableKinesisStreamingDestination dynamodb:EnableKinesisStreamingDestination dynamodb:ExportTableToPointInTime dynamodb:GetResourcePolicy dynamodb:ImportTable dynamodb:ListBackups dynamodb:ListContributorInsights dynamodb:ListExports dynamodb:ListGlobalTables dynamodb:ListImports dynamodb:ListStreams dynamodb:ListTables dynamodb:ReadDataForReplication dynamodb:ReplicateSettings dynamodb:RestoreTableFromBackup dynamodb:RestoreTableToPointInTime dynamodb:UpdateContinuousBackups dynamodb:UpdateContributorInsights dynamodb:UpdateGlobalTable dynamodb:UpdateGlobalTableSettings dynamodb:UpdateKinesisStreamingDestination dynamodb:UpdateTable dynamodb:UpdateTableReplicaAutoScaling dynamodb:UpdateTimeToLive dynamodb:WriteDataForReplication  | 
| ebs |  ebs:CompleteSnapshot ebs:StartSnapshot  | 
| ec2 |  ec2:AcceptAddressTransfer ec2:AcceptCapacityReservationBillingOwnership ec2:AcceptReservedInstancesExchangeQuote ec2:AcceptTransitGatewayMulticastDomainAssociations ec2:AcceptTransitGatewayPeeringAttachment ec2:AcceptTransitGatewayVpcAttachment ec2:AcceptVpcEndpointConnections ec2:AcceptVpcPeeringConnection ec2:AdvertiseByoipCidr ec2:AllocateAddress ec2:AllocateHosts ec2:AllocateIpamPoolCidr ec2:ApplySecurityGroupsToClientVpnTargetNetwork ec2:AssignIpv6Addresses ec2:AssignPrivateIpAddresses ec2:AssignPrivateNatGatewayAddress ec2:AssociateAddress ec2:AssociateCapacityReservationBillingOwner ec2:AssociateClientVpnTargetNetwork ec2:AssociateDhcpOptions ec2:AssociateEnclaveCertificateIamRole ec2:AssociateIamInstanceProfile ec2:AssociateInstanceEventWindow ec2:AssociateIpamByoasn ec2:AssociateIpamResourceDiscovery ec2:AssociateNatGatewayAddress ec2:AssociateRouteServer ec2:AssociateRouteTable ec2:AssociateSecurityGroupVpc ec2:AssociateSubnetCidrBlock ec2:AssociateTransitGatewayMulticastDomain ec2:AssociateTransitGatewayPolicyTable ec2:AssociateTransitGatewayRouteTable ec2:AssociateTrunkInterface ec2:AssociateVpcCidrBlock ec2:AttachClassicLinkVpc ec2:AttachInternetGateway ec2:AttachNetworkInterface ec2:AttachVerifiedAccessTrustProvider ec2:AttachVolume ec2:AttachVpnGateway ec2:AuthorizeClientVpnIngress ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:BundleInstance ec2:CancelBundleTask ec2:CancelCapacityReservation ec2:CancelCapacityReservationFleets ec2:CancelConversionTask ec2:CancelDeclarativePoliciesReport ec2:CancelExportTask ec2:CancelImageLaunchPermission ec2:CancelImportTask ec2:CancelReservedInstancesListing ec2:CancelSpotFleetRequests ec2:CancelSpotInstanceRequests ec2:ConfirmProductInstance ec2:CopyFpgaImage ec2:CopyImage ec2:CopySnapshot ec2:CopyVolumes ec2:CreateCapacityManagerDataExport ec2:CreateCapacityReservation ec2:CreateCapacityReservationBySplitting ec2:CreateCapacityReservationFleet ec2:CreateCarrierGateway ec2:CreateClientVpnEndpoint ec2:CreateClientVpnRoute ec2:CreateCoipCidr ec2:CreateCoipPool ec2:CreateCustomerGateway ec2:CreateDefaultSubnet ec2:CreateDefaultVpc ec2:CreateDelegateMacVolumeOwnershipTask ec2:CreateDhcpOptions ec2:CreateEgressOnlyInternetGateway ec2:CreateFleet ec2:CreateFlowLogs ec2:CreateFpgaImage ec2:CreateImage ec2:CreateImageUsageReport ec2:CreateInstanceConnectEndpoint ec2:CreateInstanceEventWindow ec2:CreateInstanceExportTask ec2:CreateInternetGateway ec2:CreateInterruptibleCapacityReservationAllocation ec2:CreateIpam ec2:CreateIpamExternalResourceVerificationToken ec2:CreateIpamPolicy ec2:CreateIpamPool ec2:CreateIpamPrefixListResolver ec2:CreateIpamPrefixListResolverTarget ec2:CreateIpamResourceDiscovery ec2:CreateIpamScope ec2:CreateKeyPair ec2:CreateLaunchTemplateVersion ec2:CreateLocalGatewayRoute ec2:CreateLocalGatewayRouteTable ec2:CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2:CreateLocalGatewayRouteTableVpcAssociation ec2:CreateLocalGatewayVirtualInterface ec2:CreateLocalGatewayVirtualInterfaceGroup ec2:CreateMacSystemIntegrityProtectionModificationTask ec2:CreateManagedPrefixList ec2:CreateNatGateway ec2:CreateNetworkAcl ec2:CreateNetworkAclEntry ec2:CreateNetworkInsightsAccessScope ec2:CreateNetworkInsightsPath ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreatePlacementGroup ec2:CreatePublicIpv4Pool ec2:CreateReplaceRootVolumeTask ec2:CreateReservedInstancesListing ec2:CreateRestoreImageTask ec2:CreateRoute ec2:CreateRouteServer ec2:CreateRouteServerEndpoint ec2:CreateRouteServerPeer ec2:CreateRouteTable ec2:CreateSecurityGroup ec2:CreateSnapshots ec2:CreateSpotDatafeedSubscription ec2:CreateStoreImageTask ec2:CreateSubnet ec2:CreateSubnetCidrReservation ec2:CreateTrafficMirrorFilter ec2:CreateTrafficMirrorFilterRule ec2:CreateTrafficMirrorSession ec2:CreateTrafficMirrorTarget ec2:CreateTransitGateway ec2:CreateTransitGatewayConnect ec2:CreateTransitGatewayConnectPeer ec2:CreateTransitGatewayMeteringPolicy ec2:CreateTransitGatewayMeteringPolicyEntry ec2:CreateTransitGatewayMulticastDomain ec2:CreateTransitGatewayPeeringAttachment ec2:CreateTransitGatewayPolicyTable ec2:CreateTransitGatewayPrefixListReference ec2:CreateTransitGatewayRoute ec2:CreateTransitGatewayRouteTable ec2:CreateTransitGatewayRouteTableAnnouncement ec2:CreateTransitGatewayVpcAttachment ec2:CreateVerifiedAccessEndpoint ec2:CreateVerifiedAccessGroup ec2:CreateVerifiedAccessInstance ec2:CreateVerifiedAccessTrustProvider ec2:CreateVolume ec2:CreateVpc ec2:CreateVpcBlockPublicAccessExclusion ec2:CreateVpcEncryptionControl ec2:CreateVpcEndpoint ec2:CreateVpcEndpointConnectionNotification ec2:CreateVpcEndpointServiceConfiguration ec2:CreateVpcPeeringConnection ec2:CreateVpnConcentrator ec2:CreateVpnConnection ec2:CreateVpnConnectionRoute ec2:CreateVpnGateway ec2:DeleteCapacityManagerDataExport ec2:DeleteCarrierGateway ec2:DeleteClientVpnEndpoint ec2:DeleteClientVpnRoute ec2:DeleteCoipCidr ec2:DeleteCoipPool ec2:DeleteCustomerGateway ec2:DeleteDhcpOptions ec2:DeleteEgressOnlyInternetGateway ec2:DeleteFleets ec2:DeleteFlowLogs ec2:DeleteFpgaImage ec2:DeleteImageUsageReport ec2:DeleteInstanceConnectEndpoint ec2:DeleteInstanceEventWindow ec2:DeleteInternetGateway ec2:DeleteIpam ec2:DeleteIpamExternalResourceVerificationToken ec2:DeleteIpamPolicy ec2:DeleteIpamPool ec2:DeleteIpamPrefixListResolver ec2:DeleteIpamPrefixListResolverTarget ec2:DeleteIpamResourceDiscovery ec2:DeleteIpamScope ec2:DeleteKeyPair ec2:DeleteLaunchTemplate ec2:DeleteLaunchTemplateVersions ec2:DeleteLocalGatewayRoute ec2:DeleteLocalGatewayRouteTable ec2:DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2:DeleteLocalGatewayRouteTableVpcAssociation ec2:DeleteLocalGatewayVirtualInterface ec2:DeleteLocalGatewayVirtualInterfaceGroup ec2:DeleteManagedPrefixList ec2:DeleteNatGateway ec2:DeleteNetworkAcl ec2:DeleteNetworkAclEntry ec2:DeleteNetworkInsightsAccessScope ec2:DeleteNetworkInsightsAccessScopeAnalysis ec2:DeleteNetworkInsightsAnalysis ec2:DeleteNetworkInsightsPath ec2:DeleteNetworkInterface ec2:DeleteNetworkInterfacePermission ec2:DeletePlacementGroup ec2:DeletePublicIpv4Pool ec2:DeleteQueuedReservedInstances ec2:DeleteRoute ec2:DeleteRouteServer ec2:DeleteRouteServerEndpoint ec2:DeleteRouteServerPeer ec2:DeleteRouteTable ec2:DeleteSecurityGroup ec2:DeleteSpotDatafeedSubscription ec2:DeleteSubnet ec2:DeleteSubnetCidrReservation ec2:DeleteTrafficMirrorFilter ec2:DeleteTrafficMirrorFilterRule ec2:DeleteTrafficMirrorSession ec2:DeleteTrafficMirrorTarget ec2:DeleteTransitGateway ec2:DeleteTransitGatewayConnect ec2:DeleteTransitGatewayConnectPeer ec2:DeleteTransitGatewayMeteringPolicy ec2:DeleteTransitGatewayMeteringPolicyEntry ec2:DeleteTransitGatewayMulticastDomain ec2:DeleteTransitGatewayPeeringAttachment ec2:DeleteTransitGatewayPolicyTable ec2:DeleteTransitGatewayPrefixListReference ec2:DeleteTransitGatewayRoute ec2:DeleteTransitGatewayRouteTable ec2:DeleteTransitGatewayRouteTableAnnouncement ec2:DeleteTransitGatewayVpcAttachment ec2:DeleteVerifiedAccessEndpoint ec2:DeleteVerifiedAccessGroup ec2:DeleteVerifiedAccessInstance ec2:DeleteVerifiedAccessTrustProvider ec2:DeleteVolume ec2:DeleteVpc ec2:DeleteVpcBlockPublicAccessExclusion ec2:DeleteVpcEncryptionControl ec2:DeleteVpcEndpointConnectionNotifications ec2:DeleteVpcEndpointServiceConfigurations ec2:DeleteVpcEndpoints ec2:DeleteVpcPeeringConnection ec2:DeleteVpnConcentrator ec2:DeleteVpnConnection ec2:DeleteVpnConnectionRoute ec2:DeleteVpnGateway ec2:DeprovisionByoipCidr ec2:DeprovisionIpamByoasn ec2:DeprovisionIpamPoolCidr ec2:DeprovisionPublicIpv4PoolCidr ec2:DeregisterImage ec2:DeregisterInstanceEventNotificationAttributes ec2:DeregisterTransitGatewayMulticastGroupMembers ec2:DeregisterTransitGatewayMulticastGroupSources ec2:DescribeAccountAttributes ec2:DescribeAddressTransfers ec2:DescribeAddresses ec2:DescribeAddressesAttribute ec2:DescribeAggregateIdFormat ec2:DescribeAvailabilityZones ec2:DescribeAwsNetworkPerformanceMetricSubscriptions ec2:DescribeBundleTasks ec2:DescribeByoipCidrs ec2:DescribeCapacityBlockExtensionHistory ec2:DescribeCapacityBlockExtensionOfferings ec2:DescribeCapacityBlockStatus ec2:DescribeCapacityBlocks ec2:DescribeCapacityManagerDataExports ec2:DescribeCapacityReservationBillingRequests ec2:DescribeCapacityReservationFleets ec2:DescribeCapacityReservationTopology ec2:DescribeCapacityReservations ec2:DescribeCarrierGateways ec2:DescribeClassicLinkInstances ec2:DescribeClientVpnAuthorizationRules ec2:DescribeClientVpnConnections ec2:DescribeClientVpnEndpoints ec2:DescribeClientVpnRoutes ec2:DescribeClientVpnTargetNetworks ec2:DescribeCoipPools ec2:DescribeConversionTasks ec2:DescribeCustomerGateways ec2:DescribeDeclarativePoliciesReports ec2:DescribeDhcpOptions ec2:DescribeEgressOnlyInternetGateways ec2:DescribeElasticGpus ec2:DescribeExportImageTasks ec2:DescribeExportTasks ec2:DescribeFastLaunchImages ec2:DescribeFastSnapshotRestores ec2:DescribeFleetHistory ec2:DescribeFleetInstances ec2:DescribeFleets ec2:DescribeFlowLogs ec2:DescribeFpgaImageAttribute ec2:DescribeFpgaImages ec2:DescribeHostReservationOfferings ec2:DescribeHostReservations ec2:DescribeHosts ec2:DescribeIamInstanceProfileAssociations ec2:DescribeIdFormat ec2:DescribeIdentityIdFormat ec2:DescribeImageAttribute ec2:DescribeImageReferences ec2:DescribeImageUsageReportEntries ec2:DescribeImageUsageReports ec2:DescribeImportImageTasks ec2:DescribeImportSnapshotTasks ec2:DescribeInstanceConnectEndpoints ec2:DescribeInstanceCreditSpecifications ec2:DescribeInstanceEventNotificationAttributes ec2:DescribeInstanceEventWindows ec2:DescribeInstanceImageMetadata ec2:DescribeInstanceSqlHaHistoryStates ec2:DescribeInstanceSqlHaStates ec2:DescribeInstanceTopology ec2:DescribeInstanceTypes ec2:DescribeInternetGateways ec2:DescribeIpamByoasn ec2:DescribeIpamExternalResourceVerificationTokens ec2:DescribeIpamPolicies ec2:DescribeIpamPools ec2:DescribeIpamPrefixListResolverTargets ec2:DescribeIpamPrefixListResolvers ec2:DescribeIpamResourceDiscoveries ec2:DescribeIpamResourceDiscoveryAssociations ec2:DescribeIpamScopes ec2:DescribeIpams ec2:DescribeIpv6Pools ec2:DescribeKeyPairs ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations ec2:DescribeLocalGatewayRouteTableVpcAssociations ec2:DescribeLocalGatewayRouteTables ec2:DescribeLocalGatewayVirtualInterfaceGroups ec2:DescribeLocalGatewayVirtualInterfaces ec2:DescribeLocalGateways ec2:DescribeLockedSnapshots ec2:DescribeMacHosts ec2:DescribeMacModificationTasks ec2:DescribeManagedPrefixLists ec2:DescribeMovingAddresses ec2:DescribeNatGateways ec2:DescribeNetworkAcls ec2:DescribeNetworkInsightsAccessScopeAnalyses ec2:DescribeNetworkInsightsAccessScopes ec2:DescribeNetworkInsightsAnalyses ec2:DescribeNetworkInsightsPaths ec2:DescribeNetworkInterfaceAttribute ec2:DescribeNetworkInterfacePermissions ec2:DescribeNetworkInterfaces ec2:DescribeOutpostLags ec2:DescribePlacementGroups ec2:DescribePrefixLists ec2:DescribePrincipalIdFormat ec2:DescribePublicIpv4Pools ec2:DescribeRegions ec2:DescribeReplaceRootVolumeTasks ec2:DescribeReservedInstances ec2:DescribeReservedInstancesListings ec2:DescribeReservedInstancesModifications ec2:DescribeReservedInstancesOfferings ec2:DescribeRouteServerEndpoints ec2:DescribeRouteServerPeers ec2:DescribeRouteServers ec2:DescribeRouteTables ec2:DescribeScheduledInstanceAvailability ec2:DescribeScheduledInstances ec2:DescribeSecurityGroupReferences ec2:DescribeSecurityGroupRules ec2:DescribeSecurityGroupVpcAssociations ec2:DescribeSecurityGroups ec2:DescribeServiceLinkVirtualInterfaces ec2:DescribeSnapshotAttribute ec2:DescribeSnapshotTierStatus ec2:DescribeSpotDatafeedSubscription ec2:DescribeSpotFleetInstances ec2:DescribeSpotFleetRequestHistory ec2:DescribeSpotFleetRequests ec2:DescribeSpotInstanceRequests ec2:DescribeSpotPriceHistory ec2:DescribeStaleSecurityGroups ec2:DescribeStoreImageTasks ec2:DescribeTrafficMirrorFilterRules ec2:DescribeTrafficMirrorFilters ec2:DescribeTrafficMirrorSessions ec2:DescribeTrafficMirrorTargets ec2:DescribeTransitGatewayAttachments ec2:DescribeTransitGatewayConnectPeers ec2:DescribeTransitGatewayConnects ec2:DescribeTransitGatewayMeteringPolicies ec2:DescribeTransitGatewayMulticastDomains ec2:DescribeTransitGatewayPeeringAttachments ec2:DescribeTransitGatewayPolicyTables ec2:DescribeTransitGatewayRouteTableAnnouncements ec2:DescribeTransitGatewayRouteTables ec2:DescribeTransitGatewayVpcAttachments ec2:DescribeTransitGateways ec2:DescribeTrunkInterfaceAssociations ec2:DescribeVerifiedAccessEndpoints ec2:DescribeVerifiedAccessGroups ec2:DescribeVerifiedAccessInstanceLoggingConfigurations ec2:DescribeVerifiedAccessInstances ec2:DescribeVerifiedAccessTrustProviders ec2:DescribeVolumeAttribute ec2:DescribeVolumeStatus ec2:DescribeVolumes ec2:DescribeVolumesModifications ec2:DescribeVpcAttribute ec2:DescribeVpcBlockPublicAccessExclusions ec2:DescribeVpcBlockPublicAccessOptions ec2:DescribeVpcClassicLink ec2:DescribeVpcClassicLinkDnsSupport ec2:DescribeVpcEncryptionControls ec2:DescribeVpcEndpointAssociations ec2:DescribeVpcEndpointConnectionNotifications ec2:DescribeVpcEndpointConnections ec2:DescribeVpcEndpointServiceConfigurations ec2:DescribeVpcEndpointServicePermissions ec2:DescribeVpcEndpointServices ec2:DescribeVpcEndpoints ec2:DescribeVpcPeeringConnections ec2:DescribeVpcs ec2:DescribeVpnConcentrators ec2:DescribeVpnConnections ec2:DescribeVpnGateways ec2:DetachClassicLinkVpc ec2:DetachInternetGateway ec2:DetachNetworkInterface ec2:DetachVerifiedAccessTrustProvider ec2:DetachVolume ec2:DetachVpnGateway ec2:DisableAddressTransfer ec2:DisableAllowedImagesSettings ec2:DisableAwsNetworkPerformanceMetricSubscription ec2:DisableCapacityManager ec2:DisableEbsEncryptionByDefault ec2:DisableFastLaunch ec2:DisableFastSnapshotRestores ec2:DisableImage ec2:DisableImageBlockPublicAccess ec2:DisableImageDeprecation ec2:DisableImageDeregistrationProtection ec2:DisableInstanceSqlHaStandbyDetections ec2:DisableIpamOrganizationAdminAccount ec2:DisableIpamPolicy ec2:DisableRouteServerPropagation ec2:DisableSerialConsoleAccess ec2:DisableSnapshotBlockPublicAccess ec2:DisableTransitGatewayRouteTablePropagation ec2:DisableVgwRoutePropagation ec2:DisableVpcClassicLink ec2:DisableVpcClassicLinkDnsSupport ec2:DisassociateAddress ec2:DisassociateCapacityReservationBillingOwner ec2:DisassociateClientVpnTargetNetwork ec2:DisassociateEnclaveCertificateIamRole ec2:DisassociateIamInstanceProfile ec2:DisassociateInstanceEventWindow ec2:DisassociateIpamByoasn ec2:DisassociateIpamResourceDiscovery ec2:DisassociateNatGatewayAddress ec2:DisassociateRouteServer ec2:DisassociateRouteTable ec2:DisassociateSecurityGroupVpc ec2:DisassociateSubnetCidrBlock ec2:DisassociateTransitGatewayMulticastDomain ec2:DisassociateTransitGatewayPolicyTable ec2:DisassociateTransitGatewayRouteTable ec2:DisassociateTrunkInterface ec2:DisassociateVpcCidrBlock ec2:EnableAddressTransfer ec2:EnableAllowedImagesSettings ec2:EnableAwsNetworkPerformanceMetricSubscription ec2:EnableCapacityManager ec2:EnableEbsEncryptionByDefault ec2:EnableFastLaunch ec2:EnableFastSnapshotRestores ec2:EnableImage ec2:EnableImageBlockPublicAccess ec2:EnableImageDeprecation ec2:EnableImageDeregistrationProtection ec2:EnableInstanceSqlHaStandbyDetections ec2:EnableIpamOrganizationAdminAccount ec2:EnableIpamPolicy ec2:EnableReachabilityAnalyzerOrganizationSharing ec2:EnableRouteServerPropagation ec2:EnableSerialConsoleAccess ec2:EnableSnapshotBlockPublicAccess ec2:EnableTransitGatewayRouteTablePropagation ec2:EnableVgwRoutePropagation ec2:EnableVolumeIO ec2:EnableVpcClassicLink ec2:EnableVpcClassicLinkDnsSupport ec2:ExportClientVpnClientCertificateRevocationList ec2:ExportClientVpnClientConfiguration ec2:ExportImage ec2:ExportTransitGatewayRoutes ec2:ExportVerifiedAccessInstanceClientConfiguration ec2:GetActiveVpnTunnelStatus ec2:GetAllowedImagesSettings ec2:GetAssociatedEnclaveCertificateIamRoles ec2:GetAssociatedIpv6PoolCidrs ec2:GetAwsNetworkPerformanceData ec2:GetCapacityManagerAttributes ec2:GetCapacityManagerMetricData ec2:GetCapacityManagerMetricDimensions ec2:GetCapacityReservationUsage ec2:GetCoipPoolUsage ec2:GetConsoleOutput ec2:GetConsoleScreenshot ec2:GetDeclarativePoliciesReportSummary ec2:GetDefaultCreditSpecification ec2:GetEbsDefaultKmsKeyId ec2:GetEbsEncryptionByDefault ec2:GetEnabledIpamPolicy ec2:GetFlowLogsIntegrationTemplate ec2:GetGroupsForCapacityReservation ec2:GetHostReservationPurchasePreview ec2:GetImageAncestry ec2:GetImageBlockPublicAccessState ec2:GetInstanceMetadataDefaults ec2:GetInstanceTpmEkPub ec2:GetInstanceTypesFromInstanceRequirements ec2:GetInstanceUefiData ec2:GetIpamAddressHistory ec2:GetIpamDiscoveredAccounts EC2: Obtenha endereços públicos descobertos pelo IPAM ec2:GetIpamDiscoveredResourceCidrs ec2:GetIpamPolicyAllocationRules ec2:GetIpamPolicyOrganizationTargets ec2:GetIpamPoolAllocations ec2:GetIpamPoolCidrs ec2:GetIpamPrefixListResolverRules ec2:GetIpamPrefixListResolverVersionEntries ec2:GetIpamPrefixListResolverVersions ec2:GetIpamResourceCidrs ec2:GetLaunchTemplateData ec2:GetManagedPrefixListAssociations ec2:GetManagedPrefixListEntries ec2:GetNetworkInsightsAccessScopeAnalysisFindings ec2:GetNetworkInsightsAccessScopeContent ec2:GetPasswordData ec2:GetReservedInstancesExchangeQuote ec2:GetRouteServerAssociations ec2:GetRouteServerPropagations ec2:GetRouteServerRoutingDatabase ec2:GetSecurityGroupsForVpc ec2:GetSerialConsoleAccessStatus ec2:GetSnapshotBlockPublicAccessState ec2:GetSpotPlacementScores ec2:GetSubnetCidrReservations ec2:GetTransitGatewayAttachmentPropagations ec2:GetTransitGatewayMeteringPolicyEntries ec2:GetTransitGatewayMulticastDomainAssociations ec2:GetTransitGatewayPolicyTableAssociations ec2:GetTransitGatewayPolicyTableEntries ec2:GetTransitGatewayPrefixListReferences ec2:GetTransitGatewayRouteTableAssociations ec2:GetTransitGatewayRouteTablePropagations ec2:GetVerifiedAccessEndpointPolicy ec2:GetVerifiedAccessEndpointTargets ec2:GetVerifiedAccessGroupPolicy ec2:GetVpcResourcesBlockingEncryptionEnforcement ec2:GetVpnConnectionDeviceSampleConfiguration ec2:GetVpnConnectionDeviceTypes ec2:GetVpnTunnelReplacementStatus ec2:ImportClientVpnClientCertificateRevocationList ec2:ImportImage ec2:ImportInstance ec2:ImportKeyPair ec2:ImportSnapshot ec2:ImportVolume ec2:InjectVolumeIOLatency ec2:ListImagesInRecycleBin ec2:ListSnapshotsInRecycleBin ec2:ListVolumesInRecycleBin ec2:LockSnapshot ec2:ModifyAddressAttribute ec2:ModifyAvailabilityZoneGroup ec2:ModifyCapacityReservation ec2:ModifyCapacityReservationFleet ec2:ModifyClientVpnEndpoint ec2:ModifyDefaultCreditSpecification ec2:ModifyEbsDefaultKmsKeyId ec2:ModifyFleet ec2:ModifyFpgaImageAttribute ec2:ModifyHosts ec2:ModifyIdFormat ec2:ModifyIdentityIdFormat ec2:ModifyImageAttribute ec2:ModifyInstanceAttribute ec2:ModifyInstanceCapacityReservationAttributes ec2:ModifyInstanceConnectEndpoint ec2:ModifyInstanceCpuOptions ec2:ModifyInstanceCreditSpecification ec2:ModifyInstanceEventStartTime ec2:ModifyInstanceEventWindow ec2:ModifyInstanceMaintenanceOptions ec2:ModifyInstanceMetadataDefaults ec2:ModifyInstanceMetadataOptions ec2:ModifyInstanceNetworkPerformanceOptions ec2:ModifyInstancePlacement ec2:ModifyIpam ec2:ModifyIpamPolicyAllocationRules ec2:ModifyIpamPool ec2:ModifyIpamPrefixListResolver ec2:ModifyIpamPrefixListResolverTarget ec2:ModifyIpamResourceCidr ec2:ModifyIpamResourceDiscovery ec2:ModifyIpamScope ec2:ModifyLaunchTemplate ec2:ModifyLocalGatewayRoute ec2:ModifyManagedPrefixList ec2:ModifyNetworkInterfaceAttribute ec2:ModifyPrivateDnsNameOptions ec2:ModifyPublicIpDnsNameOptions ec2:ModifyReservedInstances ec2:ModifyRouteServer ec2:ModifySecurityGroupRules ec2:ModifySnapshotAttribute ec2:ModifySnapshotTier ec2:ModifySpotFleetRequest ec2:ModifySubnetAttribute ec2:ModifyTrafficMirrorFilterNetworkServices ec2:ModifyTrafficMirrorFilterRule ec2:ModifyTrafficMirrorSession ec2:ModifyTransitGateway ec2:ModifyTransitGatewayMeteringPolicy ec2:ModifyTransitGatewayPrefixListReference ec2:ModifyTransitGatewayVpcAttachment ec2:ModifyVerifiedAccessEndpoint ec2:ModifyVerifiedAccessEndpointPolicy ec2:ModifyVerifiedAccessGroup ec2:ModifyVerifiedAccessGroupPolicy ec2:ModifyVerifiedAccessInstance ec2:ModifyVerifiedAccessInstanceLoggingConfiguration ec2:ModifyVerifiedAccessTrustProvider ec2:ModifyVolume ec2:ModifyVolumeAttribute ec2:ModifyVpcAttribute ec2:ModifyVpcBlockPublicAccessExclusion ec2:ModifyVpcBlockPublicAccessOptions ec2:ModifyVpcEncryptionControl ec2:ModifyVpcEndpoint ec2:ModifyVpcEndpointConnectionNotification ec2:ModifyVpcEndpointServiceConfiguration ec2:ModifyVpcEndpointServicePayerResponsibility ec2:ModifyVpcEndpointServicePermissions ec2:ModifyVpcPeeringConnectionOptions ec2:ModifyVpcTenancy ec2:ModifyVpnConnection ec2:ModifyVpnConnectionOptions ec2:ModifyVpnTunnelCertificate ec2:ModifyVpnTunnelOptions ec2:MonitorInstances ec2:MoveAddressToVpc ec2:MoveByoipCidrToIpam ec2:MoveCapacityReservationInstances ec2:ProvisionByoipCidr ec2:ProvisionIpamByoasn ec2:ProvisionIpamPoolCidr ec2:ProvisionPublicIpv4PoolCidr ec2:PurchaseCapacityBlockExtension ec2:PurchaseHostReservation ec2:PurchaseReservedInstancesOffering ec2:PurchaseScheduledInstances ec2:RebootInstances ec2:RegisterImage ec2:RegisterInstanceEventNotificationAttributes ec2:RegisterTransitGatewayMulticastGroupMembers ec2:RegisterTransitGatewayMulticastGroupSources ec2:RejectCapacityReservationBillingOwnership ec2:RejectTransitGatewayMulticastDomainAssociations ec2:RejectTransitGatewayPeeringAttachment ec2:RejectTransitGatewayVpcAttachment ec2:RejectVpcEndpointConnections ec2:RejectVpcPeeringConnection ec2:ReleaseAddress ec2:ReleaseHosts ec2:ReleaseIpamPoolAllocation ec2:ReplaceIamInstanceProfileAssociation ec2:ReplaceImageCriteriaInAllowedImagesSettings ec2:ReplaceNetworkAclAssociation ec2:ReplaceNetworkAclEntry ec2:ReplaceRoute ec2:ReplaceRouteTableAssociation ec2:ReplaceTransitGatewayRoute ec2:ReplaceVpnTunnel ec2:ReportInstanceStatus ec2:RequestSpotFleet ec2:RequestSpotInstances ec2:ResetAddressAttribute ec2:ResetEbsDefaultKmsKeyId ec2:ResetFpgaImageAttribute ec2:ResetImageAttribute ec2:ResetInstanceAttribute ec2:ResetNetworkInterfaceAttribute ec2:ResetSnapshotAttribute ec2:RestoreAddressToClassic ec2:RestoreImageFromRecycleBin ec2:RestoreManagedPrefixListVersion ec2:RestoreSnapshotFromRecycleBin ec2:RestoreSnapshotTier ec2:RestoreVolumeFromRecycleBin ec2:RevokeClientVpnIngress ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress ec2:RunInstances ec2:RunScheduledInstances ec2:SearchLocalGatewayRoutes ec2:SearchTransitGatewayMulticastGroups ec2:SearchTransitGatewayRoutes ec2:SendDiagnosticInterrupt ec2:StartDeclarativePoliciesReport ec2:StartInstances ec2:StartNetworkInsightsAccessScopeAnalysis ec2:StartNetworkInsightsAnalysis ec2:StartVpcEndpointServicePrivateDnsVerification ec2:TerminateClientVpnConnections ec2:UnassignIpv6Addresses ec2:UnassignPrivateIpAddresses ec2:UnassignPrivateNatGatewayAddress ec2:UnlockSnapshot ec2:UnmonitorInstances ec2:UpdateCapacityManagerOrganizationsAccess ec2:UpdateInterruptibleCapacityReservationAllocation ec2:UpdateSecurityGroupRuleDescriptionsEgress ec2:UpdateSecurityGroupRuleDescriptionsIngress ec2:WithdrawByoipCidr  | 
| ecr |  ecr:BatchCheckLayerAvailability ecr:BatchDeleteImage ecr:BatchGetImage ecr:BatchGetRepositoryScanningConfiguration ecr:CompleteLayerUpload ecr:CreatePullThroughCacheRule ecr:CreateRepositoryCreationTemplate ecr:DeleteLifecyclePolicy ecr:DeletePullThroughCacheRule ecr:DeleteRegistryPolicy ecr:DeleteRepository ecr:DeleteRepositoryCreationTemplate ecr:DeleteRepositoryPolicy ecr:DeleteSigningConfiguration ecr:DescribeImageReplicationStatus ecr:DescribeImageScanFindings ecr:DescribeImages ecr:DescribePullThroughCacheRules ecr:DescribeRegistry ecr:DescribeRepositories ecr:DescribeRepositoryCreationTemplates ecr:GetAccountSetting ecr:GetAuthorizationToken ecr:GetDownloadUrlForLayer ecr:GetLifecyclePolicy ecr:GetLifecyclePolicyPreview ecr:GetRegistryPolicy ecr:GetRegistryScanningConfiguration ecr:GetRepositoryPolicy ecr:GetSigningConfiguration ecr:InitiateLayerUpload ecr:ListImages ecr:ListPullTimeUpdateExclusions ecr:PutAccountSetting ecr:PutImage ecr:PutImageScanningConfiguration ecr:PutRegistryPolicy ecr:PutRegistryScanningConfiguration ecr:PutReplicationConfiguration ecr:StartImageScan ecr:StartLifecyclePolicyPreview ecr:UpdatePullThroughCacheRule ecr:UpdateRepositoryCreationTemplate ecr:UploadLayerPart ecr:ValidatePullThroughCacheRule  | 
| ecr-public |  ecr-public:BatchCheckLayerAvailability ecr-public:BatchDeleteImage ecr-public:CompleteLayerUpload ecr-public:CreateRepository ecr-public:DeleteRepository ecr-public:DeleteRepositoryPolicy ecr-public:DescribeImages ecr-public:DescribeRegistries ecr-public:DescribeRepositories ecr-public:GetAuthorizationToken ecr-public:GetRegistryCatalogData ecr-public:GetRepositoryCatalogData ecr-public:GetRepositoryPolicy ecr-public:InitiateLayerUpload ecr-public:PutImage ecr-public:PutRegistryCatalogData ecr-public:PutRepositoryCatalogData ecr-public:SetRepositoryPolicy ecr-public:UploadLayerPart  | 
| ecs |  ecs:CreateCapacityProvider ecs:CreateCluster ecs:CreateService ecs:CreateTaskSet ecs:DeleteAccountSetting ecs:DeleteAttributes ecs:DeleteCapacityProvider ecs:DeleteCluster ecs:DeleteExpressGatewayService ecs:DeleteService ecs:DeleteTaskDefinitions ecs:DeleteTaskSet ecs:DeregisterContainerInstance ecs:DeregisterTaskDefinition ecs:DescribeCapacityProviders ecs:DescribeClusters ecs:DescribeContainerInstances ecs:DescribeExpressGatewayService ecs:DescribeServiceDeployments ecs:DescribeServiceRevisions ecs:DescribeServices ecs:DescribeTaskDefinition ecs:DescribeTaskSets ecs:DescribeTasks ecs:DiscoverPollEndpoint ecs:ExecuteCommand ecs:GetTaskProtection ecs:ListAccountSettings ecs:ListAttributes ecs:ListClusters ecs:ListContainerInstances ecs:ListServiceDeployments ecs:ListServices ecs:ListServicesByNamespace ecs:ListTaskDefinitionFamilies ecs:ListTaskDefinitions ecs:ListTasks ecs:PutAccountSetting ecs:PutAccountSettingDefault ecs:PutAttributes ecs:PutClusterCapacityProviders ecs:RegisterContainerInstance ecs:RunTask ecs:StartTask ecs:StopServiceDeployment ecs:StopTask ecs:SubmitAttachmentStateChanges ecs:SubmitContainerStateChange ecs:SubmitTaskStateChange ecs:UpdateCapacityProvider ecs:UpdateCluster ecs:UpdateClusterSettings ecs:UpdateContainerAgent ecs:UpdateContainerInstancesState ecs:UpdateExpressGatewayService ecs:UpdateService ecs:UpdateServicePrimaryTaskSet ecs:UpdateTaskProtection ecs:UpdateTaskSet  | 
| eks |  eks:AssociateAccessPolicy eks:AssociateEncryptionConfig eks:AssociateIdentityProviderConfig eks:CreateAccessEntry eks:CreateAddon eks:CreateCluster eks:CreateEksAnywhereSubscription eks:CreateFargateProfile eks:CreateNodegroup eks:DeleteAccessEntry eks:DeleteAddon eks:DeleteCapability eks:DeleteCluster eks:DeleteEksAnywhereSubscription eks:DeleteFargateProfile eks:DeleteNodegroup eks:DeletePodIdentityAssociation eks:DeregisterCluster eks:DescribeAccessEntry eks:DescribeAddon eks:DescribeAddonConfiguration eks:DescribeAddonVersions eks:DescribeCapability eks:DescribeCluster eks:DescribeClusterVersions eks:DescribeEksAnywhereSubscription eks:DescribeFargateProfile eks:DescribeIdentityProviderConfig eks:DescribeInsight eks:DescribeInsightsRefresh eks:DescribeNodegroup eks:DescribePodIdentityAssociation eks:DescribeUpdate eks:DisassociateAccessPolicy eks:DisassociateIdentityProviderConfig eks:ListAccessEntries eks:ListAccessPolicies eks:ListAddons eks:ListAssociatedAccessPolicies eks:ListCapabilities eks:ListClusters eks:ListEksAnywhereSubscriptions eks:ListFargateProfiles eks:ListIdentityProviderConfigs eks:ListInsights eks:ListNodegroups eks:ListPodIdentityAssociations eks:ListUpdates eks:RegisterCluster eks:StartInsightsRefresh eks:UpdateAccessEntry eks:UpdateAddon eks:UpdateCapability eks:UpdateClusterConfig eks:UpdateClusterVersion eks:UpdateEksAnywhereSubscription eks:UpdateNodegroupConfig eks:UpdateNodegroupVersion eks:UpdatePodIdentityAssociation  | 
| elasticache |  elasticache:AuthorizeCacheSecurityGroupIngress elasticache:BatchApplyUpdateAction elasticache:BatchStopUpdateAction elasticache:CompleteMigration elasticache:CopyServerlessCacheSnapshot elasticache:CopySnapshot elasticache:CreateCacheCluster elasticache:CreateCacheParameterGroup elasticache:CreateCacheSecurityGroup elasticache:CreateCacheSubnetGroup elasticache:CreateGlobalReplicationGroup elasticache:CreateReplicationGroup elasticache:CreateServerlessCache elasticache:CreateServerlessCacheSnapshot elasticache:CreateSnapshot elasticache:CreateUser elasticache:CreateUserGroup elasticache:DecreaseNodeGroupsInGlobalReplicationGroup elasticache:DecreaseReplicaCount elasticache:DeleteCacheCluster elasticache:DeleteCacheParameterGroup elasticache:DeleteCacheSecurityGroup elasticache:DeleteCacheSubnetGroup elasticache:DeleteGlobalReplicationGroup elasticache:DeleteReplicationGroup elasticache:DeleteServerlessCache elasticache:DeleteServerlessCacheSnapshot elasticache:DeleteSnapshot elasticache:DeleteUser elasticache:DeleteUserGroup elasticache:DescribeCacheClusters elasticache:DescribeCacheEngineVersions elasticache:DescribeCacheParameterGroups elasticache:DescribeCacheParameters elasticache:DescribeCacheSecurityGroups elasticache:DescribeCacheSubnetGroups elasticache:DescribeEngineDefaultParameters elasticache:DescribeEvents elasticache:DescribeGlobalReplicationGroups elasticache:DescribeReplicationGroups elasticache:DescribeReservedCacheNodes elasticache:DescribeReservedCacheNodesOfferings elasticache:DescribeServerlessCacheSnapshots elasticache:DescribeServerlessCaches elasticache:DescribeServiceUpdates elasticache:DescribeSnapshots elasticache:DescribeUpdateActions elasticache:DescribeUserGroups elasticache:DescribeUsers elasticache:DisassociateGlobalReplicationGroup elasticache:ExportServerlessCacheSnapshot elasticache:FailoverGlobalReplicationGroup elasticache:IncreaseNodeGroupsInGlobalReplicationGroup elasticache:IncreaseReplicaCount elasticache:ListAllowedNodeTypeModifications elasticache:ModifyCacheCluster elasticache:ModifyCacheParameterGroup elasticache:ModifyCacheSubnetGroup elasticache:ModifyGlobalReplicationGroup elasticache:ModifyReplicationGroup elasticache:ModifyReplicationGroupShardConfiguration elasticache:ModifyServerlessCache elasticache:ModifyUser elasticache:ModifyUserGroup elasticache:PurchaseReservedCacheNodesOffering elasticache:RebalanceSlotsInGlobalReplicationGroup elasticache:RebootCacheCluster elasticache:ResetCacheParameterGroup elasticache:RevokeCacheSecurityGroupIngress elasticache:StartMigration elasticache:TestFailover elasticache:TestMigration  | 
| elasticbeanstalk |  elasticbeanstalk:AbortEnvironmentUpdate elasticbeanstalk:ApplyEnvironmentManagedAction elasticbeanstalk:AssociateEnvironmentOperationsRole elasticbeanstalk:CheckDNSAvailability elasticbeanstalk:ComposeEnvironments elasticbeanstalk:CreateApplication elasticbeanstalk:CreateApplicationVersion elasticbeanstalk:CreateConfigurationTemplate elasticbeanstalk:CreateEnvironment elasticbeanstalk:CreatePlatformVersion elasticbeanstalk:CreateStorageLocation elasticbeanstalk:DeleteApplication elasticbeanstalk:DeleteApplicationVersion elasticbeanstalk:DeleteConfigurationTemplate elasticbeanstalk:DeleteEnvironmentConfiguration elasticbeanstalk:DeletePlatformVersion elasticbeanstalk:DescribeAccountAttributes elasticbeanstalk:DescribeApplicationVersions elasticbeanstalk:DescribeApplications elasticbeanstalk:DescribeConfigurationOptions elasticbeanstalk:DescribeConfigurationSettings elasticbeanstalk:DescribeEnvironmentHealth elasticbeanstalk:DescribeEnvironmentManagedActionHistory elasticbeanstalk:DescribeEnvironmentManagedActions elasticbeanstalk:DescribeEnvironmentResources elasticbeanstalk:DescribeEnvironments elasticbeanstalk:DescribeEvents elasticbeanstalk:DescribeInstancesHealth elasticbeanstalk:DescribePlatformVersion elasticbeanstalk:DisassociateEnvironmentOperationsRole elasticbeanstalk:ListAvailableSolutionStacks elasticbeanstalk:ListPlatformBranches elasticbeanstalk:ListPlatformVersions elasticbeanstalk:RebuildEnvironment elasticbeanstalk:RequestEnvironmentInfo elasticbeanstalk:RestartAppServer elasticbeanstalk:RetrieveEnvironmentInfo elasticbeanstalk:SwapEnvironmentCNAMEs elasticbeanstalk:TerminateEnvironment elasticbeanstalk:UpdateApplication elasticbeanstalk:UpdateApplicationResourceLifecycle elasticbeanstalk:UpdateApplicationVersion elasticbeanstalk:UpdateConfigurationTemplate elasticbeanstalk:UpdateEnvironment elasticbeanstalk:ValidateConfigurationSettings  | 
| elasticfilesystem |  elasticfilesystem:CreateAccessPoint elasticfilesystem:CreateFileSystem elasticfilesystem:CreateMountTarget elasticfilesystem:CreateReplicationConfiguration elasticfilesystem:DeleteAccessPoint elasticfilesystem:DeleteFileSystem elasticfilesystem:DeleteFileSystemPolicy elasticfilesystem:DeleteMountTarget elasticfilesystem:DeleteReplicationConfiguration elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeAccountPreferences elasticfilesystem:DescribeBackupPolicy elasticfilesystem:DescribeFileSystemPolicy elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeLifecycleConfiguration elasticfilesystem:DescribeMountTargetSecurityGroups elasticfilesystem:DescribeMountTargets elasticfilesystem:DescribeReplicationConfigurations elasticfilesystem:ModifyMountTargetSecurityGroups elasticfilesystem:PutAccountPreferences elasticfilesystem:PutBackupPolicy elasticfilesystem:PutFileSystemPolicy elasticfilesystem:PutLifecycleConfiguration elasticfilesystem:UpdateFileSystem elasticfilesystem:UpdateFileSystemProtection  | 
| elasticloadbalancing |  elasticloadbalancing:AddListenerCertificates elasticloadbalancing:AddTrustStoreRevocations elasticloadbalancing:ApplySecurityGroupsToLoadBalancer elasticloadbalancing:AttachLoadBalancerToSubnets elasticloadbalancing:ConfigureHealthCheck elasticloadbalancing:CreateAppCookieStickinessPolicy elasticloadbalancing:CreateLBCookieStickinessPolicy elasticloadbalancing:CreateListener elasticloadbalancing:CreateLoadBalancer elasticloadbalancing:CreateLoadBalancerListeners elasticloadbalancing:CreateLoadBalancerPolicy elasticloadbalancing:CreateRule elasticloadbalancing:CreateTargetGroup elasticloadbalancing:CreateTrustStore elasticloadbalancing:CreateWebACLAssociation elasticloadbalancing:DeleteListener elasticloadbalancing:DeleteLoadBalancer elasticloadbalancing:DeleteLoadBalancerListeners elasticloadbalancing:DeleteLoadBalancerPolicy elasticloadbalancing:DeleteRule elasticloadbalancing:DeleteSharedTrustStoreAssociation elasticloadbalancing:DeleteTargetGroup elasticloadbalancing:DeleteTrustStore elasticloadbalancing:DeleteWebACLAssociation elasticloadbalancing:DeregisterInstancesFromLoadBalancer elasticloadbalancing:DeregisterTargets elasticloadbalancing:DescribeAccountLimits elasticloadbalancing:DescribeCapacityReservation elasticloadbalancing:DescribeInstanceHealth elasticloadbalancing:DescribeListenerAttributes elasticloadbalancing:DescribeListenerCertificates elasticloadbalancing:DescribeListeners elasticloadbalancing:DescribeLoadBalancerAttributes elasticloadbalancing:DescribeLoadBalancerPolicies elasticloadbalancing:DescribeLoadBalancerPolicyTypes elasticloadbalancing:DescribeLoadBalancers elasticloadbalancing:DescribeRules elasticloadbalancing:DescribeSSLPolicies elasticloadbalancing:DescribeTargetGroupAttributes elasticloadbalancing:DescribeTargetGroups elasticloadbalancing:DescribeTargetHealth elasticloadbalancing:DescribeTrustStoreAssociations elasticloadbalancing:DescribeTrustStoreRevocations elasticloadbalancing:DescribeTrustStores elasticloadbalancing:DescribeWebACLAssociation elasticloadbalancing:DetachLoadBalancerFromSubnets elasticloadbalancing:DisableAvailabilityZonesForLoadBalancer elasticloadbalancing:EnableAvailabilityZonesForLoadBalancer elasticloadbalancing:GetLoadBalancerWebACL elasticloadbalancing:GetResourcePolicy elasticloadbalancing:GetTrustStoreCaCertificatesBundle elasticloadbalancing:GetTrustStoreRevocationContent elasticloadbalancing:ModifyCapacityReservation elasticloadbalancing:ModifyIpPools elasticloadbalancing:ModifyListener elasticloadbalancing:ModifyLoadBalancerAttributes elasticloadbalancing:ModifyRule elasticloadbalancing:ModifyTargetGroup elasticloadbalancing:ModifyTargetGroupAttributes elasticloadbalancing:ModifyTrustStore elasticloadbalancing:RegisterInstancesWithLoadBalancer elasticloadbalancing:RegisterTargets elasticloadbalancing:RemoveListenerCertificates elasticloadbalancing:RemoveTrustStoreRevocations elasticloadbalancing:SetIpAddressType elasticloadbalancing:SetLoadBalancerListenerSSLCertificate elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer elasticloadbalancing:SetLoadBalancerPoliciesOfListener elasticloadbalancing:SetRulePriorities elasticloadbalancing:SetSecurityGroups elasticloadbalancing:SetSubnets  | 
| elastictranscoder |  elastictranscoder:CancelJob elastictranscoder:CreateJob elastictranscoder:CreatePipeline elastictranscoder:CreatePreset elastictranscoder:DeletePipeline elastictranscoder:DeletePreset elastictranscoder:ListJobsByPipeline elastictranscoder:ListJobsByStatus elastictranscoder:ListPipelines elastictranscoder:ListPresets elastictranscoder:ReadJob elastictranscoder:ReadPipeline elastictranscoder:ReadPreset elastictranscoder:TestRole elastictranscoder:UpdatePipeline elastictranscoder:UpdatePipelineNotifications elastictranscoder:UpdatePipelineStatus  | 
| emr-containers |  emr-containers:CancelJobRun emr-containers:CreateJobTemplate emr-containers:CreateManagedEndpoint emr-containers:CreateSecurityConfiguration emr-containers:CreateVirtualCluster emr-containers:DeleteJobTemplate emr-containers:DeleteManagedEndpoint emr-containers:DeleteVirtualCluster emr-containers:DescribeJobRun emr-containers:DescribeJobTemplate emr-containers:DescribeManagedEndpoint emr-containers:DescribeSecurityConfiguration emr-containers:DescribeVirtualCluster emr-containers:GetManagedEndpointSessionCredentials emr-containers:ListJobRuns emr-containers:ListJobTemplates emr-containers:ListManagedEndpoints emr-containers:ListSecurityConfigurations emr-containers:ListVirtualClusters emr-containers:StartJobRun  | 
| emr-serverless |  emr-serverless:CancelJobRun emr-serverless:CreateApplication emr-serverless:DeleteApplication emr-serverless:GetApplication emr-serverless:GetDashboardForJobRun emr-serverless:GetJobRun emr-serverless:ListApplications emr-serverless:ListJobRunAttempts emr-serverless:ListJobRuns emr-serverless:StartApplication emr-serverless:StartJobRun emr-serverless:StopApplication emr-serverless:UpdateApplication  | 
| es |  es:AcceptInboundConnection es:AcceptInboundCrossClusterSearchConnection es:AssociatePackage es:AuthorizeVpcEndpointAccess es:CancelElasticsearchServiceSoftwareUpdate es:CancelServiceSoftwareUpdate es:CreateDomain es:CreateElasticsearchDomain es:CreateIndex es:CreateOutboundConnection es:CreateOutboundCrossClusterSearchConnection es:CreatePackage es:CreateVpcEndpoint es:DeleteDomain es:DeleteElasticsearchDomain es:DeleteElasticsearchServiceRole es:DeleteInboundConnection es:DeleteInboundCrossClusterSearchConnection es:DeleteIndex es:DeleteOutboundConnection es:DeleteOutboundCrossClusterSearchConnection es:DeletePackage es:DeleteVpcEndpoint es:DescribeDomain es:DescribeDomainAutoTunes es:DescribeDomainChangeProgress es:DescribeDomainConfig es:DescribeDomainHealth es:DescribeDomainNodes es:DescribeDomains es:DescribeDryRunProgress es:DescribeElasticsearchDomain es:DescribeElasticsearchDomainConfig es:DescribeElasticsearchDomains es:DescribeElasticsearchInstanceTypeLimits es:DescribeInboundConnections es:DescribeInboundCrossClusterSearchConnections es:DescribeInstanceTypeLimits es:DescribeOutboundConnections es:DescribeOutboundCrossClusterSearchConnections es:DescribePackages es:DescribeReservedElasticsearchInstanceOfferings es:DescribeReservedElasticsearchInstances es:DescribeReservedInstanceOfferings es:DescribeReservedInstances es:DescribeVpcEndpoints es:DissociatePackage es:DissociatePackages es:GetCompatibleElasticsearchVersions es:GetCompatibleVersions es:GetDataSource es:GetDomainMaintenanceStatus es:GetPackageVersionHistory es:GetUpgradeHistory es:GetUpgradeStatus es:ListDataSources es:ListDomainNames es:ListDomainsForPackage es:ListElasticsearchInstanceTypes es:ListElasticsearchVersions es:ListInstanceTypeDetails es:ListPackagesForDomain es:ListScheduledActions es:ListVersions es:ListVpcEndpointAccess es:ListVpcEndpoints es:ListVpcEndpointsForDomain es:PurchaseReservedElasticsearchInstanceOffering es:PurchaseReservedInstanceOffering es:RejectInboundConnection es:RejectInboundCrossClusterSearchConnection es:RevokeVpcEndpointAccess es:StartDomainMaintenance es:StartElasticsearchServiceSoftwareUpdate es:StartServiceSoftwareUpdate es:UpdateDataSource es:UpdateDomainConfig es:UpdateElasticsearchDomainConfig es:UpdateIndex es:UpdatePackage es:UpdatePackageScope es:UpdateScheduledAction es:UpdateVpcEndpoint es:UpgradeDomain es:UpgradeElasticsearchDomain  | 
| eventos |  events:ActivateEventSource events:CancelReplay events:CreateApiDestination events:CreateArchive events:CreateConnection events:CreateEndpoint events:CreateEventBus events:CreatePartnerEventSource events:DeactivateEventSource events:DeauthorizeConnection events:DeleteApiDestination events:DeleteArchive events:DeleteConnection events:DeleteEndpoint events:DeleteEventBus events:DeletePartnerEventSource events:DeleteRule events:DescribeApiDestination events:DescribeArchive events:DescribeConnection events:DescribeEndpoint events:DescribeEventBus events:DescribeEventSource events:DescribePartnerEventSource events:DescribeReplay events:DescribeRule events:DisableRule events:EnableRule events:ListApiDestinations events:ListArchives events:ListConnections events:ListEndpoints events:ListEventBuses events:ListEventSources events:ListPartnerEventSourceAccounts events:ListPartnerEventSources events:ListReplays events:ListRuleNamesByTarget events:ListRules events:ListTargetsByRule events:PutPermission events:PutRule events:PutTargets events:RemovePermission events:RemoveTargets events:StartReplay events:TestEventPattern events:UpdateApiDestination events:UpdateArchive events:UpdateConnection events:UpdateEndpoint events:UpdateEventBus  | 
| evidently |  evidently:CreateExperiment evidently:CreateFeature evidently:CreateLaunch evidently:CreateProject evidently:CreateSegment evidently:DeleteExperiment evidently:DeleteFeature evidently:DeleteLaunch evidently:DeleteProject evidently:DeleteSegment evidently:GetExperiment evidently:GetExperimentResults evidently:GetFeature evidently:GetLaunch evidently:GetProject evidently:GetSegment evidently:ListExperiments evidently:ListFeatures evidently:ListLaunches evidently:ListProjects evidently:ListSegmentReferences evidently:ListSegments evidently:StartExperiment evidently:StartLaunch evidently:StopExperiment evidently:StopLaunch evidently:TestSegmentPattern evidently:UpdateExperiment evidently:UpdateFeature evidently:UpdateLaunch evidently:UpdateProject evidently:UpdateProjectDataDelivery  | 
| finspace |  finspace:CreateEnvironment finspace:CreateKxChangeset finspace:CreateKxCluster finspace:CreateKxDatabase finspace:CreateKxDataview finspace:CreateKxEnvironment finspace:CreateKxScalingGroup finspace:CreateKxUser finspace:CreateKxVolume finspace:CreateUser finspace:DeleteEnvironment finspace:DeleteKxCluster finspace:DeleteKxClusterNode finspace:DeleteKxDatabase finspace:DeleteKxDataview finspace:DeleteKxEnvironment finspace:DeleteKxScalingGroup finspace:DeleteKxUser finspace:DeleteKxVolume finspace:GetEnvironment finspace:GetKxChangeset finspace:GetKxCluster finspace:GetKxConnectionString finspace:GetKxDatabase finspace:GetKxDataview finspace:GetKxEnvironment finspace:GetKxScalingGroup finspace:GetKxUser finspace:GetKxVolume finspace:GetLoadSampleDataSetGroupIntoEnvironmentStatus finspace:GetUser finspace:ListEnvironments finspace:ListKxChangesets finspace:ListKxClusterNodes finspace:ListKxClusters finspace:ListKxDatabases finspace:ListKxDataviews finspace:ListKxEnvironments finspace:ListKxScalingGroups finspace:ListKxUsers finspace:ListKxVolumes finspace:ListUsers finspace:LoadSampleDataSetGroupIntoEnvironment finspace:ResetUserPassword finspace:UpdateEnvironment finspace:UpdateKxClusterCodeConfiguration finspace:UpdateKxClusterDatabases finspace:UpdateKxDatabase finspace:UpdateKxDataview finspace:UpdateKxEnvironment finspace:UpdateKxEnvironmentNetwork finspace:UpdateKxUser finspace:UpdateKxVolume finspace:UpdateUser  | 
| firehose |  firehose:CreateDeliveryStream firehose:DeleteDeliveryStream firehose:DescribeDeliveryStream firehose:ListDeliveryStreams firehose:StartDeliveryStreamEncryption firehose:StopDeliveryStreamEncryption firehose:UpdateDestination  | 
| fis |  fis:CreateExperimentTemplate fis:CreateTargetAccountConfiguration fis:DeleteExperimentTemplate fis:DeleteTargetAccountConfiguration fis:GetAction fis:GetExperiment fis:GetExperimentTargetAccountConfiguration fis:GetExperimentTemplate fis:GetSafetyLever fis:GetTargetAccountConfiguration fis:GetTargetResourceType fis:ListActions fis:ListExperimentResolvedTargets fis:ListExperimentTargetAccountConfigurations fis:ListExperimentTemplates fis:ListExperiments fis:ListTargetAccountConfigurations fis:ListTargetResourceTypes fis:StartExperiment fis:StopExperiment fis:UpdateExperimentTemplate fis:UpdateSafetyLeverState fis:UpdateTargetAccountConfiguration  | 
| fms |  fms:AssociateAdminAccount fms:AssociateThirdPartyFirewall fms:BatchAssociateResource fms:BatchDisassociateResource fms:DeleteAppsList fms:DeleteNotificationChannel fms:DeletePolicy fms:DeleteProtocolsList fms:DeleteResourceSet fms:DisassociateAdminAccount fms:DisassociateThirdPartyFirewall fms:GetAdminAccount fms:GetAdminScope fms:GetAppsList fms:GetComplianceDetail fms:GetNotificationChannel fms:GetPolicy fms:GetProtectionStatus fms:GetProtocolsList fms:GetResourceSet fms:GetThirdPartyFirewallAssociationStatus fms:GetViolationDetails fms:ListAdminAccountsForOrganization fms:ListAdminsManagingAccount fms:ListAppsLists fms:ListComplianceStatus fms:ListDiscoveredResources fms:ListMemberAccounts fms:ListPolicies fms:ListProtocolsLists fms:ListResourceSetResources fms:ListResourceSets fms:ListThirdPartyFirewallFirewallPolicies fms:PutAdminAccount fms:PutAppsList fms:PutNotificationChannel fms:PutPolicy fms:PutProtocolsList fms:PutResourceSet  | 
| frauddetector |  frauddetector:BatchCreateVariable frauddetector:BatchGetVariable frauddetector:CancelBatchImportJob frauddetector:CancelBatchPredictionJob frauddetector:CreateBatchImportJob frauddetector:CreateBatchPredictionJob frauddetector:CreateDetectorVersion frauddetector:CreateList frauddetector:CreateModel frauddetector:CreateModelVersion frauddetector:CreateRule frauddetector:CreateVariable frauddetector:DeleteBatchImportJob frauddetector:DeleteBatchPredictionJob frauddetector:DeleteDetector frauddetector:DeleteDetectorVersion frauddetector:DeleteEntityType frauddetector:DeleteEvent frauddetector:DeleteEventType frauddetector:DeleteEventsByEventType frauddetector:DeleteExternalModel frauddetector:DeleteLabel frauddetector:DeleteList frauddetector:DeleteModel frauddetector:DeleteModelVersion frauddetector:DeleteOutcome frauddetector:DeleteRule frauddetector:DeleteVariable frauddetector:DescribeDetector frauddetector:DescribeModelVersions frauddetector:GetBatchImportJobs frauddetector:GetBatchPredictionJobs frauddetector:GetDeleteEventsByEventTypeStatus frauddetector:GetDetectorVersion frauddetector:GetDetectors frauddetector:GetEntityTypes frauddetector:GetEvent frauddetector:GetEventPrediction frauddetector:GetEventPredictionMetadata frauddetector:GetEventTypes frauddetector:GetExternalModels frauddetector:GetKMSEncryptionKey frauddetector:GetLabels frauddetector:GetListElements frauddetector:GetListsMetadata frauddetector:GetModelVersion frauddetector:GetModels frauddetector:GetOutcomes frauddetector:GetRules frauddetector:GetVariables frauddetector:ListEventPredictions frauddetector:PutDetector frauddetector:PutEntityType frauddetector:PutEventType frauddetector:PutExternalModel frauddetector:PutKMSEncryptionKey frauddetector:PutLabel frauddetector:PutOutcome frauddetector:SendEvent frauddetector:UpdateDetectorVersion frauddetector:UpdateDetectorVersionMetadata frauddetector:UpdateDetectorVersionStatus frauddetector:UpdateEventLabel frauddetector:UpdateList frauddetector:UpdateModel frauddetector:UpdateModelVersion frauddetector:UpdateModelVersionStatus frauddetector:UpdateRuleMetadata frauddetector:UpdateRuleVersion frauddetector:UpdateVariable  | 
| fsx |  fsx:AssociateFileSystemAliases fsx:CancelDataRepositoryTask fsx:CopyBackup fsx:CreateDataRepositoryTask fsx:CreateFileCache fsx:CreateFileSystem fsx:CreateFileSystemFromBackup fsx:CreateSnapshot fsx:CreateStorageVirtualMachine fsx:CreateVolume fsx:CreateVolumeFromBackup fsx:DeleteBackup fsx:DeleteFileCache fsx:DeleteFileSystem fsx:DeleteSnapshot fsx:DeleteStorageVirtualMachine fsx:DeleteVolume fsx:DescribeBackups fsx:DescribeDataRepositoryAssociations fsx:DescribeDataRepositoryTasks fsx:DescribeFileCaches fsx:DescribeFileSystemAliases fsx:DescribeFileSystems fsx:DescribeS3AccessPointAttachments fsx:DescribeSharedVpcConfiguration fsx:DescribeSnapshots fsx:DescribeStorageVirtualMachines fsx:DescribeVolumes fsx:DetachAndDeleteS3AccessPoint fsx:DisassociateFileSystemAliases fsx:ReleaseFileSystemNfsV3Locks fsx:RestoreVolumeFromSnapshot fsx:StartMisconfiguredStateRecovery fsx:UpdateDataRepositoryAssociation fsx:UpdateFileCache fsx:UpdateFileSystem fsx:UpdateSharedVpcConfiguration fsx:UpdateSnapshot fsx:UpdateStorageVirtualMachine fsx:UpdateVolume  | 
| gamelift |  gamelift:AcceptMatch gamelift:ClaimGameServer gamelift:CreateAlias gamelift:CreateBuild gamelift:CreateContainerGroupDefinition gamelift:CreateFleet gamelift:CreateFleetLocations gamelift:CreateGameServerGroup gamelift:CreateGameSession gamelift:CreateGameSessionQueue gamelift:CreateLocation gamelift:CreateMatchmakingConfiguration gamelift:CreateMatchmakingRuleSet gamelift:CreatePlayerSession gamelift:CreatePlayerSessions gamelift:CreateScript gamelift:CreateVpcPeeringAuthorization gamelift:CreateVpcPeeringConnection gamelift:DeleteAlias gamelift:DeleteBuild gamelift:DeleteContainerGroupDefinition gamelift:DeleteFleet gamelift:DeleteFleetLocations gamelift:DeleteGameServerGroup gamelift:DeleteGameSessionQueue gamelift:DeleteLocation gamelift:DeleteMatchmakingConfiguration gamelift:DeleteMatchmakingRuleSet gamelift:DeleteScalingPolicy gamelift:DeleteScript gamelift:DeleteVpcPeeringAuthorization gamelift:DeleteVpcPeeringConnection gamelift:DeregisterCompute gamelift:DeregisterGameServer gamelift:DescribeAlias gamelift:DescribeBuild gamelift:DescribeCompute gamelift:DescribeContainerFleet gamelift:DescribeContainerGroupDefinition gamelift:DescribeEC2InstanceLimits gamelift:DescribeFleetAttributes gamelift:DescribeFleetCapacity gamelift:DescribeFleetEvents gamelift:DescribeFleetLocationAttributes gamelift:DescribeFleetLocationCapacity gamelift:DescribeFleetLocationUtilization gamelift:DescribeFleetPortSettings gamelift:DescribeFleetUtilization gamelift:DescribeGameServer gamelift:DescribeGameServerGroup gamelift:DescribeGameServerInstances gamelift:DescribeGameSessionDetails gamelift:DescribeGameSessionPlacement gamelift:DescribeGameSessionQueues gamelift:DescribeGameSessions gamelift:DescribeInstances gamelift:DescribeMatchmaking gamelift:DescribeMatchmakingConfigurations gamelift:DescribeMatchmakingRuleSets gamelift:DescribePlayerSessions gamelift:DescribeRuntimeConfiguration gamelift:DescribeScalingPolicies gamelift:DescribeScript gamelift:DescribeVpcPeeringAuthorizations gamelift:DescribeVpcPeeringConnections gamelift:GetComputeAccess gamelift:GetComputeAuthToken gamelift:GetGameSessionLogUrl gamelift:GetInstanceAccess gamelift:ListAliases gamelift:ListBuilds gamelift:ListCompute gamelift:ListContainerFleets gamelift:ListContainerGroupDefinitionVersions gamelift:ListContainerGroupDefinitions gamelift:ListFleetDeployments gamelift:ListFleets gamelift:ListGameServerGroups gamelift:ListGameServers gamelift:ListLocations gamelift:ListScripts gamelift:PutScalingPolicy gamelift:RegisterCompute gamelift:RegisterGameServer gamelift:RequestUploadCredentials gamelift:ResolveAlias gamelift:ResumeGameServerGroup gamelift:SearchGameSessions gamelift:StartFleetActions gamelift:StartGameSessionPlacement gamelift:StartMatchBackfill gamelift:StartMatchmaking gamelift:StopFleetActions gamelift:StopGameSessionPlacement gamelift:StopMatchmaking gamelift:SuspendGameServerGroup gamelift:TerminateGameSession gamelift:UpdateAlias gamelift:UpdateBuild gamelift:UpdateContainerGroupDefinition gamelift:UpdateFleetAttributes gamelift:UpdateFleetCapacity gamelift:UpdateFleetPortSettings gamelift:UpdateGameServer gamelift:UpdateGameServerGroup gamelift:UpdateGameSession gamelift:UpdateGameSessionQueue gamelift:UpdateMatchmakingConfiguration gamelift:UpdateRuntimeConfiguration gamelift:UpdateScript gamelift:ValidateMatchmakingRuleSet  | 
| geo |  geo:AssociateTrackerConsumer geo:BatchDeleteDevicePositionHistory geo:BatchDeleteGeofence geo:BatchEvaluateGeofences geo:BatchGetDevicePosition geo:BatchPutGeofence geo:BatchUpdateDevicePosition geo:CalculateRoute geo:CalculateRouteMatrix geo:CreateGeofenceCollection geo:CreateMap geo:CreatePlaceIndex geo:CreateRouteCalculator geo:CreateTracker geo:DeleteGeofenceCollection geo:DeleteKey geo:DeleteMap geo:DeletePlaceIndex geo:DeleteRouteCalculator geo:DeleteTracker geo:DescribeGeofenceCollection geo:DescribeKey geo:DescribeMap geo:DescribePlaceIndex geo:DescribeRouteCalculator geo:DescribeTracker geo:DisassociateTrackerConsumer geo:ForecastGeofenceEvents geo:GetDevicePosition geo:GetDevicePositionHistory geo:GetGeofence geo:GetMapGlyphs geo:GetMapSprites geo:GetMapStyleDescriptor geo:GetMapTile geo:GetPlace geo:ListDevicePositions geo:ListGeofenceCollections geo:ListGeofences geo:ListKeys geo:ListMaps geo:ListPlaceIndexes geo:ListRouteCalculators geo:ListTrackerConsumers geo:ListTrackers geo:PutGeofence geo:SearchPlaceIndexForPosition geo:SearchPlaceIndexForSuggestions geo:SearchPlaceIndexForText geo:UpdateGeofenceCollection geo:UpdateKey geo:UpdateMap geo:UpdatePlaceIndex geo:UpdateRouteCalculator geo:UpdateTracker geo:VerifyDevicePosition  | 
| glacier |  glacier:AbortMultipartUpload glacier:AbortVaultLock glacier:CompleteMultipartUpload glacier:CompleteVaultLock glacier:CreateVault glacier:DeleteArchive glacier:DeleteVault glacier:DeleteVaultAccessPolicy glacier:DeleteVaultNotifications glacier:DescribeJob glacier:DescribeVault glacier:GetDataRetrievalPolicy glacier:GetJobOutput glacier:GetVaultAccessPolicy glacier:GetVaultLock glacier:GetVaultNotifications glacier:InitiateJob glacier:InitiateMultipartUpload glacier:InitiateVaultLock glacier:ListJobs glacier:ListMultipartUploads glacier:ListParts glacier:ListProvisionedCapacity glacier:ListVaults glacier:PurchaseProvisionedCapacity glacier:SetDataRetrievalPolicy glacier:SetVaultAccessPolicy glacier:SetVaultNotifications glacier:UploadArchive glacier:UploadMultipartPart  | 
| grafana |  grafana:AssociateLicense grafana:CreateWorkspace grafana:CreateWorkspaceApiKey grafana:CreateWorkspaceServiceAccount grafana:CreateWorkspaceServiceAccountToken grafana:DeleteWorkspace grafana:DeleteWorkspaceApiKey grafana:DeleteWorkspaceServiceAccount grafana:DeleteWorkspaceServiceAccountToken grafana:DescribeWorkspace grafana:DescribeWorkspaceAuthentication grafana:DescribeWorkspaceConfiguration grafana:DisassociateLicense grafana:ListPermissions grafana:ListVersions grafana:ListWorkspaceServiceAccountTokens grafana:ListWorkspaceServiceAccounts grafana:ListWorkspaces grafana:UpdatePermissions grafana:UpdateWorkspace grafana:UpdateWorkspaceAuthentication grafana:UpdateWorkspaceConfiguration  | 
| greengrass |  greengrass:AssociateRoleToGroup greengrass:AssociateServiceRoleToAccount greengrass:BatchAssociateClientDeviceWithCoreDevice greengrass:BatchDisassociateClientDeviceFromCoreDevice greengrass:CancelDeployment greengrass:CreateComponentVersion greengrass:CreateConnectorDefinition greengrass:CreateConnectorDefinitionVersion greengrass:CreateCoreDefinition greengrass:CreateCoreDefinitionVersion greengrass:CreateDeployment greengrass:CreateDeviceDefinition greengrass:CreateDeviceDefinitionVersion greengrass:CreateFunctionDefinition greengrass:CreateFunctionDefinitionVersion greengrass:CreateGroup greengrass:CreateGroupCertificateAuthority greengrass:CreateGroupVersion greengrass:CreateLoggerDefinition greengrass:CreateLoggerDefinitionVersion greengrass:CreateResourceDefinition greengrass:CreateResourceDefinitionVersion greengrass:CreateSoftwareUpdateJob greengrass:CreateSubscriptionDefinition greengrass:CreateSubscriptionDefinitionVersion greengrass:DeleteComponent greengrass:DeleteConnectorDefinition greengrass:DeleteCoreDefinition greengrass:DeleteCoreDevice greengrass:DeleteDeployment greengrass:DeleteDeviceDefinition greengrass:DeleteFunctionDefinition greengrass:DeleteGroup greengrass:DeleteLoggerDefinition greengrass:DeleteResourceDefinition greengrass:DeleteSubscriptionDefinition greengrass:DescribeComponent greengrass:DisassociateRoleFromGroup greengrass:DisassociateServiceRoleFromAccount greengrass:GetAssociatedRole greengrass:GetBulkDeploymentStatus greengrass:GetComponent greengrass:GetComponentVersionArtifact greengrass:GetConnectivityInfo greengrass:GetConnectorDefinition greengrass:GetConnectorDefinitionVersion greengrass:GetCoreDefinition greengrass:GetCoreDefinitionVersion greengrass:GetCoreDevice greengrass:GetDeployment greengrass:GetDeploymentStatus greengrass:GetDeviceDefinition greengrass:GetDeviceDefinitionVersion greengrass:GetFunctionDefinition greengrass:GetFunctionDefinitionVersion greengrass:GetGroup greengrass:GetGroupCertificateAuthority greengrass:GetGroupCertificateConfiguration greengrass:GetGroupVersion greengrass:GetLoggerDefinition greengrass:GetLoggerDefinitionVersion greengrass:GetResourceDefinition greengrass:GetResourceDefinitionVersion greengrass:GetServiceRoleForAccount greengrass:GetSubscriptionDefinition greengrass:GetSubscriptionDefinitionVersion greengrass:GetThingRuntimeConfiguration greengrass:ListBulkDeploymentDetailedReports greengrass:ListBulkDeployments greengrass:ListClientDevicesAssociatedWithCoreDevice greengrass:ListComponentVersions greengrass:ListComponents greengrass:ListConnectorDefinitionVersions greengrass:ListConnectorDefinitions greengrass:ListCoreDefinitionVersions greengrass:ListCoreDefinitions greengrass:ListCoreDevices greengrass:ListDeployments greengrass:ListDeviceDefinitionVersions greengrass:ListDeviceDefinitions greengrass:ListEffectiveDeployments greengrass:ListFunctionDefinitionVersions greengrass:ListFunctionDefinitions greengrass:ListGroupCertificateAuthorities greengrass:ListGroupVersions greengrass:ListGroups greengrass:ListInstalledComponents greengrass:ListLoggerDefinitionVersions greengrass:ListLoggerDefinitions greengrass:ListResourceDefinitionVersions greengrass:ListResourceDefinitions greengrass:ListSubscriptionDefinitionVersions greengrass:ListSubscriptionDefinitions greengrass:ResetDeployments greengrass:StartBulkDeployment greengrass:StopBulkDeployment greengrass:UpdateConnectivityInfo greengrass:UpdateConnectorDefinition greengrass:UpdateCoreDefinition greengrass:UpdateDeviceDefinition greengrass:UpdateFunctionDefinition greengrass:UpdateGroup greengrass:UpdateGroupCertificateConfiguration greengrass:UpdateLoggerDefinition greengrass:UpdateResourceDefinition greengrass:UpdateSubscriptionDefinition greengrass:UpdateThingRuntimeConfiguration  | 
| groundstation |  groundstation:CancelContact groundstation:CreateConfig groundstation:CreateDataflowEndpointGroup groundstation:CreateDataflowEndpointGroupV2 groundstation:CreateEphemeris groundstation:CreateMissionProfile groundstation:DeleteConfig groundstation:DeleteDataflowEndpointGroup groundstation:DeleteEphemeris groundstation:DeleteMissionProfile groundstation:DescribeContact groundstation:DescribeEphemeris groundstation:GetConfig groundstation:GetDataflowEndpointGroup groundstation:GetMinuteUsage groundstation:GetMissionProfile groundstation:GetSatellite groundstation:ListConfigs groundstation:ListContacts groundstation:ListDataflowEndpointGroups groundstation:ListEphemerides groundstation:ListGroundStations groundstation:ListMissionProfiles groundstation:ListSatellites groundstation:RegisterAgent groundstation:ReserveContact groundstation:UpdateAgentStatus groundstation:UpdateConfig groundstation:UpdateEphemeris groundstation:UpdateMissionProfile  | 
| guardduty |  guardduty:AcceptAdministratorInvitation guardduty:AcceptInvitation guardduty:ArchiveFindings guardduty:CreateDetector guardduty:CreateFilter guardduty:CreateIPSet guardduty:CreateMalwareProtectionPlan guardduty:CreateMembers guardduty:CreatePublishingDestination guardduty:CreateSampleFindings guardduty:CreateThreatEntitySet guardduty:CreateThreatIntelSet guardduty:CreateTrustedEntitySet guardduty:DeclineInvitations guardduty:DeleteDetector guardduty:DeleteFilter guardduty:DeleteIPSet guardduty:DeleteInvitations guardduty:DeleteMalwareProtectionPlan guardduty:DeleteMembers guardduty:DeletePublishingDestination guardduty:DeleteThreatEntitySet guardduty:DeleteThreatIntelSet guardduty:DeleteTrustedEntitySet guardduty:DescribeMalwareScans guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:DisableOrganizationAdminAccount guardduty:DisassociateFromAdministratorAccount guardduty:DisassociateFromMasterAccount guardduty:DisassociateMembers guardduty:EnableOrganizationAdminAccount guardduty:GetAdministratorAccount guardduty:GetCoverageStatistics guardduty:GetDetector guardduty:GetFilter guardduty:GetFindings guardduty:GetFindingsStatistics guardduty:GetIPSet guardduty:GetInvitationsCount guardduty:GetMalwareProtectionPlan guardduty:GetMalwareScan guardduty:GetMalwareScanSettings guardduty:GetMasterAccount guardduty:GetMemberDetectors guardduty:GetMembers guardduty:GetOrganizationStatistics guardduty:GetRemainingFreeTrialDays guardduty:GetThreatEntitySet guardduty:GetThreatIntelSet guardduty:GetTrustedEntitySet guardduty:GetUsageStatistics guardduty:InviteMembers guardduty:ListCoverage guardduty:ListDetectors guardduty:ListFilters guardduty:ListFindings guardduty:ListIPSets guardduty:ListInvitations guardduty:ListMalwareProtectionPlans guardduty:ListMalwareScans guardduty:ListMembers guardduty:ListOrganizationAdminAccounts guardduty:ListPublishingDestinations guardduty:ListThreatEntitySets guardduty:ListThreatIntelSets guardduty:ListTrustedEntitySets guardduty:StartMalwareScan guardduty:StartMonitoringMembers guardduty:StopMonitoringMembers guardduty:UnarchiveFindings guardduty:UpdateDetector guardduty:UpdateFilter guardduty:UpdateFindingsFeedback guardduty:UpdateIPSet guardduty:UpdateMalwareProtectionPlan guardduty:UpdateMalwareScanSettings guardduty:UpdateMemberDetectors guardduty:UpdateOrganizationConfiguration guardduty:UpdatePublishingDestination guardduty:UpdateThreatEntitySet guardduty:UpdateThreatIntelSet guardduty:UpdateTrustedEntitySet  | 
| healthlake |  healthlake:CancelFHIRExportJobWithDelete healthlake:CreateFHIRDatastore healthlake:CreateResource healthlake:DeleteFHIRDatastore healthlake:DeleteResource healthlake:DescribeFHIRDatastore healthlake:DescribeFHIRExportJob healthlake:DescribeFHIRExportJobWithGet healthlake:DescribeFHIRImportJob healthlake:GetCapabilities healthlake:ListFHIRDatastores healthlake:ListFHIRExportJobs healthlake:ListFHIRImportJobs healthlake:ReadResource healthlake:SearchEverything healthlake:SearchWithGet healthlake:SearchWithPost healthlake:StartFHIRExportJob healthlake:StartFHIRExportJobWithPost healthlake:StartFHIRImportJob healthlake:UpdateResource  | 
| honeycode |  honeycode:BatchCreateTableRows honeycode:BatchDeleteTableRows honeycode:BatchUpdateTableRows honeycode:BatchUpsertTableRows honeycode:DescribeTableDataImportJob honeycode:GetScreenData honeycode:InvokeScreenAutomation honeycode:ListTableColumns honeycode:ListTableRows honeycode:ListTables honeycode:QueryTableRows honeycode:StartTableDataImportJob  | 
| iam |  iam:AddClientIDToOpenIDConnectProvider iam:AddRoleToInstanceProfile iam:AddUserToGroup iam:AttachGroupPolicy iam:AttachRolePolicy iam:AttachUserPolicy iam:ChangePassword iam:CreateAccessKey iam:CreateAccountAlias iam:CreateGroup iam:CreateInstanceProfile iam:CreateLoginProfile iam:CreateOpenIDConnectProvider iam:CreatePolicy iam:CreatePolicyVersion iam:CreateRole iam:CreateSAMLProvider iam:CreateServiceLinkedRole iam:CreateServiceSpecificCredential iam:CreateUser iam:CreateVirtualMFADevice iam:DeactivateMFADevice iam:DeleteAccessKey iam:DeleteAccountAlias iam:DeleteAccountPasswordPolicy iam:DeleteCloudFrontPublicKey iam:DeleteGroup iam:DeleteGroupPolicy iam:DeleteInstanceProfile iam:DeleteLoginProfile iam:DeleteOpenIDConnectProvider iam:DeletePolicy iam:DeletePolicyVersion iam:DeleteRole iam:DeleteRolePermissionsBoundary iam:DeleteRolePolicy iam:DeleteSAMLProvider iam:DeleteSSHPublicKey iam:DeleteServerCertificate iam:DeleteServiceLinkedRole iam:DeleteServiceSpecificCredential iam:DeleteSigningCertificate iam:DeleteUser iam:DeleteUserPermissionsBoundary iam:DeleteUserPolicy iam:DeleteVirtualMFADevice iam:DetachGroupPolicy iam:DetachRolePolicy iam:DetachUserPolicy iam:DisableOrganizationsRootCredentialsManagement iam:DisableOrganizationsRootSessions iam:DisableOutboundWebIdentityFederation iam:EnableMFADevice iam:EnableOrganizationsRootCredentialsManagement iam:EnableOrganizationsRootSessions iam:EnableOutboundWebIdentityFederation iam:GenerateCredentialReport iam:GenerateOrganizationsAccessReport iam:GenerateServiceLastAccessedDetails iam:GetAccessKeyLastUsed iam:GetAccountAuthorizationDetails iam:GetAccountEmailAddress iam:GetAccountName iam:GetAccountPasswordPolicy iam:GetAccountSummary iam:GetCloudFrontPublicKey iam:GetContextKeysForCustomPolicy iam:GetContextKeysForPrincipalPolicy iam:GetCredentialReport iam:GetGroup iam:GetGroupPolicy iam:GetInstanceProfile iam:GetLoginProfile iam:GetMFADevice iam:GetOpenIDConnectProvider iam:GetOrganizationsAccessReport iam:GetOutboundWebIdentityFederationInfo iam:GetPolicy iam:GetPolicyVersion iam:GetRole iam:GetRolePolicy iam:GetSAMLProvider iam:GetSSHPublicKey iam:GetServerCertificate iam:GetServiceLastAccessedDetails iam:GetServiceLastAccessedDetailsWithEntities iam:GetServiceLinkedRoleDeletionStatus iam:GetUser iam:GetUserPolicy iam:ListAccessKeys iam:ListAccountAliases iam:ListAttachedGroupPolicies iam:ListAttachedRolePolicies iam:ListAttachedUserPolicies iam:ListCloudFrontPublicKeys iam:ListDelegationRequests iam:ListEntitiesForPolicy iam:ListGroupPolicies iam:ListGroups iam:ListGroupsForUser iam:ListInstanceProfiles iam:ListInstanceProfilesForRole iam:ListMFADevices iam:ListOpenIDConnectProviders iam:ListOrganizationsFeatures iam:ListPolicies iam:ListPoliciesGrantingServiceAccess iam:ListPolicyVersions iam:ListRolePolicies iam:ListRoles iam:ListSAMLProviders iam:ListSSHPublicKeys iam:ListSTSRegionalEndpointsStatus iam:ListServerCertificates iam:ListServiceSpecificCredentials iam:ListSigningCertificates iam:ListUserPolicies iam:ListUsers iam:ListVirtualMFADevices iam:PutGroupPolicy iam:PutRolePermissionsBoundary iam:PutRolePolicy iam:PutUserPermissionsBoundary iam:PutUserPolicy iam:RemoveClientIDFromOpenIDConnectProvider iam:RemoveRoleFromInstanceProfile iam:RemoveUserFromGroup iam:ResetServiceSpecificCredential iam:ResyncMFADevice iam:SetDefaultPolicyVersion iam:SetSTSRegionalEndpointStatus iam:SetSecurityTokenServicePreferences iam:SimulateCustomPolicy iam:SimulatePrincipalPolicy iam:UpdateAccessKey iam:UpdateAccountEmailAddress iam:UpdateAccountName iam:UpdateAccountPasswordPolicy iam:UpdateAssumeRolePolicy iam:UpdateCloudFrontPublicKey iam:UpdateGroup iam:UpdateLoginProfile iam:UpdateOpenIDConnectProviderThumbprint iam:UpdateRole iam:UpdateRoleDescription iam:UpdateSAMLProvider iam:UpdateSSHPublicKey iam:UpdateServerCertificate iam:UpdateServiceSpecificCredential iam:UpdateSigningCertificate iam:UpdateUser iam:UploadCloudFrontPublicKey iam:UploadSSHPublicKey iam:UploadServerCertificate iam:UploadSigningCertificate  | 
| identitystore |  identitystore:CreateGroup identitystore:CreateGroupMembership identitystore:CreateUser identitystore:DeleteGroup identitystore:DeleteGroupMembership identitystore:DeleteUser identitystore:DescribeGroup identitystore:DescribeGroupMembership identitystore:DescribeUser identitystore:GetGroupId identitystore:GetGroupMembershipId identitystore:GetUserId identitystore:IsMemberInGroups identitystore:ListGroupMemberships identitystore:ListGroupMembershipsForMember identitystore:ListGroups identitystore:ListUsers identitystore:UpdateGroup identitystore:UpdateUser  | 
| imagebuilder |  imagebuilder:CancelImageCreation imagebuilder:CancelLifecycleExecution imagebuilder:CreateComponent imagebuilder:CreateContainerRecipe imagebuilder:CreateDistributionConfiguration imagebuilder:CreateImage imagebuilder:CreateImagePipeline imagebuilder:CreateImageRecipe imagebuilder:CreateInfrastructureConfiguration imagebuilder:CreateLifecyclePolicy imagebuilder:CreateWorkflow imagebuilder:DeleteComponent imagebuilder:DeleteContainerRecipe imagebuilder:DeleteDistributionConfiguration imagebuilder:DeleteImage imagebuilder:DeleteImagePipeline imagebuilder:DeleteImageRecipe imagebuilder:DeleteInfrastructureConfiguration imagebuilder:DeleteLifecyclePolicy imagebuilder:DeleteWorkflow imagebuilder:DistributeImage imagebuilder:GetComponentPolicy imagebuilder:GetContainerRecipePolicy imagebuilder:GetImagePolicy imagebuilder:GetImageRecipePolicy imagebuilder:GetLifecycleExecution imagebuilder:GetLifecyclePolicy imagebuilder:GetMarketplaceResource imagebuilder:GetWorkflowExecution imagebuilder:GetWorkflowStepExecution imagebuilder:ImportComponent imagebuilder:ImportDiskImage imagebuilder:ImportVmImage imagebuilder:ListComponentBuildVersions imagebuilder:ListComponents imagebuilder:ListContainerRecipes imagebuilder:ListDistributionConfigurations imagebuilder:ListImageBuildVersions imagebuilder:ListImagePackages imagebuilder:ListImagePipelineImages imagebuilder:ListImagePipelines imagebuilder:ListImageRecipes imagebuilder:ListImageScanFindingAggregations imagebuilder:ListImageScanFindings imagebuilder:ListImages imagebuilder:ListInfrastructureConfigurations imagebuilder:ListLifecycleExecutionResources imagebuilder:ListLifecycleExecutions imagebuilder:ListLifecyclePolicies imagebuilder:ListWaitingWorkflowSteps imagebuilder:ListWorkflowExecutions imagebuilder:ListWorkflowStepExecutions imagebuilder:ListWorkflows imagebuilder:PutComponentPolicy imagebuilder:PutContainerRecipePolicy imagebuilder:PutImagePolicy imagebuilder:PutImageRecipePolicy imagebuilder:RetryImage imagebuilder:SendWorkflowStepAction imagebuilder:StartImagePipelineExecution imagebuilder:StartResourceStateUpdate imagebuilder:UpdateDistributionConfiguration imagebuilder:UpdateImagePipeline imagebuilder:UpdateInfrastructureConfiguration  | 
| inspector |  inspector:AddAttributesToFindings inspector:CreateAssessmentTarget inspector:CreateAssessmentTemplate inspector:CreateExclusionsPreview inspector:CreateResourceGroup inspector:DeleteAssessmentRun inspector:DeleteAssessmentTarget inspector:DeleteAssessmentTemplate inspector:DescribeAssessmentRuns inspector:DescribeAssessmentTargets inspector:DescribeAssessmentTemplates inspector:DescribeCrossAccountAccessRole inspector:DescribeExclusions inspector:DescribeFindings inspector:DescribeResourceGroups inspector:DescribeRulesPackages inspector:GetAssessmentReport inspector:GetExclusionsPreview inspector:GetTelemetryMetadata inspector:ListAssessmentRunAgents inspector:ListAssessmentRuns inspector:ListAssessmentTargets inspector:ListAssessmentTemplates inspector:ListEventSubscriptions inspector:ListExclusions inspector:ListFindings inspector:ListRulesPackages inspector:PreviewAgents inspector:RegisterCrossAccountAccessRole inspector:RemoveAttributesFromFindings inspector:StartAssessmentRun inspector:StopAssessmentRun inspector:SubscribeToEvent inspector:UnsubscribeFromEvent inspector:UpdateAssessmentTarget  | 
| inspector2 |  inspector2:AssociateMember inspector2:BatchGetAccountStatus inspector2:BatchGetCodeSnippet inspector2:BatchGetFindingDetails inspector2:BatchGetFreeTrialInfo inspector2:BatchGetMemberEc2DeepInspectionStatus inspector2:BatchUpdateMemberEc2DeepInspectionStatus inspector2:CancelFindingsReport inspector2:CancelSbomExport inspector2:CreateCisScanConfiguration inspector2:CreateCodeSecurityIntegration inspector2:CreateFilter inspector2:CreateFindingsReport inspector2:CreateSbomExport inspector2:DeleteCisScanConfiguration inspector2:DeleteCodeSecurityIntegration inspector2:DeleteFilter inspector2:DescribeOrganizationConfiguration inspector2:Disable inspector2:DisableDelegatedAdminAccount inspector2:DisassociateMember inspector2:Enable inspector2:EnableDelegatedAdminAccount inspector2:GetCisScanReport inspector2:GetCisScanResultDetails inspector2:GetClustersForImage inspector2:GetCodeSecurityIntegration inspector2:GetCodeSecurityScan inspector2:GetConfiguration inspector2:GetDelegatedAdminAccount inspector2:GetEc2DeepInspectionConfiguration inspector2:GetEncryptionKey inspector2:GetFindingsReportStatus inspector2:GetMember inspector2:GetSbomExport inspector2:ListAccountPermissions inspector2:ListCisScanConfigurations inspector2:ListCisScanResultsAggregatedByChecks inspector2:ListCisScanResultsAggregatedByTargetResource inspector2:ListCisScans inspector2:ListCodeSecurityIntegrations inspector2:ListCodeSecurityScanConfigurations inspector2:ListCoverage inspector2:ListCoverageStatistics inspector2:ListDelegatedAdminAccounts inspector2:ListFilters inspector2:ListFindingAggregations inspector2:ListFindings inspector2:ListMembers inspector2:ListUsageTotals inspector2:ResetEncryptionKey inspector2:SearchVulnerabilities inspector2:SendCisSessionHealth inspector2:SendCisSessionTelemetry inspector2:StartCisSession inspector2:StartCodeSecurityScan inspector2:StopCisSession inspector2:UpdateCisScanConfiguration inspector2:UpdateCodeSecurityIntegration inspector2:UpdateConfiguration inspector2:UpdateEc2DeepInspectionConfiguration inspector2:UpdateEncryptionKey inspector2:UpdateFilter inspector2:UpdateOrgEc2DeepInspectionConfiguration inspector2:UpdateOrganizationConfiguration  | 
| iot |  iot:AcceptCertificateTransfer iot:AddThingToBillingGroup iot:AddThingToThingGroup iot:AssociateSbomWithPackageVersion iot:AssociateTargetsWithJob iot:AttachPolicy iot:AttachPrincipalPolicy iot:AttachSecurityProfile iot:AttachThingPrincipal iot:CancelAuditMitigationActionsTask iot:CancelAuditTask iot:CancelCertificateTransfer iot:CancelDetectMitigationActionsTask iot:CancelJob iot:CancelJobExecution iot:ClearDefaultAuthorizer iot:ConfirmTopicRuleDestination iot:CreateAuditSuppression iot:CreateAuthorizer iot:CreateBillingGroup iot:CreateCertificateFromCsr iot:CreateCertificateProvider iot:CreateCommand iot:CreateCustomMetric iot:CreateDimension iot:CreateDomainConfiguration iot:CreateDynamicThingGroup iot:CreateFleetMetric iot:CreateJob iot:CreateJobTemplate iot:CreateKeysAndCertificate iot:CreateMitigationAction iot:CreateOTAUpdate iot:CreatePackage iot:CreatePackageVersion iot:CreatePolicy iot:CreatePolicyVersion iot:CreateProvisioningClaim iot:CreateProvisioningTemplate iot:CreateProvisioningTemplateVersion iot:CreateRoleAlias iot:CreateScheduledAudit iot:CreateSecurityProfile iot:CreateStream iot:CreateThing iot:CreateThingGroup iot:CreateThingType iot:CreateTopicRule iot:CreateTopicRuleDestination iot:DeleteAccountAuditConfiguration iot:DeleteAuditSuppression iot:DeleteAuthorizer iot:DeleteBillingGroup iot:DeleteCACertificate iot:DeleteCertificate iot:DeleteCertificateProvider iot:DeleteCommand iot:DeleteCustomMetric iot:DeleteDimension iot:DeleteDomainConfiguration iot:DeleteDynamicThingGroup iot:DeleteFleetMetric iot:DeleteJob iot:DeleteJobExecution iot:DeleteJobTemplate iot:DeleteMitigationAction iot:DeleteOTAUpdate iot:DeletePackage iot:DeletePackageVersion iot:DeletePolicy iot:DeletePolicyVersion iot:DeleteProvisioningTemplate iot:DeleteProvisioningTemplateVersion iot:DeleteRegistrationCode iot:DeleteRoleAlias iot:DeleteScheduledAudit iot:DeleteSecurityProfile iot:DeleteStream iot:DeleteThing iot:DeleteThingGroup iot:DeleteThingType iot:DeleteTopicRule iot:DeleteTopicRuleDestination iot:DeleteV2LoggingLevel iot:DeprecateThingType iot:DescribeAccountAuditConfiguration iot:DescribeAuditFinding iot:DescribeAuditMitigationActionsTask iot:DescribeAuditSuppression iot:DescribeAuditTask iot:DescribeAuthorizer iot:DescribeBillingGroup iot:DescribeCACertificate iot:DescribeCertificate iot:DescribeCertificateProvider iot:DescribeCustomMetric iot:DescribeDefaultAuthorizer iot:DescribeDetectMitigationActionsTask iot:DescribeDimension iot:DescribeDomainConfiguration iot:DescribeEncryptionConfiguration iot:DescribeEndpoint iot:DescribeEventConfigurations iot:DescribeFleetMetric iot:DescribeIndex iot:DescribeJob iot:DescribeJobExecution iot:DescribeJobTemplate iot:DescribeManagedJobTemplate iot:DescribeMitigationAction iot:DescribeProvisioningTemplate iot:DescribeProvisioningTemplateVersion iot:DescribeRoleAlias iot:DescribeScheduledAudit iot:DescribeSecurityProfile iot:DescribeStream iot:DescribeThing iot:DescribeThingGroup iot:DescribeThingRegistrationTask iot:DescribeThingType iot:DetachPolicy iot:DetachPrincipalPolicy iot:DetachSecurityProfile iot:DetachThingPrincipal iot:DisableTopicRule iot:DisassociateSbomFromPackageVersion iot:EnableTopicRule iot:GetBehaviorModelTrainingSummaries iot:GetBucketsAggregation iot:GetCardinality iot:GetCommand iot:GetEffectivePolicies iot:GetJobDocument iot:GetLoggingOptions iot:GetOTAUpdate iot:GetPackage iot:GetPackageConfiguration iot:GetPackageVersion iot:GetPercentiles iot:GetPolicy iot:GetPolicyVersion iot:GetRegistrationCode iot:GetStatistics iot:GetThingConnectivityData iot:GetTopicRule iot:GetTopicRuleDestination iot:GetV2LoggingOptions iot:ListActiveViolations iot:ListAttachedPolicies iot:ListAuditFindings iot:ListAuditMitigationActionsExecutions iot:ListAuditMitigationActionsTasks iot:ListAuditSuppressions iot:ListAuditTasks iot:ListAuthorizers iot:ListBillingGroups iot:ListCACertificates iot:ListCertificateProviders iot:ListCertificates iot:ListCertificatesByCA iot:ListCommands iot:ListCustomMetrics iot:ListDetectMitigationActionsExecutions iot:ListDetectMitigationActionsTasks iot:ListDimensions iot:ListDomainConfigurations iot:ListFleetMetrics iot:ListIndices iot:ListJobExecutionsForJob iot:ListJobExecutionsForThing iot:ListJobTemplates iot:ListJobs iot:ListManagedJobTemplates iot:ListMetricValues iot:ListMitigationActions iot:ListOTAUpdates iot:ListOutgoingCertificates iot:ListPackageVersions iot:ListPackages iot:ListPolicies iot:ListPolicyPrincipals iot:ListPolicyVersions iot:ListPrincipalPolicies iot:ListPrincipalThings iot:ListPrincipalThingsV2 iot:ListProvisioningTemplateVersions iot:ListProvisioningTemplates iot:ListRelatedResourcesForAuditFinding iot:ListRoleAliases iot:ListSbomValidationResults iot:ListScheduledAudits iot:ListSecurityProfiles iot:ListSecurityProfilesForTarget iot:ListStreams iot:ListTargetsForPolicy iot:ListTargetsForSecurityProfile iot:ListThingGroups iot:ListThingGroupsForThing iot:ListThingPrincipals iot:ListThingPrincipalsV2 iot:ListThingRegistrationTaskReports iot:ListThingRegistrationTasks iot:ListThingTypes iot:ListThings iot:ListThingsInBillingGroup iot:ListThingsInThingGroup iot:ListTopicRuleDestinations iot:ListTopicRules iot:ListV2LoggingLevels iot:ListViolationEvents iot:PutVerificationStateOnViolation iot:RegisterCACertificate iot:RegisterCertificate iot:RegisterCertificateWithoutCA iot:RegisterThing iot:RejectCertificateTransfer iot:RemoveThingFromBillingGroup iot:RemoveThingFromThingGroup iot:ReplaceTopicRule iot:SearchIndex iot:SetDefaultAuthorizer iot:SetDefaultPolicyVersion iot:SetLoggingOptions iot:SetV2LoggingLevel iot:SetV2LoggingOptions iot:StartAuditMitigationActionsTask iot:StartDetectMitigationActionsTask iot:StartOnDemandAuditTask iot:StartThingRegistrationTask iot:StopThingRegistrationTask iot:TestAuthorization iot:TestInvokeAuthorizer iot:TransferCertificate iot:UpdateAccountAuditConfiguration iot:UpdateAuditSuppression iot:UpdateAuthorizer iot:UpdateBillingGroup iot:UpdateCACertificate iot:UpdateCertificate iot:UpdateCertificateProvider iot:UpdateCommand iot:UpdateCustomMetric iot:UpdateDimension iot:UpdateDomainConfiguration iot:UpdateDynamicThingGroup iot:UpdateEncryptionConfiguration iot:UpdateEventConfigurations iot:UpdateFleetMetric iot:UpdateIndexingConfiguration iot:UpdateJob iot:UpdateMitigationAction iot:UpdatePackage iot:UpdatePackageConfiguration iot:UpdatePackageVersion iot:UpdateProvisioningTemplate iot:UpdateRoleAlias iot:UpdateScheduledAudit iot:UpdateSecurityProfile iot:UpdateStream iot:UpdateThing iot:UpdateThingGroup iot:UpdateThingGroupsForThing iot:UpdateThingType iot:UpdateTopicRuleDestination iot:ValidateSecurityProfileBehaviors  | 
| iotanalytics |  iotanalytics:CancelPipelineReprocessing iotanalytics:CreateChannel iotanalytics:CreateDataset iotanalytics:CreateDatasetContent iotanalytics:CreateDatastore iotanalytics:CreatePipeline iotanalytics:DeleteChannel iotanalytics:DeleteDataset iotanalytics:DeleteDatasetContent iotanalytics:DeleteDatastore iotanalytics:DeletePipeline iotanalytics:DescribeChannel iotanalytics:DescribeDataset iotanalytics:DescribeDatastore iotanalytics:DescribeLoggingOptions iotanalytics:DescribePipeline iotanalytics:GetDatasetContent iotanalytics:ListChannels iotanalytics:ListDatasetContents iotanalytics:ListDatasets iotanalytics:ListDatastores iotanalytics:ListPipelines iotanalytics:PutLoggingOptions iotanalytics:RunPipelineActivity iotanalytics:SampleChannelData iotanalytics:StartPipelineReprocessing iotanalytics:UpdateChannel iotanalytics:UpdateDataset iotanalytics:UpdateDatastore iotanalytics:UpdatePipeline  | 
| iotdeviceadvisor |  iotdeviceadvisor:CreateSuiteDefinition iotdeviceadvisor:DeleteSuiteDefinition iotdeviceadvisor:GetEndpoint iotdeviceadvisor:GetSuiteDefinition iotdeviceadvisor:GetSuiteRun iotdeviceadvisor:GetSuiteRunReport iotdeviceadvisor:ListSuiteDefinitions iotdeviceadvisor:ListSuiteRuns iotdeviceadvisor:StartSuiteRun iotdeviceadvisor:StopSuiteRun iotdeviceadvisor:UpdateSuiteDefinition  | 
| iotevents |  iotevents:BatchAcknowledgeAlarm iotevents:BatchDeleteDetector iotevents:BatchDisableAlarm iotevents:BatchEnableAlarm iotevents:BatchResetAlarm iotevents:BatchSnoozeAlarm iotevents:BatchUpdateDetector iotevents:CreateAlarmModel iotevents:CreateDetectorModel iotevents:CreateInput iotevents:DeleteAlarmModel iotevents:DeleteDetectorModel iotevents:DeleteInput iotevents:DescribeAlarm iotevents:DescribeAlarmModel iotevents:DescribeDetector iotevents:DescribeDetectorModel iotevents:DescribeDetectorModelAnalysis iotevents:DescribeInput iotevents:DescribeLoggingOptions iotevents:GetDetectorModelAnalysisResults iotevents:ListAlarmModelVersions iotevents:ListAlarmModels iotevents:ListAlarms iotevents:ListDetectorModelVersions iotevents:ListDetectorModels iotevents:ListDetectors iotevents:ListInputRoutings iotevents:ListInputs iotevents:PutLoggingOptions iotevents:StartDetectorModelAnalysis iotevents:UpdateAlarmModel iotevents:UpdateDetectorModel iotevents:UpdateInput  | 
| iotfleethub |  iotfleethub:CreateApplication iotfleethub:DeleteApplication iotfleethub:DescribeApplication iotfleethub:ListApplications iotfleethub:UpdateApplication  | 
| iotsitewise |  iotsitewise:AssociateAssets iotsitewise:AssociateTimeSeriesToAssetProperty iotsitewise:BatchAssociateProjectAssets iotsitewise:BatchDisassociateProjectAssets iotsitewise:CreateAccessPolicy iotsitewise:CreateAsset iotsitewise:CreateAssetModel iotsitewise:CreateAssetModelCompositeModel iotsitewise:CreateBulkImportJob iotsitewise:CreateComputationModel iotsitewise:CreateDashboard iotsitewise:CreateDataset iotsitewise:CreateGateway iotsitewise:CreatePortal iotsitewise:CreateProject iotsitewise:DeleteAccessPolicy iotsitewise:DeleteAsset iotsitewise:DeleteAssetModel iotsitewise:DeleteAssetModelCompositeModel iotsitewise:DeleteComputationModel iotsitewise:DeleteDashboard iotsitewise:DeleteDataset iotsitewise:DeleteGateway iotsitewise:DeletePortal iotsitewise:DeleteProject iotsitewise:DeleteTimeSeries iotsitewise:DescribeAccessPolicy iotsitewise:DescribeAsset iotsitewise:DescribeAssetCompositeModel iotsitewise:DescribeAssetModel iotsitewise:DescribeAssetModelCompositeModel iotsitewise:DescribeAssetModelInterfaceRelationship iotsitewise:DescribeAssetProperty iotsitewise:DescribeBulkImportJob iotsitewise:DescribeComputationModel iotsitewise:DescribeComputationModelExecutionSummary iotsitewise:DescribeDashboard iotsitewise:DescribeDataset iotsitewise:DescribeDefaultEncryptionConfiguration iotsitewise:DescribeExecution iotsitewise:DescribeGateway iotsitewise:DescribeGatewayCapabilityConfiguration iotsitewise:DescribeLoggingOptions iotsitewise:DescribePortal iotsitewise:DescribeProject iotsitewise:DescribeStorageConfiguration iotsitewise:DescribeTimeSeries iotsitewise:DisassociateAssets iotsitewise:DisassociateTimeSeriesFromAssetProperty iotsitewise:ExecuteAction iotsitewise:ExecuteQuery iotsitewise:ListAccessPolicies iotsitewise:ListActions iotsitewise:ListAssetModelCompositeModels iotsitewise:ListAssetModelProperties iotsitewise:ListAssetModels iotsitewise:ListAssetProperties iotsitewise:ListAssetRelationships iotsitewise:ListAssets iotsitewise:ListAssociatedAssets iotsitewise:ListBulkImportJobs iotsitewise:ListCompositionRelationships iotsitewise:ListComputationModelDataBindingUsages iotsitewise:ListComputationModelResolveToResources iotsitewise:ListComputationModels iotsitewise:ListDashboards iotsitewise:ListDatasets iotsitewise:ListExecutions iotsitewise:ListGateways iotsitewise:ListInterfaceRelationships iotsitewise:ListPortals iotsitewise:ListProjectAssets iotsitewise:ListProjects iotsitewise:ListTimeSeries iotsitewise:PutDefaultEncryptionConfiguration iotsitewise:PutLoggingOptions iotsitewise:PutStorageConfiguration iotsitewise:UpdateAccessPolicy iotsitewise:UpdateAsset iotsitewise:UpdateAssetModel iotsitewise:UpdateAssetModelCompositeModel iotsitewise:UpdateAssetProperty iotsitewise:UpdateComputationModel iotsitewise:UpdateDashboard iotsitewise:UpdateDataset iotsitewise:UpdateGateway iotsitewise:UpdateGatewayCapabilityConfiguration iotsitewise:UpdatePortal iotsitewise:UpdateProject  | 
| iottwinmaker |  iottwinmaker:CancelMetadataTransferJob iottwinmaker:CreateComponentType iottwinmaker:CreateEntity iottwinmaker:CreateMetadataTransferJob iottwinmaker:CreateScene iottwinmaker:CreateSyncJob iottwinmaker:CreateWorkspace iottwinmaker:DeleteComponentType iottwinmaker:DeleteEntity iottwinmaker:DeleteScene iottwinmaker:DeleteSyncJob iottwinmaker:DeleteWorkspace iottwinmaker:ExecuteQuery iottwinmaker:GetMetadataTransferJob iottwinmaker:GetPricingPlan iottwinmaker:GetScene iottwinmaker:GetSyncJob iottwinmaker:ListComponentTypes iottwinmaker:ListComponents iottwinmaker:ListEntities iottwinmaker:ListMetadataTransferJobs iottwinmaker:ListProperties iottwinmaker:ListScenes iottwinmaker:ListSyncJobs iottwinmaker:ListSyncResources iottwinmaker:ListWorkspaces iottwinmaker:UpdateComponentType iottwinmaker:UpdateEntity iottwinmaker:UpdatePricingPlan iottwinmaker:UpdateScene iottwinmaker:UpdateWorkspace  | 
| iotwireless |  iotwireless:AssociateAwsAccountWithPartnerAccount iotwireless:AssociateMulticastGroupWithFuotaTask iotwireless:AssociateWirelessDeviceWithFuotaTask iotwireless:AssociateWirelessDeviceWithMulticastGroup iotwireless:AssociateWirelessDeviceWithThing iotwireless:AssociateWirelessGatewayWithCertificate iotwireless:AssociateWirelessGatewayWithThing iotwireless:CancelMulticastGroupSession iotwireless:CreateDestination iotwireless:CreateDeviceProfile iotwireless:CreateFuotaTask iotwireless:CreateMulticastGroup iotwireless:CreateNetworkAnalyzerConfiguration iotwireless:CreateServiceProfile iotwireless:CreateWirelessDevice iotwireless:CreateWirelessGateway iotwireless:CreateWirelessGatewayTask iotwireless:CreateWirelessGatewayTaskDefinition iotwireless:DeleteDestination iotwireless:DeleteDeviceProfile iotwireless:DeleteFuotaTask iotwireless:DeleteMulticastGroup iotwireless:DeleteNetworkAnalyzerConfiguration iotwireless:DeleteQueuedMessages iotwireless:DeleteServiceProfile iotwireless:DeleteWirelessDevice iotwireless:DeleteWirelessDeviceImportTask iotwireless:DeleteWirelessGateway iotwireless:DeleteWirelessGatewayTask iotwireless:DeleteWirelessGatewayTaskDefinition iotwireless:DeregisterWirelessDevice iotwireless:DisassociateAwsAccountFromPartnerAccount iotwireless:DisassociateMulticastGroupFromFuotaTask iotwireless:DisassociateWirelessDeviceFromFuotaTask iotwireless:DisassociateWirelessDeviceFromMulticastGroup iotwireless:DisassociateWirelessDeviceFromThing iotwireless:DisassociateWirelessGatewayFromCertificate iotwireless:DisassociateWirelessGatewayFromThing iotwireless:GetDestination iotwireless:GetDeviceProfile iotwireless:GetEventConfigurationByResourceTypes iotwireless:GetFuotaTask iotwireless:GetLogLevelsByResourceTypes iotwireless:GetMetricConfiguration iotwireless:GetMetrics iotwireless:GetMulticastGroup iotwireless:GetMulticastGroupSession iotwireless:GetNetworkAnalyzerConfiguration iotwireless:GetPartnerAccount iotwireless:GetPosition iotwireless:GetPositionConfiguration iotwireless:GetPositionEstimate iotwireless:GetResourceEventConfiguration iotwireless:GetResourceLogLevel iotwireless:GetResourcePosition iotwireless:GetServiceEndpoint iotwireless:GetServiceProfile iotwireless:GetWirelessDevice iotwireless:GetWirelessDeviceImportTask iotwireless:GetWirelessDeviceStatistics iotwireless:GetWirelessGateway iotwireless:GetWirelessGatewayCertificate iotwireless:GetWirelessGatewayFirmwareInformation iotwireless:GetWirelessGatewayStatistics iotwireless:GetWirelessGatewayTask iotwireless:GetWirelessGatewayTaskDefinition iotwireless:ListDestinations iotwireless:ListDeviceProfiles iotwireless:ListDevicesForWirelessDeviceImportTask iotwireless:ListEventConfigurations iotwireless:ListFuotaTasks iotwireless:ListMulticastGroups iotwireless:ListMulticastGroupsByFuotaTask iotwireless:ListNetworkAnalyzerConfigurations iotwireless:ListPartnerAccounts iotwireless:ListPositionConfigurations iotwireless:ListQueuedMessages iotwireless:ListServiceProfiles iotwireless:ListWirelessDeviceImportTasks iotwireless:ListWirelessDevices iotwireless:ListWirelessGatewayTaskDefinitions iotwireless:ListWirelessGateways iotwireless:PutPositionConfiguration iotwireless:PutResourceLogLevel iotwireless:ResetAllResourceLogLevels iotwireless:ResetResourceLogLevel iotwireless:SendDataToMulticastGroup iotwireless:SendDataToWirelessDevice iotwireless:StartBulkAssociateWirelessDeviceWithMulticastGroup iotwireless:StartBulkDisassociateWirelessDeviceFromMulticastGroup iotwireless:StartFuotaTask iotwireless:StartMulticastGroupSession iotwireless:StartNetworkAnalyzerStream iotwireless:StartSingleWirelessDeviceImportTask iotwireless:StartWirelessDeviceImportTask iotwireless:TestWirelessDevice iotwireless:UpdateDestination iotwireless:UpdateEventConfigurationByResourceTypes iotwireless:UpdateFuotaTask iotwireless:UpdateLogLevelsByResourceTypes iotwireless:UpdateMetricConfiguration iotwireless:UpdateMulticastGroup iotwireless:UpdateNetworkAnalyzerConfiguration iotwireless:UpdatePartnerAccount iotwireless:UpdatePosition iotwireless:UpdateResourceEventConfiguration iotwireless:UpdateResourcePosition iotwireless:UpdateWirelessDevice iotwireless:UpdateWirelessDeviceImportTask iotwireless:UpdateWirelessGateway  | 
| ivs |  ivs:BatchGetChannel ivs:BatchGetStreamKey ivs:BatchStartViewerSessionRevocation ivs:CreateChannel ivs:CreateEncoderConfiguration ivs:CreateIngestConfiguration ivs:CreateParticipantToken ivs:CreatePlaybackRestrictionPolicy ivs:CreateRecordingConfiguration ivs:CreateStorageConfiguration ivs:CreateStreamKey ivs:DeleteChannel ivs:DeleteEncoderConfiguration ivs:DeleteIngestConfiguration ivs:DeletePlaybackKeyPair ivs:DeletePlaybackRestrictionPolicy ivs:DeletePublicKey ivs:DeleteRecordingConfiguration ivs:DeleteStorageConfiguration ivs:DeleteStreamKey ivs:DisconnectParticipant ivs:GetChannel ivs:GetComposition ivs:GetEncoderConfiguration ivs:GetIngestConfiguration ivs:GetParticipant ivs:GetPlaybackKeyPair ivs:GetPlaybackRestrictionPolicy ivs:GetPublicKey ivs:GetRecordingConfiguration ivs:GetStorageConfiguration ivs:GetStream ivs:GetStreamKey ivs:GetStreamSession ivs:ImportPlaybackKeyPair ivs:ImportPublicKey ivs:ListChannels ivs:ListCompositions ivs:ListEncoderConfigurations ivs:ListIngestConfigurations ivs:ListParticipantEvents ivs:ListParticipantReplicas ivs:ListParticipants ivs:ListPlaybackKeyPairs ivs:ListPlaybackRestrictionPolicies ivs:ListPublicKeys ivs:ListRecordingConfigurations ivs:ListStorageConfigurations ivs:ListStreamKeys ivs:ListStreamSessions ivs:ListStreams ivs:PutMetadata ivs:StartComposition ivs:StartViewerSessionRevocation ivs:StopComposition ivs:StopStream ivs:UpdateChannel ivs:UpdateIngestConfiguration ivs:UpdatePlaybackRestrictionPolicy  | 
| ivschat |  ivschat:CreateChatToken ivschat:CreateLoggingConfiguration ivschat:CreateRoom ivschat:DeleteLoggingConfiguration ivschat:DeleteMessage ivschat:DeleteRoom ivschat:DisconnectUser ivschat:GetLoggingConfiguration ivschat:GetRoom ivschat:ListLoggingConfigurations ivschat:ListRooms ivschat:SendEvent ivschat:UpdateLoggingConfiguration ivschat:UpdateRoom  | 
| kafka |  kafka:BatchAssociateScramSecret kafka:BatchDisassociateScramSecret kafka:CreateCluster kafka:CreateClusterV2 kafka:CreateConfiguration kafka:CreateReplicator kafka:CreateVpcConnection kafka:DeleteCluster kafka:DeleteClusterPolicy kafka:DeleteConfiguration kafka:DeleteReplicator kafka:DeleteVpcConnection kafka:DescribeCluster kafka:DescribeClusterOperation kafka:DescribeClusterOperationV2 kafka:DescribeClusterV2 kafka:DescribeConfiguration kafka:DescribeConfigurationRevision kafka:DescribeVpcConnection kafka:GetBootstrapBrokers kafka:GetClusterPolicy kafka:GetCompatibleKafkaVersions kafka:ListClientVpcConnections kafka:ListClusterOperations kafka:ListClusterOperationsV2 kafka:ListClusters kafka:ListClustersV2 kafka:ListConfigurationRevisions kafka:ListConfigurations kafka:ListKafkaVersions kafka:ListNodes kafka:ListReplicators kafka:ListScramSecrets kafka:ListVpcConnections kafka:PutClusterPolicy kafka:RebootBroker kafka:RejectClientVpcConnection kafka:UpdateBrokerCount kafka:UpdateBrokerStorage kafka:UpdateBrokerType kafka:UpdateClusterConfiguration kafka:UpdateClusterKafkaVersion kafka:UpdateConfiguration kafka:UpdateConnectivity kafka:UpdateMonitoring kafka:UpdateRebalancing kafka:UpdateReplicationInfo kafka:UpdateSecurity kafka:UpdateStorage  | 
| kafkaconnect |  kafkaconnect:CreateConnector kafkaconnect:CreateCustomPlugin kafkaconnect:CreateWorkerConfiguration kafkaconnect:DeleteConnector kafkaconnect:DeleteCustomPlugin kafkaconnect:DeleteWorkerConfiguration kafkaconnect:DescribeConnector kafkaconnect:DescribeCustomPlugin kafkaconnect:DescribeWorkerConfiguration kafkaconnect:ListConnectorOperations kafkaconnect:ListConnectors kafkaconnect:ListCustomPlugins kafkaconnect:ListWorkerConfigurations kafkaconnect:UpdateConnector  | 
| kendra |  kendra:AssociateEntitiesToExperience kendra:AssociatePersonasToEntities kendra:BatchDeleteDocument kendra:BatchDeleteFeaturedResultsSet kendra:BatchGetDocumentStatus kendra:BatchPutDocument kendra:ClearQuerySuggestions kendra:CreateAccessControlConfiguration kendra:CreateDataSource kendra:CreateExperience kendra:CreateFaq kendra:CreateFeaturedResultsSet kendra:CreateIndex kendra:CreateQuerySuggestionsBlockList kendra:CreateThesaurus kendra:DeleteDataSource kendra:DeleteExperience kendra:DeleteFaq kendra:DeleteIndex kendra:DeletePrincipalMapping kendra:DeleteQuerySuggestionsBlockList kendra:DeleteThesaurus kendra:DescribeAccessControlConfiguration kendra:DescribeDataSource kendra:DescribeExperience kendra:DescribeFaq kendra:DescribeFeaturedResultsSet kendra:DescribeIndex kendra:DescribePrincipalMapping kendra:DescribeQuerySuggestionsBlockList kendra:DescribeQuerySuggestionsConfig kendra:DescribeThesaurus kendra:DisassociateEntitiesFromExperience kendra:DisassociatePersonasFromEntities kendra:GetQuerySuggestions kendra:GetSnapshots kendra:ListAccessControlConfigurations kendra:ListDataSourceSyncJobs kendra:ListDataSources kendra:ListEntityPersonas kendra:ListExperienceEntities kendra:ListExperiences kendra:ListFaqs kendra:ListFeaturedResultsSets kendra:ListGroupsOlderThanOrderingId kendra:ListIndices kendra:ListQuerySuggestionsBlockLists kendra:ListThesauri kendra:PutPrincipalMapping kendra:Query kendra:Retrieve kendra:StartDataSourceSyncJob kendra:StopDataSourceSyncJob kendra:SubmitFeedback kendra:UpdateDataSource kendra:UpdateExperience kendra:UpdateFeaturedResultsSet kendra:UpdateIndex kendra:UpdateQuerySuggestionsBlockList kendra:UpdateQuerySuggestionsConfig kendra:UpdateThesaurus  | 
| kinesis |  kinesis:CreateStream kinesis:DecreaseStreamRetentionPeriod kinesis:DeleteStream kinesis:DeregisterStreamConsumer kinesis:DescribeAccountSettings kinesis:DescribeLimits kinesis:DescribeStream kinesis:DescribeStreamConsumer kinesis:DescribeStreamSummary kinesis:DisableEnhancedMonitoring kinesis:EnableEnhancedMonitoring kinesis:IncreaseStreamRetentionPeriod kinesis:ListShards kinesis:ListStreamConsumers kinesis:ListStreams kinesis:MergeShards kinesis:RegisterStreamConsumer kinesis:SplitShard kinesis:StartStreamEncryption kinesis:StopStreamEncryption kinesis:UpdateAccountSettings kinesis:UpdateShardCount kinesis:UpdateStreamMode  | 
| kinesisanalytics |  kinesisanalytics:AddApplicationCloudWatchLoggingOption kinesisanalytics:AddApplicationInput kinesisanalytics:AddApplicationInputProcessingConfiguration kinesisanalytics:AddApplicationOutput kinesisanalytics:AddApplicationReferenceDataSource kinesisanalytics:AddApplicationVpcConfiguration kinesisanalytics:CreateApplication kinesisanalytics:CreateApplicationPresignedUrl kinesisanalytics:CreateApplicationSnapshot kinesisanalytics:DeleteApplication kinesisanalytics:DeleteApplicationCloudWatchLoggingOption kinesisanalytics:DeleteApplicationInputProcessingConfiguration kinesisanalytics:DeleteApplicationOutput kinesisanalytics:DeleteApplicationReferenceDataSource kinesisanalytics:DeleteApplicationSnapshot kinesisanalytics:DeleteApplicationVpcConfiguration kinesisanalytics:DescribeApplication kinesisanalytics:DescribeApplicationOperation kinesisanalytics:DescribeApplicationSnapshot kinesisanalytics:DescribeApplicationVersion kinesisanalytics:DiscoverInputSchema kinesisanalytics:ListApplicationOperations kinesisanalytics:ListApplicationSnapshots kinesisanalytics:ListApplicationVersions kinesisanalytics:ListApplications kinesisanalytics:RollbackApplication kinesisanalytics:StartApplication kinesisanalytics:StopApplication kinesisanalytics:UpdateApplication kinesisanalytics:UpdateApplicationMaintenanceConfiguration  | 
| kms |  kms:CancelKeyDeletion kms:ConnectCustomKeyStore kms:CreateAlias kms:CreateCustomKeyStore kms:CreateGrant kms:CreateKey kms:Decrypt kms:DeleteAlias kms:DeleteCustomKeyStore kms:DeleteImportedKeyMaterial kms:DeriveSharedSecret kms:DescribeCustomKeyStores kms:DescribeKey kms:DisableKey kms:DisableKeyRotation kms:DisconnectCustomKeyStore kms:EnableKey kms:EnableKeyRotation kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyPair kms:GenerateDataKeyPairWithoutPlaintext kms:GenerateDataKeyWithoutPlaintext kms:GenerateMac kms:GenerateRandom kms:GetKeyPolicy kms:GetKeyRotationStatus kms:GetParametersForImport kms:GetPublicKey kms:ImportKeyMaterial kms:ListAliases kms:ListGrants kms:ListKeyPolicies kms:ListKeyRotations kms:ListKeys kms:ListRetirableGrants kms:ReplicateKey kms:RetireGrant kms:RevokeGrant kms:RotateKeyOnDemand kms:ScheduleKeyDeletion kms:Sign kms:UpdateAlias kms:UpdateCustomKeyStore kms:UpdateKeyDescription kms:UpdatePrimaryRegion kms:Verify kms:VerifyMac  | 
| lambda |  lambda:AddLayerVersionPermission lambda:AddPermission lambda:CreateAlias lambda:CreateCodeSigningConfig lambda:CreateEventSourceMapping lambda:CreateFunction lambda:CreateFunctionUrlConfig lambda:DeleteAlias lambda:DeleteCapacityProvider lambda:DeleteCodeSigningConfig lambda:DeleteEventSourceMapping lambda:DeleteFunction lambda:DeleteFunctionCodeSigningConfig lambda:DeleteFunctionConcurrency lambda:DeleteFunctionEventInvokeConfig lambda:DeleteFunctionUrlConfig lambda:DeleteLayerVersion lambda:DeleteProvisionedConcurrencyConfig lambda:GetAccountSettings lambda:GetAlias lambda:GetCapacityProvider lambda:GetCodeSigningConfig lambda:GetEventSourceMapping lambda:GetFunction lambda:GetFunctionCodeSigningConfig lambda:GetFunctionConcurrency lambda:GetFunctionConfiguration lambda:GetFunctionEventInvokeConfig lambda:GetFunctionRecursionConfig lambda:GetFunctionScalingConfig lambda:GetFunctionUrlConfig lambda:GetLayerVersion lambda:GetLayerVersionPolicy lambda:GetPolicy lambda:GetProvisionedConcurrencyConfig lambda:GetRuntimeManagementConfig lambda:ListAliases lambda:ListCapacityProviders lambda:ListCodeSigningConfigs lambda:ListDurableExecutionsByFunction lambda:ListEventSourceMappings lambda:ListFunctionEventInvokeConfigs lambda:ListFunctionUrlConfigs lambda:ListFunctions lambda:ListFunctionsByCodeSigningConfig lambda:ListLayerVersions lambda:ListLayers lambda:ListProvisionedConcurrencyConfigs lambda:ListVersionsByFunction lambda:PublishLayerVersion lambda:PublishVersion lambda:PutFunctionCodeSigningConfig lambda:PutFunctionConcurrency lambda:PutFunctionEventInvokeConfig lambda:PutFunctionRecursionConfig lambda:PutFunctionScalingConfig lambda:PutProvisionedConcurrencyConfig lambda:PutRuntimeManagementConfig lambda:RemoveLayerVersionPermission lambda:RemovePermission lambda:UpdateAlias lambda:UpdateCapacityProvider lambda:UpdateCodeSigningConfig lambda:UpdateEventSourceMapping lambda:UpdateFunctionCode lambda:UpdateFunctionConfiguration lambda:UpdateFunctionEventInvokeConfig lambda:UpdateFunctionUrlConfig  | 
| lex |  lex:BatchCreateCustomVocabularyItem lex:BatchDeleteCustomVocabularyItem lex:BatchUpdateCustomVocabularyItem lex:BuildBotLocale lex:CreateBotAlias lex:CreateBotReplica lex:CreateBotVersion lex:CreateExport lex:CreateIntentVersion lex:CreateResourcePolicy lex:CreateSlotTypeVersion lex:CreateTestSetDiscrepancyReport lex:CreateUploadUrl lex:DeleteBot lex:DeleteBotChannelAssociation lex:DeleteBotReplica lex:DeleteExport lex:DeleteImport lex:DeleteIntentVersion lex:DeleteResourcePolicy lex:DeleteSlotTypeVersion lex:DeleteTestSet lex:DeleteUtterances lex:DescribeBotAlias lex:DescribeBotRecommendation lex:DescribeBotReplica lex:DescribeBotResourceGeneration lex:DescribeBotVersion lex:DescribeCustomVocabularyMetadata lex:DescribeExport lex:DescribeImport lex:DescribeResourcePolicy lex:DescribeTestExecution lex:DescribeTestSet lex:DescribeTestSetDiscrepancyReport lex:DescribeTestSetGeneration lex:GenerateBotElement lex:GetBot lex:GetBotAlias lex:GetBotAliases lex:GetBotChannelAssociation lex:GetBotChannelAssociations lex:GetBotVersions lex:GetBots lex:GetBuiltinIntent lex:GetBuiltinIntents lex:GetBuiltinSlotTypes lex:GetExport lex:GetImport lex:GetIntent lex:GetIntentVersions lex:GetIntents lex:GetMigration lex:GetMigrations lex:GetSlotType lex:GetSlotTypeVersions lex:GetSlotTypes lex:GetTestExecutionArtifactsUrl lex:GetUtterancesView lex:ListBotAliasReplicas lex:ListBotAliases lex:ListBotRecommendations lex:ListBotReplicas lex:ListBotResourceGenerations lex:ListBotVersionReplicas lex:ListBotVersions lex:ListBots lex:ListBuiltInIntents lex:ListBuiltInSlotTypes lex:ListCustomVocabularyItems lex:ListExports lex:ListImports lex:ListIntentMetrics lex:ListIntentPaths lex:ListRecommendedIntents lex:ListSessionAnalyticsData lex:ListSessionMetrics lex:ListTestExecutionResultItems lex:ListTestExecutions lex:ListTestSets lex:PutBot lex:PutBotAlias lex:PutIntent lex:PutSlotType lex:SearchAssociatedTranscripts lex:StartBotRecommendation lex:StartImport lex:StartMigration lex:StartTestExecution lex:StartTestSetGeneration lex:StopBotRecommendation lex:UpdateBotAlias lex:UpdateBotRecommendation lex:UpdateExport lex:UpdateResourcePolicy  | 
| license-manager-linux-subscriptions |  license-manager-linux-subscriptions:DeregisterSubscriptionProvider license-manager-linux-subscriptions:GetRegisteredSubscriptionProvider license-manager-linux-subscriptions:GetServiceSettings license-manager-linux-subscriptions:ListLinuxSubscriptionInstances license-manager-linux-subscriptions:ListLinuxSubscriptions license-manager-linux-subscriptions:ListRegisteredSubscriptionProviders license-manager-linux-subscriptions:RegisterSubscriptionProvider license-manager-linux-subscriptions:UpdateServiceSettings  | 
| lightsail |  lightsail:AllocateStaticIp lightsail:AttachCertificateToDistribution lightsail:AttachDisk lightsail:AttachInstancesToLoadBalancer lightsail:AttachLoadBalancerTlsCertificate lightsail:AttachStaticIp lightsail:CloseInstancePublicPorts lightsail:CopySnapshot lightsail:CreateBucket lightsail:CreateBucketAccessKey lightsail:CreateCertificate lightsail:CreateCloudFormationStack lightsail:CreateContactMethod lightsail:CreateContainerService lightsail:CreateContainerServiceDeployment lightsail:CreateContainerServiceRegistryLogin lightsail:CreateDisk lightsail:CreateDiskFromSnapshot lightsail:CreateDiskSnapshot lightsail:CreateDistribution lightsail:CreateDomain lightsail:CreateGUISessionAccessDetails lightsail:CreateInstanceSnapshot lightsail:CreateInstances lightsail:CreateInstancesFromSnapshot lightsail:CreateKeyPair lightsail:CreateLoadBalancer lightsail:CreateLoadBalancerTlsCertificate lightsail:CreateRelationalDatabase lightsail:CreateRelationalDatabaseFromSnapshot lightsail:CreateRelationalDatabaseSnapshot lightsail:DeleteAlarm lightsail:DeleteAutoSnapshot lightsail:DeleteBucket lightsail:DeleteBucketAccessKey lightsail:DeleteCertificate lightsail:DeleteContactMethod lightsail:DeleteContainerImage lightsail:DeleteContainerService lightsail:DeleteDisk lightsail:DeleteDiskSnapshot lightsail:DeleteDistribution lightsail:DeleteDomain lightsail:DeleteDomainEntry lightsail:DeleteInstance lightsail:DeleteInstanceSnapshot lightsail:DeleteKeyPair lightsail:DeleteKnownHostKeys lightsail:DeleteLoadBalancer lightsail:DeleteLoadBalancerTlsCertificate lightsail:DeleteRelationalDatabase lightsail:DeleteRelationalDatabaseSnapshot lightsail:DetachCertificateFromDistribution lightsail:DetachDisk lightsail:DetachInstancesFromLoadBalancer lightsail:DetachStaticIp lightsail:DisableAddOn lightsail:DownloadDefaultKeyPair lightsail:EnableAddOn lightsail:ExportSnapshot lightsail:GetActiveNames lightsail:GetAlarms lightsail:GetAutoSnapshots lightsail:GetBlueprints lightsail:GetBucketAccessKeys lightsail:GetBucketBundles lightsail:GetBucketMetricData lightsail:GetBuckets lightsail:GetBundles lightsail:GetCertificates lightsail:GetCloudFormationStackRecords lightsail:GetContactMethods lightsail:GetContainerAPIMetadata lightsail:GetContainerImages lightsail:GetContainerLog lightsail:GetContainerServiceDeployments lightsail:GetContainerServiceMetricData lightsail:GetContainerServicePowers lightsail:GetContainerServices lightsail:GetCostEstimate lightsail:GetDisk lightsail:GetDiskSnapshot lightsail:GetDiskSnapshots lightsail:GetDisks lightsail:GetDistributionBundles lightsail:GetDistributionLatestCacheReset lightsail:GetDistributionMetricData lightsail:GetDistributions lightsail:GetDomain lightsail:GetExportSnapshotRecords lightsail:GetInstance lightsail:GetInstanceMetricData lightsail:GetInstancePortStates lightsail:GetInstanceSnapshot lightsail:GetInstanceSnapshots lightsail:GetInstanceState lightsail:GetInstances lightsail:GetKeyPair lightsail:GetKeyPairs lightsail:GetLoadBalancer lightsail:GetLoadBalancerMetricData lightsail:GetLoadBalancerTlsCertificates lightsail:GetLoadBalancerTlsPolicies lightsail:GetLoadBalancers lightsail:GetOperation lightsail:GetOperations lightsail:GetOperationsForResource lightsail:GetRegions lightsail:GetRelationalDatabase lightsail:GetRelationalDatabaseBlueprints lightsail:GetRelationalDatabaseBundles lightsail:GetRelationalDatabaseEvents lightsail:GetRelationalDatabaseLogEvents lightsail:GetRelationalDatabaseLogStreams lightsail:GetRelationalDatabaseMasterUserPassword lightsail:GetRelationalDatabaseMetricData lightsail:GetRelationalDatabaseParameters lightsail:GetRelationalDatabaseSnapshot lightsail:GetRelationalDatabaseSnapshots lightsail:GetRelationalDatabases lightsail:GetSetupHistory lightsail:GetStaticIp lightsail:GetStaticIps lightsail:ImportKeyPair lightsail:IsVpcPeered lightsail:OpenInstancePublicPorts lightsail:PeerVpc lightsail:PutAlarm lightsail:PutInstancePublicPorts lightsail:RebootInstance lightsail:RebootRelationalDatabase lightsail:RegisterContainerImage lightsail:ReleaseStaticIp lightsail:ResetDistributionCache lightsail:SendContactMethodVerification lightsail:SetIpAddressType lightsail:SetResourceAccessForBucket lightsail:SetupInstanceHttps lightsail:StartGUISession lightsail:StartInstance lightsail:StartRelationalDatabase lightsail:StopGUISession lightsail:StopInstance lightsail:StopRelationalDatabase lightsail:TestAlarm lightsail:UnpeerVpc lightsail:UpdateBucket lightsail:UpdateBucketBundle lightsail:UpdateContainerService lightsail:UpdateDistribution lightsail:UpdateDistributionBundle lightsail:UpdateDomainEntry lightsail:UpdateInstanceMetadataOptions lightsail:UpdateLoadBalancerAttribute lightsail:UpdateRelationalDatabase lightsail:UpdateRelationalDatabaseParameters  | 
| logs |  logs:AssociateKmsKey logs:AssociateSourceToS3TableIntegration logs:CancelExportTask logs:CancelImportTask logs:CreateDelivery logs:CreateExportTask logs:CreateLogAnomalyDetector logs:CreateLogGroup logs:CreateLogStream logs:DeleteDataProtectionPolicy logs:DeleteDelivery logs:DeleteDeliveryDestination logs:DeleteDeliveryDestinationPolicy logs:DeleteDeliverySource logs:DeleteDestination logs:DeleteIndexPolicy logs:DeleteIntegration logs:DeleteLogAnomalyDetector logs:DeleteLogGroup logs:DeleteLogStream logs:DeleteMetricFilter logs:DeleteQueryDefinition logs:DeleteResourcePolicy logs:DeleteRetentionPolicy logs:DeleteScheduledQuery logs:DeleteSubscriptionFilter logs:DeleteTransformer logs:DescribeAccountPolicies logs:DescribeConfigurationTemplates logs:DescribeDeliveries logs:DescribeDeliveryDestinations logs:DescribeDeliverySources logs:DescribeDestinations logs:DescribeExportTasks logs:DescribeFieldIndexes logs:DescribeImportTaskBatches logs:DescribeImportTasks logs:DescribeIndexPolicies logs:DescribeLogGroups logs:DescribeLogStreams logs:DescribeMetricFilters logs:DescribeQueries logs:DescribeQueryDefinitions logs:DescribeResourcePolicies logs:DescribeSubscriptionFilters logs:DisassociateKmsKey logs:DisassociateSourceFromS3TableIntegration logs:GetDataProtectionPolicy logs:GetDelivery logs:GetDeliveryDestination logs:GetDeliveryDestinationPolicy logs:GetDeliverySource logs:GetIntegration logs:GetLogAnomalyDetector logs:GetLogFields logs:GetLogGroupFields logs:GetLogRecord logs:GetQueryResults logs:GetScheduledQuery logs:GetScheduledQueryHistory logs:GetTransformer logs:IntegrateWithS3Table logs:ListAnomalies logs:ListIntegrations logs:ListLogAnomalyDetectors logs:ListLogGroupsForQuery logs:ListScheduledQueries logs:ListSourcesForS3TableIntegration logs:ProcessWithPipeline logs:PutDataProtectionPolicy logs:PutDeliveryDestination logs:PutDeliveryDestinationPolicy logs:PutDeliverySource logs:PutDestination logs:PutDestinationPolicy logs:PutIndexPolicy logs:PutIntegration logs:PutLogGroupDeletionProtection logs:PutMetricFilter logs:putQueryDefinition logs:PutResourcePolicy logs:PutRetentionPolicy logs:PutSubscriptionFilter logs:PutTransformer logs:StartLiveTail logs:StartQuery logs:StopQuery logs:TestMetricFilter logs:TestTransformer logs:UpdateAnomaly logs:UpdateDeliveryConfiguration logs:UpdateLogAnomalyDetector  | 
| lookoutequipment |  lookoutequipment:CreateDataset lookoutequipment:CreateInferenceScheduler lookoutequipment:CreateLabel lookoutequipment:CreateLabelGroup lookoutequipment:CreateModel lookoutequipment:DeleteDataset lookoutequipment:DeleteInferenceScheduler lookoutequipment:DeleteLabel lookoutequipment:DeleteLabelGroup lookoutequipment:DeleteModel lookoutequipment:DeleteResourcePolicy lookoutequipment:DeleteRetrainingScheduler lookoutequipment:DescribeDataIngestionJob lookoutequipment:DescribeDataset lookoutequipment:DescribeInferenceScheduler lookoutequipment:DescribeLabelGroup lookoutequipment:DescribeModel lookoutequipment:DescribeModelVersion lookoutequipment:DescribeResourcePolicy lookoutequipment:DescribeRetrainingScheduler lookoutequipment:Describelabel lookoutequipment:ImportDataset lookoutequipment:ImportModelVersion lookoutequipment:ListDataIngestionJobs lookoutequipment:ListDatasets lookoutequipment:ListInferenceEvents lookoutequipment:ListInferenceExecutions lookoutequipment:ListInferenceSchedulers lookoutequipment:ListLabelGroups lookoutequipment:ListLabels lookoutequipment:ListModelVersions lookoutequipment:ListModels lookoutequipment:ListRetrainingSchedulers lookoutequipment:ListSensorStatistics lookoutequipment:PutResourcePolicy lookoutequipment:StartDataIngestionJob lookoutequipment:StartInferenceScheduler lookoutequipment:StartRetrainingScheduler lookoutequipment:StopInferenceScheduler lookoutequipment:StopRetrainingScheduler lookoutequipment:UpdateActiveModelVersion lookoutequipment:UpdateInferenceScheduler lookoutequipment:UpdateLabelGroup lookoutequipment:UpdateModel lookoutequipment:UpdateRetrainingScheduler  | 
| lookoutmetrics |  lookoutmetrics:ActivateAnomalyDetector lookoutmetrics:BackTestAnomalyDetector lookoutmetrics:CreateAlert lookoutmetrics:CreateAnomalyDetector lookoutmetrics:CreateMetricSet lookoutmetrics:DeactivateAnomalyDetector lookoutmetrics:DeleteAlert lookoutmetrics:DeleteAnomalyDetector lookoutmetrics:DescribeAlert lookoutmetrics:DescribeAnomalyDetectionExecutions lookoutmetrics:DescribeAnomalyDetector lookoutmetrics:DescribeMetricSet lookoutmetrics:DetectMetricSetConfig lookoutmetrics:GetAnomalyGroup lookoutmetrics:GetDataQualityMetrics lookoutmetrics:GetFeedback lookoutmetrics:GetSampleData lookoutmetrics:ListAlerts lookoutmetrics:ListAnomalyDetectors lookoutmetrics:ListAnomalyGroupRelatedMetrics lookoutmetrics:ListAnomalyGroupSummaries lookoutmetrics:ListAnomalyGroupTimeSeries lookoutmetrics:ListMetricSets lookoutmetrics:PutFeedback lookoutmetrics:UpdateAlert lookoutmetrics:UpdateAnomalyDetector lookoutmetrics:UpdateMetricSet  | 
| lookoutvision |  lookoutvision:CreateDataset lookoutvision:CreateModel lookoutvision:CreateProject lookoutvision:DeleteDataset lookoutvision:DeleteModel lookoutvision:DeleteProject lookoutvision:DescribeDataset lookoutvision:DescribeModel lookoutvision:DescribeModelPackagingJob lookoutvision:DescribeProject lookoutvision:DetectAnomalies lookoutvision:ListDatasetEntries lookoutvision:ListModelPackagingJobs lookoutvision:ListModels lookoutvision:ListProjects lookoutvision:StartModel lookoutvision:StartModelPackagingJob lookoutvision:StopModel lookoutvision:UpdateDatasetEntries  | 
| m2 |  m2:CancelBatchJobExecution m2:CreateApplication m2:CreateDataSetExportTask m2:CreateDataSetImportTask m2:CreateDeployment m2:CreateEnvironment m2:DeleteApplication m2:DeleteApplicationFromEnvironment m2:DeleteEnvironment m2:GetApplication m2:GetApplicationVersion m2:GetBatchJobExecution m2:GetDataSetDetails m2:GetDataSetExportTask m2:GetDataSetImportTask m2:GetDeployment m2:GetEnvironment m2:GetSignedBluinsightsUrl m2:ListApplicationVersions m2:ListApplications m2:ListBatchJobDefinitions m2:ListBatchJobExecutions m2:ListBatchJobRestartPoints m2:ListDataSetExportHistory m2:ListDataSetImportHistory m2:ListDataSets m2:ListDeployments m2:ListEngineVersions m2:ListEnvironments m2:StartApplication m2:StartBatchJob m2:StopApplication m2:UpdateApplication m2:UpdateEnvironment  | 
| managedblockchain |  managedblockchain:CreateAccessor managedblockchain:CreateMember managedblockchain:CreateNetwork managedblockchain:CreateNode managedblockchain:CreateProposal managedblockchain:DeleteAccessor managedblockchain:DeleteMember managedblockchain:DeleteNode managedblockchain:GetAccessor managedblockchain:GetMember managedblockchain:GetNetwork managedblockchain:GetNode managedblockchain:GetProposal managedblockchain:InvokeRpcPolygonMainnet managedblockchain:InvokeRpcPolygonMumbaiTestnet managedblockchain:ListAccessors managedblockchain:ListInvitations managedblockchain:ListMembers managedblockchain:ListNetworks managedblockchain:ListNodes managedblockchain:ListProposalVotes managedblockchain:ListProposals managedblockchain:RejectInvitation managedblockchain:UpdateMember managedblockchain:UpdateNode managedblockchain:VoteOnProposal  | 
| mediaconnect |  mediaconnect:AddBridgeOutputs mediaconnect:AddBridgeSources mediaconnect:AddFlowMediaStreams mediaconnect:AddFlowOutputs mediaconnect:AddFlowSources mediaconnect:AddFlowVpcInterfaces mediaconnect:CreateBridge mediaconnect:CreateFlow mediaconnect:CreateGateway mediaconnect:DeleteBridge mediaconnect:DeleteFlow mediaconnect:DeleteGateway mediaconnect:DeleteRouterInput mediaconnect:DeleteRouterNetworkInterface mediaconnect:DeleteRouterOutput mediaconnect:DeregisterGatewayInstance mediaconnect:DescribeBridge mediaconnect:DescribeFlow mediaconnect:DescribeFlowSourceMetadata mediaconnect:DescribeFlowSourceThumbnail mediaconnect:DescribeGateway mediaconnect:DescribeGatewayInstance mediaconnect:DescribeOffering mediaconnect:DescribeReservation mediaconnect:GetRouterInput mediaconnect:GetRouterInputSourceMetadata mediaconnect:GetRouterInputThumbnail mediaconnect:GetRouterNetworkInterface mediaconnect:GetRouterOutput mediaconnect:GrantFlowEntitlements mediaconnect:ListBridges mediaconnect:ListEntitlements mediaconnect:ListFlows mediaconnect:ListGatewayInstances mediaconnect:ListGateways mediaconnect:ListOfferings mediaconnect:ListReservations mediaconnect:ListRouterInputs mediaconnect:ListRouterNetworkInterfaces mediaconnect:ListRouterOutputs mediaconnect:PurchaseOffering mediaconnect:RemoveBridgeOutput mediaconnect:RemoveBridgeSource mediaconnect:RemoveFlowMediaStream mediaconnect:RemoveFlowOutput mediaconnect:RemoveFlowSource mediaconnect:RemoveFlowVpcInterface mediaconnect:RestartRouterInput mediaconnect:RestartRouterOutput mediaconnect:RevokeFlowEntitlement mediaconnect:StartFlow mediaconnect:StartRouterInput mediaconnect:StartRouterOutput mediaconnect:StopFlow mediaconnect:StopRouterInput mediaconnect:StopRouterOutput mediaconnect:TakeRouterInput mediaconnect:UpdateBridge mediaconnect:UpdateBridgeOutput mediaconnect:UpdateBridgeSource mediaconnect:UpdateBridgeState mediaconnect:UpdateFlow mediaconnect:UpdateFlowEntitlement mediaconnect:UpdateFlowMediaStream mediaconnect:UpdateGatewayInstance  | 
| mediaconvert |  mediaconvert:AssociateCertificate mediaconvert:CancelJob mediaconvert:CreateJob mediaconvert:CreateJobTemplate mediaconvert:CreatePreset mediaconvert:CreateQueue mediaconvert:CreateResourceShare mediaconvert:DeleteJobTemplate mediaconvert:DeletePolicy mediaconvert:DeletePreset mediaconvert:DeleteQueue mediaconvert:DescribeEndpoints mediaconvert:DisassociateCertificate mediaconvert:GetJob mediaconvert:GetJobTemplate mediaconvert:GetPolicy mediaconvert:GetPreset mediaconvert:GetQueue mediaconvert:ListJobTemplates mediaconvert:ListJobs mediaconvert:ListPresets mediaconvert:ListQueues mediaconvert:ListVersions mediaconvert:Probe mediaconvert:PutPolicy mediaconvert:SearchJobs mediaconvert:UpdateJobTemplate mediaconvert:UpdatePreset mediaconvert:UpdateQueue  | 
| medialive |  medialive:AcceptInputDeviceTransfer medialive:BatchDelete medialive:BatchStart medialive:BatchStop medialive:BatchUpdateSchedule medialive:CancelInputDeviceTransfer medialive:ClaimDevice medialive:CreateChannel medialive:CreateChannelPlacementGroup medialive:CreateCloudWatchAlarmTemplate medialive:CreateCloudWatchAlarmTemplateGroup medialive:CreateCluster medialive:CreateEventBridgeRuleTemplate medialive:CreateEventBridgeRuleTemplateGroup medialive:CreateInput medialive:CreateInputSecurityGroup medialive:CreateMultiplex medialive:CreateMultiplexProgram medialive:CreateNetwork medialive:CreateNode medialive:CreateNodeRegistrationScript medialive:CreatePartnerInput medialive:CreateSdiSource medialive:CreateSignalMap medialive:DeleteChannel medialive:DeleteChannelPlacementGroup medialive:DeleteCloudWatchAlarmTemplate medialive:DeleteCloudWatchAlarmTemplateGroup medialive:DeleteCluster medialive:DeleteEventBridgeRuleTemplate medialive:DeleteEventBridgeRuleTemplateGroup medialive:DeleteInput medialive:DeleteInputSecurityGroup medialive:DeleteMultiplex medialive:DeleteMultiplexProgram medialive:DeleteNetwork medialive:DeleteNode medialive:DeleteReservation medialive:DeleteSchedule medialive:DeleteSdiSource medialive:DeleteSignalMap medialive:DescribeAccountConfiguration medialive:DescribeChannel medialive:DescribeChannelPlacementGroup medialive:DescribeCluster medialive:DescribeInput medialive:DescribeInputDevice medialive:DescribeInputDeviceThumbnail medialive:DescribeInputSecurityGroup medialive:DescribeMultiplex medialive:DescribeMultiplexProgram medialive:DescribeNetwork medialive:DescribeNode medialive:DescribeOffering medialive:DescribeReservation medialive:DescribeSchedule medialive:DescribeSdiSource medialive:DescribeThumbnails medialive:GetCloudWatchAlarmTemplate medialive:GetCloudWatchAlarmTemplateGroup medialive:GetEventBridgeRuleTemplate medialive:GetEventBridgeRuleTemplateGroup medialive:GetSignalMap medialive:ListAlerts medialive:ListChannelPlacementGroups medialive:ListChannels medialive:ListCloudWatchAlarmTemplateGroups medialive:ListCloudWatchAlarmTemplates medialive:ListClusterAlerts medialive:ListClusters medialive:ListEventBridgeRuleTemplateGroups medialive:ListEventBridgeRuleTemplates medialive:ListInputDeviceTransfers medialive:ListInputDevices medialive:ListInputSecurityGroups medialive:ListInputs medialive:ListMultiplexAlerts medialive:ListMultiplexPrograms medialive:ListMultiplexes medialive:ListNetworks medialive:ListNodes medialive:ListOfferings medialive:ListReservations medialive:ListSdiSources medialive:ListSignalMaps medialive:ListVersions medialive:PurchaseOffering medialive:RebootInputDevice medialive:RejectInputDeviceTransfer medialive:RestartChannelPipelines medialive:StartChannel medialive:StartDeleteMonitorDeployment medialive:StartInputDevice medialive:StartInputDeviceMaintenanceWindow medialive:StartMonitorDeployment medialive:StartMultiplex medialive:StartUpdateSignalMap medialive:StopChannel medialive:StopInputDevice medialive:StopMultiplex medialive:TransferInputDevice medialive:UpdateAccountConfiguration medialive:UpdateChannel medialive:UpdateChannelClass medialive:UpdateChannelPlacementGroup medialive:UpdateCloudWatchAlarmTemplate medialive:UpdateCloudWatchAlarmTemplateGroup medialive:UpdateCluster medialive:UpdateEventBridgeRuleTemplate medialive:UpdateEventBridgeRuleTemplateGroup medialive:UpdateInput medialive:UpdateInputDevice medialive:UpdateInputSecurityGroup medialive:UpdateMultiplex medialive:UpdateMultiplexProgram medialive:UpdateNetwork medialive:UpdateNode medialive:UpdateNodeState medialive:UpdateReservation medialive:UpdateSdiSource  | 
| mediastore |  mediastore:CreateContainer mediastore:DeleteContainer mediastore:DeleteContainerPolicy mediastore:DeleteCorsPolicy mediastore:DeleteLifecyclePolicy mediastore:DeleteMetricPolicy mediastore:DescribeContainer mediastore:GetContainerPolicy mediastore:GetCorsPolicy mediastore:GetLifecyclePolicy mediastore:GetMetricPolicy mediastore:ListContainers mediastore:PutContainerPolicy mediastore:PutCorsPolicy mediastore:PutLifecyclePolicy mediastore:PutMetricPolicy mediastore:StartAccessLogging mediastore:StopAccessLogging  | 
| mediatailor |  mediatailor:ConfigureLogsForPlaybackConfiguration mediatailor:CreateChannel mediatailor:CreateLiveSource mediatailor:CreatePrefetchSchedule mediatailor:CreateProgram mediatailor:CreateSourceLocation mediatailor:CreateVodSource mediatailor:DeleteChannel mediatailor:DeleteChannelPolicy mediatailor:DeleteLiveSource mediatailor:DeletePlaybackConfiguration mediatailor:DeletePrefetchSchedule mediatailor:DeleteProgram mediatailor:DeleteSourceLocation mediatailor:DeleteVodSource mediatailor:DescribeChannel mediatailor:DescribeLiveSource mediatailor:DescribeProgram mediatailor:DescribeSourceLocation mediatailor:DescribeVodSource mediatailor:GetChannelPolicy mediatailor:GetChannelSchedule mediatailor:GetPlaybackConfiguration mediatailor:GetPrefetchSchedule mediatailor:ListAlerts mediatailor:ListChannels mediatailor:ListLiveSources mediatailor:ListPlaybackConfigurations mediatailor:ListPrefetchSchedules mediatailor:ListSourceLocations mediatailor:ListVodSources mediatailor:PutChannelPolicy mediatailor:PutPlaybackConfiguration mediatailor:StartChannel mediatailor:StopChannel mediatailor:UpdateChannel mediatailor:UpdateLiveSource mediatailor:UpdateProgram mediatailor:UpdateSourceLocation mediatailor:UpdateVodSource  | 
| memorydb |  memorydb:BatchUpdateCluster memorydb:CopySnapshot memorydb:CreateAcl memorydb:CreateCluster memorydb:CreateMultiRegionCluster memorydb:CreateParameterGroup memorydb:CreateSnapshot memorydb:CreateSubnetGroup memorydb:CreateUser memorydb:DeleteAcl memorydb:DeleteCluster memorydb:DeleteMultiRegionCluster memorydb:DeleteParameterGroup memorydb:DeleteSnapshot memorydb:DeleteSubnetGroup memorydb:DeleteUser memorydb:DescribeAcls memorydb:DescribeClusters memorydb:DescribeEngineVersions memorydb:DescribeEvents memorydb:DescribeMultiRegionClusters memorydb:DescribeMultiRegionParameterGroups memorydb:DescribeMultiRegionParameters memorydb:DescribeParameterGroups memorydb:DescribeParameters memorydb:DescribeReservedNodes memorydb:DescribeReservedNodesOfferings memorydb:DescribeServiceUpdates memorydb:DescribeSnapshots memorydb:DescribeSubnetGroups memorydb:DescribeUsers memorydb:FailoverShard memorydb:ListAllowedMultiRegionClusterUpdates memorydb:ListAllowedNodeTypeUpdates memorydb:PurchaseReservedNodesOffering memorydb:ResetParameterGroup memorydb:UpdateAcl memorydb:UpdateCluster memorydb:UpdateMultiRegionCluster memorydb:UpdateParameterGroup memorydb:UpdateSubnetGroup memorydb:UpdateUser  | 
| mgh |  mgh:AssociateCreatedArtifact mgh:AssociateDiscoveredResource mgh:AssociateSourceResource mgh:CreateHomeRegionControl mgh:CreateProgressUpdateStream mgh:DeleteHomeRegionControl mgh:DeleteProgressUpdateStream mgh:DescribeApplicationState mgh:DescribeHomeRegionControls mgh:DescribeMigrationTask mgh:DisassociateCreatedArtifact mgh:DisassociateDiscoveredResource mgh:DisassociateSourceResource mgh:GetHomeRegion mgh:ImportMigrationTask mgh:ListApplicationStates mgh:ListCreatedArtifacts mgh:ListDiscoveredResources mgh:ListMigrationTaskUpdates mgh:ListMigrationTasks mgh:ListProgressUpdateStreams mgh:ListSourceResources mgh:NotifyApplicationState mgh:NotifyMigrationTaskState mgh:PutResourceAttributes  | 
| mgn |  mgn:ArchiveApplication mgn:ArchiveWave mgn:AssociateApplications mgn:AssociateSourceServers mgn:ChangeServerLifeCycleState mgn:CreateApplication mgn:CreateConnector mgn:CreateLaunchConfigurationTemplate mgn:CreateReplicationConfigurationTemplate mgn:CreateWave mgn:DeleteApplication mgn:DeleteConnector mgn:DeleteJob mgn:DeleteLaunchConfigurationTemplate mgn:DeleteReplicationConfigurationTemplate mgn:DeleteSourceServer mgn:DeleteVcenterClient mgn:DeleteWave mgn:DescribeJobLogItems mgn:DescribeJobs mgn:DescribeLaunchConfigurationTemplates mgn:DescribeReplicationConfigurationTemplates mgn:DescribeVcenterClients mgn:DisassociateApplications mgn:DisassociateSourceServers mgn:DisconnectFromService mgn:FinalizeCutover mgn:GetReplicationConfiguration mgn:InitializeService mgn:ListConnectors mgn:ListExportErrors mgn:ListExports mgn:ListImportErrors mgn:ListImports mgn:ListManagedAccounts mgn:ListSourceServerActions mgn:ListTemplateActions mgn:MarkAsArchived mgn:PauseReplication mgn:PutSourceServerAction mgn:PutTemplateAction mgn:RemoveSourceServerAction mgn:RemoveTemplateAction mgn:ResumeReplication mgn:RetryDataReplication mgn:StartCutover mgn:StartExport mgn:StartImport mgn:StartReplication mgn:StartTest mgn:StopReplication mgn:TerminateTargetInstances mgn:UnarchiveApplication mgn:UnarchiveWave mgn:UpdateApplication mgn:UpdateConnector mgn:UpdateLaunchConfigurationTemplate mgn:UpdateReplicationConfiguration mgn:UpdateReplicationConfigurationTemplate mgn:UpdateSourceServer mgn:UpdateSourceServerReplicationType mgn:UpdateWave  | 
| migrationhub-strategy |  migrationhub-strategy:GetAntiPattern migrationhub-strategy:GetApplicationComponentDetails migrationhub-strategy:GetApplicationComponentStrategies migrationhub-strategy:GetAssessment migrationhub-strategy:GetImportFileTask migrationhub-strategy:GetLatestAssessmentId migrationhub-strategy:GetMessage migrationhub-strategy:GetPortfolioPreferences migrationhub-strategy:GetPortfolioSummary migrationhub-strategy:GetRecommendationReportDetails migrationhub-strategy:GetServerDetails migrationhub-strategy:GetServerStrategies migrationhub-strategy:ListAnalyzableServers migrationhub-strategy:ListAntiPatterns migrationhub-strategy:ListApplicationComponents migrationhub-strategy:ListCollectors migrationhub-strategy:ListImportFileTask migrationhub-strategy:ListJarArtifacts migrationhub-strategy:ListServers migrationhub-strategy:PutLogData migrationhub-strategy:PutMetricData migrationhub-strategy:PutPortfolioPreferences migrationhub-strategy:RegisterCollector migrationhub-strategy:SendMessage migrationhub-strategy:StartAssessment migrationhub-strategy:StartImportFileTask migrationhub-strategy:StartRecommendationReportGeneration migrationhub-strategy:StopAssessment migrationhub-strategy:UpdateApplicationComponentConfig migrationhub-strategy:UpdateCollectorConfiguration migrationhub-strategy:UpdateServerConfig  | 
| mobiletargeting |  mobiletargeting:CreateApp mobiletargeting:CreateCampaign mobiletargeting:CreateEmailTemplate mobiletargeting:CreateExportJob mobiletargeting:CreateImportJob mobiletargeting:CreateInAppTemplate mobiletargeting:CreateJourney mobiletargeting:CreatePushTemplate mobiletargeting:CreateRecommenderConfiguration mobiletargeting:CreateSegment mobiletargeting:CreateSmsTemplate mobiletargeting:CreateVoiceTemplate mobiletargeting:DeleteAdmChannel mobiletargeting:DeleteApnsChannel mobiletargeting:DeleteApnsSandboxChannel mobiletargeting:DeleteApnsVoipChannel mobiletargeting:DeleteApnsVoipSandboxChannel mobiletargeting:DeleteApp mobiletargeting:DeleteBaiduChannel mobiletargeting:DeleteCampaign mobiletargeting:DeleteEmailChannel mobiletargeting:DeleteEmailTemplate mobiletargeting:DeleteEndpoint mobiletargeting:DeleteEventStream mobiletargeting:DeleteGcmChannel mobiletargeting:DeleteInAppTemplate mobiletargeting:DeleteJourney mobiletargeting:DeletePushTemplate mobiletargeting:DeleteRecommenderConfiguration mobiletargeting:DeleteSegment mobiletargeting:DeleteSmsChannel mobiletargeting:DeleteSmsTemplate mobiletargeting:DeleteUserEndpoints mobiletargeting:DeleteVoiceChannel mobiletargeting:DeleteVoiceTemplate mobiletargeting:GetAdmChannel mobiletargeting:GetApnsChannel mobiletargeting:GetApnsSandboxChannel mobiletargeting:GetApnsVoipChannel mobiletargeting:GetApnsVoipSandboxChannel mobiletargeting:GetApp mobiletargeting:GetApplicationDateRangeKpi mobiletargeting:GetApplicationSettings mobiletargeting:GetApps mobiletargeting:GetBaiduChannel mobiletargeting:GetCampaign mobiletargeting:GetCampaignActivities mobiletargeting:GetCampaignDateRangeKpi mobiletargeting:GetCampaignVersion mobiletargeting:GetCampaignVersions mobiletargeting:GetCampaigns mobiletargeting:GetChannels mobiletargeting:GetEmailChannel mobiletargeting:GetEmailTemplate mobiletargeting:GetEndpoint mobiletargeting:GetEventStream mobiletargeting:GetExportJob mobiletargeting:GetExportJobs mobiletargeting:GetGcmChannel mobiletargeting:GetImportJob mobiletargeting:GetImportJobs mobiletargeting:GetInAppMessages mobiletargeting:GetInAppTemplate mobiletargeting:GetJourney mobiletargeting:GetJourneyDateRangeKpi mobiletargeting:GetJourneyExecutionActivityMetrics mobiletargeting:GetJourneyExecutionMetrics mobiletargeting:GetJourneyRunExecutionActivityMetrics mobiletargeting:GetJourneyRunExecutionMetrics mobiletargeting:GetJourneyRuns mobiletargeting:GetPushTemplate mobiletargeting:GetRecommenderConfiguration mobiletargeting:GetRecommenderConfigurations mobiletargeting:GetSegment mobiletargeting:GetSegmentExportJobs mobiletargeting:GetSegmentImportJobs mobiletargeting:GetSegmentVersion mobiletargeting:GetSegmentVersions mobiletargeting:GetSegments mobiletargeting:GetSmsChannel mobiletargeting:GetSmsTemplate mobiletargeting:GetUserEndpoints mobiletargeting:GetVoiceChannel mobiletargeting:GetVoiceTemplate mobiletargeting:ListJourneys mobiletargeting:ListTemplateVersions mobiletargeting:ListTemplates mobiletargeting:PhoneNumberValidate mobiletargeting:PutEventStream mobiletargeting:RemoveAttributes mobiletargeting:UpdateAdmChannel mobiletargeting:UpdateApnsChannel mobiletargeting:UpdateApnsSandboxChannel mobiletargeting:UpdateApnsVoipChannel mobiletargeting:UpdateApnsVoipSandboxChannel mobiletargeting:UpdateApplicationSettings mobiletargeting:UpdateBaiduChannel mobiletargeting:UpdateCampaign mobiletargeting:UpdateEmailChannel mobiletargeting:UpdateEmailTemplate mobiletargeting:UpdateEndpoint mobiletargeting:UpdateEndpointsBatch mobiletargeting:UpdateGcmChannel mobiletargeting:UpdateInAppTemplate mobiletargeting:UpdateJourney mobiletargeting:UpdateJourneyState mobiletargeting:UpdatePushTemplate mobiletargeting:UpdateRecommenderConfiguration mobiletargeting:UpdateSegment mobiletargeting:UpdateSmsChannel mobiletargeting:UpdateSmsTemplate mobiletargeting:UpdateTemplateActiveVersion mobiletargeting:UpdateVoiceChannel mobiletargeting:UpdateVoiceTemplate mobiletargeting:VerifyOTPMessage  | 
| mq |  mq:CreateBroker mq:CreateConfiguration mq:CreateUser mq:DeleteBroker mq:DeleteConfiguration mq:DeleteUser mq:DescribeBroker mq:DescribeBrokerEngineTypes mq:DescribeBrokerInstanceOptions mq:DescribeConfiguration mq:DescribeConfigurationRevision mq:DescribeUser mq:ListBrokers mq:ListConfigurationRevisions mq:ListConfigurations mq:ListUsers mq:Promote mq:RebootBroker mq:UpdateBroker mq:UpdateConfiguration mq:UpdateUser  | 
| networkmanager |  networkmanager:AcceptAttachment networkmanager:AssociateConnectPeer networkmanager:AssociateCustomerGateway networkmanager:AssociateLink networkmanager:AssociateTransitGatewayConnectPeer networkmanager:CreateConnectAttachment networkmanager:CreateConnectPeer networkmanager:CreateConnection networkmanager:CreateCoreNetwork networkmanager:CreateDevice networkmanager:CreateDirectConnectGatewayAttachment networkmanager:CreateGlobalNetwork networkmanager:CreateLink networkmanager:CreateSite networkmanager:CreateSiteToSiteVpnAttachment networkmanager:CreateTransitGatewayPeering networkmanager:CreateTransitGatewayRouteTableAttachment networkmanager:CreateVpcAttachment networkmanager:DeleteAttachment networkmanager:DeleteConnectPeer networkmanager:DeleteConnection networkmanager:DeleteCoreNetwork networkmanager:DeleteCoreNetworkPolicyVersion networkmanager:DeleteDevice networkmanager:DeleteGlobalNetwork networkmanager:DeleteLink networkmanager:DeletePeering networkmanager:DeleteResourcePolicy networkmanager:DeleteSite networkmanager:DeregisterTransitGateway networkmanager:DescribeGlobalNetworks networkmanager:DisassociateConnectPeer networkmanager:DisassociateCustomerGateway networkmanager:DisassociateLink networkmanager:DisassociateTransitGatewayConnectPeer networkmanager:ExecuteCoreNetworkChangeSet networkmanager:GetConnectAttachment networkmanager:GetConnectPeer networkmanager:GetConnectPeerAssociations networkmanager:GetConnections networkmanager:GetCoreNetwork networkmanager:GetCoreNetworkChangeEvents networkmanager:GetCoreNetworkChangeSet networkmanager:GetCoreNetworkPolicy networkmanager:GetCustomerGatewayAssociations networkmanager:GetDevices networkmanager:GetLinkAssociations networkmanager:GetLinks networkmanager:GetNetworkResourceCounts networkmanager:GetNetworkResourceRelationships networkmanager:GetNetworkResources networkmanager:GetNetworkRoutes networkmanager:GetNetworkTelemetry networkmanager:GetResourcePolicy networkmanager:GetRouteAnalysis networkmanager:GetSiteToSiteVpnAttachment networkmanager:GetSites networkmanager:GetTransitGatewayConnectPeerAssociations networkmanager:GetTransitGatewayPeering networkmanager:GetTransitGatewayRegistrations networkmanager:GetTransitGatewayRouteTableAttachment networkmanager:GetVpcAttachment networkmanager:ListAttachmentRoutingPolicyAssociations networkmanager:ListAttachments networkmanager:ListConnectPeers networkmanager:ListCoreNetworkPolicyVersions networkmanager:ListCoreNetworkPrefixListAssociations networkmanager:ListCoreNetworkRoutingInformation networkmanager:ListCoreNetworks networkmanager:ListOrganizationServiceAccessStatus networkmanager:ListPeerings networkmanager:PutAttachmentRoutingPolicyLabel networkmanager:PutCoreNetworkPolicy networkmanager:PutResourcePolicy networkmanager:RegisterTransitGateway networkmanager:RejectAttachment networkmanager:RemoveAttachmentRoutingPolicyLabel networkmanager:RestoreCoreNetworkPolicyVersion networkmanager:StartOrganizationServiceAccessUpdate networkmanager:StartRouteAnalysis networkmanager:UpdateConnection networkmanager:UpdateCoreNetwork networkmanager:UpdateDevice networkmanager:UpdateDirectConnectGatewayAttachment networkmanager:UpdateGlobalNetwork networkmanager:UpdateLink networkmanager:UpdateNetworkResourceMetadata networkmanager:UpdateSite networkmanager:UpdateVpcAttachment  | 
| nimble |  nimble:AcceptEulas nimble:CreateLaunchProfile nimble:CreateStreamingImage nimble:CreateStreamingSession nimble:CreateStreamingSessionStream nimble:CreateStudio nimble:CreateStudioComponent nimble:DeleteLaunchProfile nimble:DeleteLaunchProfileMember nimble:DeleteStreamingImage nimble:DeleteStreamingSession nimble:DeleteStudio nimble:DeleteStudioComponent nimble:DeleteStudioMember nimble:GetEula nimble:GetLaunchProfileDetails nimble:GetStreamingImage nimble:GetStreamingSession nimble:GetStreamingSessionBackup nimble:GetStreamingSessionStream nimble:GetStudio nimble:GetStudioComponent nimble:GetStudioMember nimble:ListEulas nimble:ListLaunchProfileMembers nimble:ListLaunchProfiles nimble:ListStreamingImages nimble:ListStreamingSessionBackups nimble:ListStreamingSessions nimble:ListStudioComponents nimble:ListStudioMembers nimble:ListStudios nimble:PutLaunchProfileMembers nimble:PutStudioMembers nimble:StartStreamingSession nimble:StartStudioSSOConfigurationRepair nimble:StopStreamingSession nimble:UpdateLaunchProfile nimble:UpdateLaunchProfileMember nimble:UpdateStreamingImage nimble:UpdateStudio nimble:UpdateStudioComponent  | 
| omics |  omics:AbortMultipartReadSetUpload omics:AcceptShare omics:BatchDeleteReadSet omics:CancelAnnotationImportJob omics:CancelRun omics:CancelVariantImportJob omics:CompleteMultipartReadSetUpload omics:CreateAnnotationStore omics:CreateAnnotationStoreVersion omics:CreateMultipartReadSetUpload omics:CreateReferenceStore omics:CreateRunGroup omics:CreateSequenceStore omics:CreateShare omics:CreateVariantStore omics:CreateWorkflow omics:CreateWorkflowVersion omics:DeleteAnnotationStore omics:DeleteAnnotationStoreVersions omics:DeleteReference omics:DeleteReferenceStore omics:DeleteRun omics:DeleteRunGroup omics:DeleteSequenceStore omics:DeleteShare omics:DeleteVariantStore omics:DeleteWorkflow omics:DeleteWorkflowVersion omics:GetAnnotationImportJob omics:GetAnnotationStore omics:GetAnnotationStoreVersion omics:GetReadSet omics:GetReadSetActivationJob omics:GetReadSetExportJob omics:GetReadSetImportJob omics:GetReadSetMetadata omics:GetReference omics:GetReferenceImportJob omics:GetReferenceMetadata omics:GetReferenceStore omics:GetRun omics:GetRunGroup omics:GetRunTask omics:GetSequenceStore omics:GetShare omics:GetVariantImportJob omics:GetVariantStore omics:GetWorkflow omics:GetWorkflowVersion omics:ListAnnotationImportJobs omics:ListAnnotationStoreVersions omics:ListAnnotationStores omics:ListMultipartReadSetUploads omics:ListReadSetActivationJobs omics:ListReadSetExportJobs omics:ListReadSetImportJobs omics:ListReadSetUploadParts omics:ListReadSets omics:ListReferenceImportJobs omics:ListReferenceStores omics:ListReferences omics:ListRunGroups omics:ListRunTasks omics:ListRuns omics:ListSequenceStores omics:ListShares omics:ListVariantImportJobs omics:ListVariantStores omics:ListWorkflowVersions omics:ListWorkflows omics:StartAnnotationImportJob omics:StartReadSetActivationJob omics:StartReadSetExportJob omics:StartReadSetImportJob omics:StartReferenceImportJob omics:StartRun omics:StartVariantImportJob omics:UpdateAnnotationStore omics:UpdateAnnotationStoreVersion omics:UpdateRunGroup omics:UpdateVariantStore omics:UpdateWorkflow omics:UpdateWorkflowVersion omics:UploadReadSetPart  | 
| opsworks |  opsworks:AssignInstance opsworks:AssignVolume opsworks:AssociateElasticIp opsworks:AttachElasticLoadBalancer opsworks:CloneStack opsworks:CreateApp opsworks:CreateDeployment opsworks:CreateInstance opsworks:CreateLayer opsworks:CreateStack opsworks:CreateUserProfile opsworks:DeleteApp opsworks:DeleteInstance opsworks:DeleteLayer opsworks:DeleteStack opsworks:DeleteUserProfile opsworks:DeregisterEcsCluster opsworks:DeregisterElasticIp opsworks:DeregisterInstance opsworks:DeregisterRdsDbInstance opsworks:DeregisterVolume opsworks:DescribeAgentVersions opsworks:DescribeApps opsworks:DescribeCommands opsworks:DescribeDeployments opsworks:DescribeEcsClusters opsworks:DescribeElasticIps opsworks:DescribeElasticLoadBalancers opsworks:DescribeInstances opsworks:DescribeLayers opsworks:DescribeLoadBasedAutoScaling opsworks:DescribeMyUserProfile opsworks:DescribeOperatingSystems opsworks:DescribePermissions opsworks:DescribeRaidArrays opsworks:DescribeRdsDbInstances opsworks:DescribeServiceErrors opsworks:DescribeStackProvisioningParameters opsworks:DescribeStackSummary opsworks:DescribeStacks opsworks:DescribeTimeBasedAutoScaling opsworks:DescribeUserProfiles opsworks:DescribeVolumes opsworks:DetachElasticLoadBalancer opsworks:DisassociateElasticIp opsworks:GetHostnameSuggestion opsworks:GrantAccess opsworks:RebootInstance opsworks:RegisterEcsCluster opsworks:RegisterElasticIp opsworks:RegisterInstance opsworks:RegisterRdsDbInstance opsworks:RegisterVolume opsworks:SetLoadBasedAutoScaling opsworks:SetPermission opsworks:SetTimeBasedAutoScaling opsworks:StartInstance opsworks:StartStack opsworks:StopInstance opsworks:StopStack opsworks:UnassignInstance opsworks:UnassignVolume opsworks:UpdateApp opsworks:UpdateElasticIp opsworks:UpdateInstance opsworks:UpdateLayer opsworks:UpdateMyUserProfile opsworks:UpdateRdsDbInstance opsworks:UpdateStack opsworks:UpdateUserProfile opsworks:UpdateVolume  | 
| opsworks-cm |  opsworks-cm:AssociateNode opsworks-cm:CreateBackup opsworks-cm:CreateServer opsworks-cm:DeleteBackup opsworks-cm:DeleteServer opsworks-cm:DescribeAccountAttributes opsworks-cm:DescribeBackups opsworks-cm:DescribeEvents opsworks-cm:DescribeNodeAssociationStatus opsworks-cm:DescribeServers opsworks-cm:DisassociateNode opsworks-cm:ExportServerEngineAttribute opsworks-cm:RestoreServer opsworks-cm:StartMaintenance opsworks-cm:UpdateServer opsworks-cm:UpdateServerEngineAttributes  | 
| organizações |  organizations:AcceptHandshake organizations:AttachPolicy organizations:CancelHandshake organizations:CloseAccount organizations:CreateAccount organizations:CreateGovCloudAccount organizations:CreateOrganization organizations:CreateOrganizationalUnit organizations:CreatePolicy organizations:DeclineHandshake organizations:DeleteOrganization organizations:DeleteOrganizationalUnit organizations:DeletePolicy organizations:DeleteResourcePolicy organizations:DeregisterDelegatedAdministrator organizations:DescribeAccount organizations:DescribeCreateAccountStatus organizations:DescribeEffectivePolicy organizations:DescribeHandshake organizations:DescribeOrganization organizations:DescribeOrganizationalUnit organizations:DescribePolicy organizations:DescribeResourcePolicy organizations:DescribeResponsibilityTransfer organizations:DetachPolicy organizations:DisableAWSServiceAccess organizations:DisablePolicyType organizations:EnableAWSServiceAccess organizations:EnableAllFeatures organizations:EnablePolicyType organizations:InviteAccountToOrganization organizations:LeaveOrganization organizations:ListAWSServiceAccessForOrganization organizations:ListAccounts organizations:ListAccountsForParent organizations:ListAccountsWithInvalidEffectivePolicy organizations:ListChildren organizations:ListCreateAccountStatus organizations:ListDelegatedAdministrators organizations:ListDelegatedServicesForAccount organizations:ListHandshakesForAccount organizations:ListHandshakesForOrganization organizations:ListInboundResponsibilityTransfers organizations:ListOrganizationalUnitsForParent organizations:ListOutboundResponsibilityTransfers organizations:ListParents organizations:ListPolicies organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy organizations:MoveAccount organizations:PutResourcePolicy organizations:RegisterDelegatedAdministrator organizations:RemoveAccountFromOrganization organizations:TerminateResponsibilityTransfer organizations:UpdateOrganizationalUnit organizations:UpdatePolicy organizations:UpdateResponsibilityTransfer  | 
| outposts |  outposts:CancelCapacityTask outposts:CancelOrder outposts:CreateOrder outposts:CreateOutpost outposts:CreatePrivateConnectivityConfig outposts:CreateSite outposts:DeleteOutpost outposts:DeleteSite outposts:GetCapacityTask outposts:GetCatalogItem outposts:GetConnection outposts:GetOrder outposts:GetOutpost outposts:GetOutpostBillingInformation outposts:GetOutpostInstanceTypes outposts:GetOutpostSupportedInstanceTypes outposts:GetPrivateConnectivityConfig outposts:GetSite outposts:GetSiteAddress outposts:ListAssetInstances outposts:ListAssets outposts:ListBlockingInstancesForCapacityTask outposts:ListCapacityTasks outposts:ListCatalogItems outposts:ListOrders outposts:ListOutposts outposts:ListSites outposts:StartCapacityTask outposts:StartConnection outposts:UpdateOutpost outposts:UpdateSite outposts:UpdateSiteAddress outposts:UpdateSiteRackPhysicalProperties  | 
| panorama |  panorama:CreateApplicationInstance panorama:CreateJobForDevices panorama:CreateNodeFromTemplateJob panorama:CreatePackage panorama:CreatePackageImportJob panorama:DeleteDevice panorama:DeletePackage panorama:DeregisterPackageVersion panorama:DescribeApplicationInstance panorama:DescribeApplicationInstanceDetails panorama:DescribeDevice panorama:DescribeDeviceJob panorama:DescribeNode panorama:DescribeNodeFromTemplateJob panorama:DescribePackage panorama:DescribePackageImportJob panorama:DescribePackageVersion panorama:ListApplicationInstanceDependencies panorama:ListApplicationInstanceNodeInstances panorama:ListApplicationInstances panorama:ListDevices panorama:ListDevicesJobs panorama:ListNodeFromTemplateJobs panorama:ListNodes panorama:ListPackageImportJobs panorama:ListPackages panorama:ProvisionDevice panorama:RegisterPackageVersion panorama:RemoveApplicationInstance panorama:SignalApplicationInstanceNodeInstances panorama:UpdateDeviceMetadata  | 
| pi |  pi:CreatePerformanceAnalysisReport pi:DeletePerformanceAnalysisReport pi:DescribeDimensionKeys pi:GetDimensionKeyDetails pi:GetPerformanceAnalysisReport pi:GetResourceMetadata pi:GetResourceMetrics pi:ListAvailableResourceDimensions pi:ListAvailableResourceMetrics pi:ListPerformanceAnalysisReports  | 
| pipes |  pipes:CreatePipe pipes:DeletePipe pipes:DescribePipe pipes:ListPipes pipes:StartPipe pipes:StopPipe pipes:UpdatePipe  | 
| polly |  polly:DeleteLexicon polly:DescribeVoices polly:GetLexicon polly:GetSpeechSynthesisTask polly:ListLexicons polly:ListSpeechSynthesisTasks polly:PutLexicon polly:StartSpeechSynthesisTask polly:SynthesizeSpeech  | 
| perfil |  profile:AddProfileKey profile:BatchGetCalculatedAttributeForProfile profile:BatchGetProfile profile:CreateCalculatedAttributeDefinition profile:CreateDomain profile:CreateEventStream profile:CreateProfile profile:CreateRecommender profile:CreateSegmentDefinition profile:CreateSegmentEstimate profile:CreateSegmentSnapshot profile:CreateUploadJob profile:DeleteCalculatedAttributeDefinition profile:DeleteDomain profile:DeleteDomainObjectType profile:DeleteEventStream profile:DeleteIntegration profile:DeleteProfile profile:DeleteProfileKey profile:DeleteProfileObject profile:DeleteProfileObjectType profile:DeleteRecommender profile:DeleteSegmentDefinition profile:DeleteWorkflow profile:DetectProfileObjectType profile:GetAutoMergingPreview profile:GetCalculatedAttributeDefinition profile:GetCalculatedAttributeForProfile profile:GetDomain profile:GetDomainObjectType profile:GetEventStream profile:GetIdentityResolutionJob profile:GetIntegration profile:GetMatches profile:GetObjectTypeAttributeStatistics profile:GetProfileObjectType profile:GetProfileObjectTypeTemplate profile:GetProfileRecommendations profile:GetRecommender profile:GetSegmentDefinition profile:GetSegmentEstimate profile:GetSegmentMembership profile:GetSegmentSnapshot profile:GetSimilarProfiles profile:GetUploadJob profile:GetUploadJobPath profile:GetWorkflow profile:GetWorkflowSteps profile:ListAccountIntegrations profile:ListCalculatedAttributeDefinitions profile:ListCalculatedAttributesForProfile profile:ListDomainLayouts profile:ListDomainObjectTypes profile:ListDomains profile:ListEventStreams profile:ListIdentityResolutionJobs profile:ListIntegrations profile:ListObjectTypeAttributeValues profile:ListObjectTypeAttributes profile:ListProfileAttributeValues profile:ListProfileObjectTypeTemplates profile:ListProfileObjectTypes profile:ListProfileObjects profile:ListRecommenderRecipes profile:ListRecommenders profile:ListRuleBasedMatches profile:ListSegmentDefinitions profile:ListUploadJobs profile:ListWorkflows profile:MergeProfiles profile:PutDomainObjectType profile:PutIntegration profile:PutProfileObject profile:PutProfileObjectType profile:SearchProfiles profile:StartRecommender profile:StartUploadJob profile:StopRecommender profile:StopUploadJob profile:UpdateCalculatedAttributeDefinition profile:UpdateDomain profile:UpdateProfile profile:UpdateRecommender  | 
| qldb |  qldb:CancelJournalKinesisStream qldb:CreateLedger qldb:DeleteLedger qldb:DescribeJournalKinesisStream qldb:DescribeJournalS3Export qldb:DescribeLedger qldb:ExportJournalToS3 qldb:GetBlock qldb:GetDigest qldb:GetRevision qldb:ListJournalKinesisStreamsForLedger qldb:ListJournalS3Exports qldb:ListJournalS3ExportsForLedger qldb:ListLedgers qldb:StreamJournalToKinesis qldb:UpdateLedger qldb:UpdateLedgerPermissionsMode  | 
| ram |  ram:AcceptResourceShareInvitation ram:AssociateResourceShare ram:AssociateResourceSharePermission ram:CreatePermission ram:CreatePermissionVersion ram:CreateResourceShare ram:DeletePermission ram:DeletePermissionVersion ram:DeleteResourceShare ram:DisassociateResourceShare ram:DisassociateResourceSharePermission ram:EnableSharingWithAwsOrganization ram:GetPermission ram:GetResourcePolicies ram:GetResourceShareAssociations ram:GetResourceShareInvitations ram:GetResourceShares ram:ListPendingInvitationResources ram:ListPermissionAssociations ram:ListPermissionVersions ram:ListPermissions ram:ListPrincipals ram:ListReplacePermissionAssociationsWork ram:ListResourceSharePermissions ram:ListResourceTypes ram:ListResources ram:PromotePermissionCreatedFromPolicy ram:PromoteResourceShareCreatedFromPolicy ram:RejectResourceShareInvitation ram:ReplacePermissionAssociations ram:SetDefaultPermissionVersion ram:UpdateResourceShare  | 
| rbin |  rbin:CreateRule rbin:DeleteRule rbin:GetRule rbin:ListRules rbin:LockRule rbin:UnlockRule rbin:UpdateRule  | 
| rds |  rds:AddRoleToDBCluster rds:AddRoleToDBInstance rds:AddSourceIdentifierToSubscription rds:ApplyPendingMaintenanceAction rds:AuthorizeDBSecurityGroupIngress rds:BacktrackDBCluster rds:CancelExportTask rds:CopyDBClusterParameterGroup rds:CopyDBClusterSnapshot rds:CopyDBParameterGroup rds:CopyDBSnapshot rds:CopyOptionGroup rds:CreateCustomDBEngineVersion rds:CreateDBClusterParameterGroup rds:CreateDBParameterGroup rds:CreateDBProxy rds:CreateDBProxyEndpoint rds:CreateDBSecurityGroup rds:CreateDBSubnetGroup rds:CreateEventSubscription rds:CreateGlobalCluster rds:CreateOptionGroup rds:DeleteBlueGreenDeployment rds:DeleteDBClusterAutomatedBackup rds:DeleteDBClusterParameterGroup rds:DeleteDBClusterSnapshot rds:DeleteDBInstanceAutomatedBackup rds:DeleteDBParameterGroup rds:DeleteDBProxy rds:DeleteDBProxyEndpoint rds:DeleteDBSecurityGroup rds:DeleteDBSnapshot rds:DeleteDBSubnetGroup rds:DeleteEventSubscription rds:DeleteGlobalCluster rds:DeleteOptionGroup rds:DeregisterDBProxyTargets rds:DescribeAccountAttributes rds:DescribeBlueGreenDeployments rds:DescribeCertificates rds:DescribeDBClusterAutomatedBackups rds:DescribeDBClusterBacktracks rds:DescribeDBClusterEndpoints rds:DescribeDBClusterParameterGroups rds:DescribeDBClusterParameters rds:DescribeDBClusterSnapshotAttributes rds:DescribeDBClusterSnapshots rds:DescribeDBClusters rds:DescribeDBEngineVersions rds:DescribeDBInstanceAutomatedBackups rds:DescribeDBInstances rds:DescribeDBLogFiles rds:DescribeDBMajorEngineVersions rds:DescribeDBParameterGroups rds:DescribeDBParameters rds:DescribeDBProxies rds:DescribeDBProxyEndpoints rds:DescribeDBProxyTargetGroups rds:DescribeDBProxyTargets rds:DescribeDBRecommendations rds:DescribeDBSecurityGroups rds:DescribeDBSnapshotAttributes rds:DescribeDBSnapshotTenantDatabases rds:DescribeDBSnapshots rds:DescribeDBSubnetGroups rds:DescribeEngineDefaultClusterParameters rds:DescribeEngineDefaultParameters rds:DescribeEventCategories rds:DescribeEventSubscriptions rds:DescribeEvents rds:DescribeExportTasks rds:DescribeGlobalClusters rds:DescribeIntegrations rds:DescribeOptionGroupOptions rds:DescribeOptionGroups rds:DescribeOrderableDBInstanceOptions rds:DescribePendingMaintenanceActions rds:DescribeReservedDBInstances rds:DescribeReservedDBInstancesOfferings rds:DescribeSourceRegions rds:DescribeTenantDatabases rds:DescribeValidDBInstanceModifications rds:DownloadCompleteDBLogFile rds:DownloadDBLogFilePortion rds:FailoverDBCluster rds:FailoverGlobalCluster rds:ModifyActivityStream rds:ModifyCertificates rds:ModifyCurrentDBClusterCapacity rds:ModifyDBClusterEndpoint rds:ModifyDBClusterParameterGroup rds:ModifyDBClusterSnapshotAttribute rds:ModifyDBParameterGroup rds:ModifyDBProxy rds:ModifyDBProxyEndpoint rds:ModifyDBProxyTargetGroup rds:ModifyDBRecommendation rds:ModifyDBSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBSubnetGroup rds:ModifyEventSubscription rds:ModifyGlobalCluster rds:ModifyOptionGroup rds:ModifyTenantDatabase rds:PurchaseReservedDBInstancesOffering rds:RebootDBCluster rds:RegisterDBProxyTargets rds:RemoveFromGlobalCluster rds:RemoveRoleFromDBCluster rds:RemoveRoleFromDBInstance rds:RemoveSourceIdentifierFromSubscription rds:ResetDBClusterParameterGroup rds:ResetDBParameterGroup rds:RestoreDBClusterFromS3 rds:RestoreDBClusterFromSnapshot rds:RestoreDBClusterToPointInTime rds:RestoreDBInstanceFromDBSnapshot rds:RestoreDBInstanceFromS3 rds:RestoreDBInstanceToPointInTime rds:RevokeDBSecurityGroupIngress rds:StartActivityStream rds:StartDBCluster rds:StartDBInstance rds:StartDBInstanceAutomatedBackupsReplication rds:StartExportTask rds:StopActivityStream rds:StopDBCluster rds:StopDBInstance rds:StopDBInstanceAutomatedBackupsReplication rds:SwitchoverBlueGreenDeployment rds:SwitchoverGlobalCluster rds:SwitchoverReadReplica  | 
| redshift |  redshift:AcceptReservedNodeExchange redshift:AddPartner redshift:AssociateDataShareConsumer redshift:AuthorizeClusterSecurityGroupIngress redshift:AuthorizeDataShare redshift:AuthorizeEndpointAccess redshift:AuthorizeSnapshotAccess redshift:BatchDeleteClusterSnapshots redshift:BatchModifyClusterSnapshots redshift:CancelQuery redshift:CancelResize redshift:CopyClusterSnapshot redshift:CreateAuthenticationProfile redshift:CreateCluster redshift:CreateClusterParameterGroup redshift:CreateClusterSecurityGroup redshift:CreateClusterSnapshot redshift:CreateClusterSubnetGroup redshift:CreateCustomDomainAssociation redshift:CreateEndpointAccess redshift:CreateEventSubscription redshift:CreateHsmClientCertificate redshift:CreateHsmConfiguration redshift:CreateIntegration redshift:CreateRedshiftIdcApplication redshift:CreateScheduledAction redshift:CreateSnapshotCopyGrant redshift:CreateSnapshotSchedule redshift:CreateUsageLimit redshift:DeauthorizeDataShare redshift:DeleteAuthenticationProfile redshift:DeleteCluster redshift:DeleteClusterParameterGroup redshift:DeleteClusterSecurityGroup redshift:DeleteClusterSnapshot redshift:DeleteClusterSubnetGroup redshift:DeleteCustomDomainAssociation redshift:DeleteEndpointAccess redshift:DeleteEventSubscription redshift:DeleteHsmClientCertificate redshift:DeleteHsmConfiguration redshift:DeletePartner redshift:DeleteRedshiftIdcApplication redshift:DeleteResourcePolicy redshift:DeleteScheduledAction redshift:DeleteSnapshotCopyGrant redshift:DeleteSnapshotSchedule redshift:DeleteUsageLimit redshift:DeregisterNamespace redshift:DescribeAccountAttributes redshift:DescribeAuthenticationProfiles redshift:DescribeClusterDbRevisions redshift:DescribeClusterParameterGroups redshift:DescribeClusterParameters redshift:DescribeClusterSecurityGroups redshift:DescribeClusterSnapshots redshift:DescribeClusterSubnetGroups redshift:DescribeClusterTracks redshift:DescribeClusterVersions redshift:DescribeClusters redshift:DescribeCustomDomainAssociations redshift:DescribeDataShares redshift:DescribeDataSharesForConsumer redshift:DescribeDataSharesForProducer redshift:DescribeDefaultClusterParameters redshift:DescribeEndpointAccess redshift:DescribeEndpointAuthorization redshift:DescribeEventCategories redshift:DescribeEventSubscriptions redshift:DescribeEvents redshift:DescribeHsmClientCertificates redshift:DescribeHsmConfigurations redshift:DescribeInboundIntegrations redshift:DescribeIntegrations redshift:DescribeLoggingStatus redshift:DescribeNodeConfigurationOptions redshift:DescribeOrderableClusterOptions redshift:DescribePartners redshift:DescribeRedshiftIdcApplications redshift:DescribeReservedNodeExchangeStatus redshift:DescribeReservedNodeOfferings redshift:DescribeReservedNodes redshift:DescribeResize redshift:DescribeScheduledActions redshift:DescribeSnapshotCopyGrants redshift:DescribeSnapshotSchedules redshift:DescribeStorage redshift:DescribeTableRestoreStatus redshift:DescribeUsageLimits redshift:DisableLogging redshift:DisableSnapshotCopy redshift:DisassociateDataShareConsumer redshift:EnableLogging redshift:EnableSnapshotCopy redshift:FailoverPrimaryCompute redshift:GetClusterCredentials redshift:GetClusterCredentialsWithIAM redshift:GetIdentityCenterAuthToken redshift:GetReservedNodeExchangeConfigurationOptions redshift:GetReservedNodeExchangeOfferings redshift:GetResourcePolicy redshift:ListRecommendations redshift:ModifyAquaConfiguration redshift:ModifyAuthenticationProfile redshift:ModifyCluster redshift:ModifyClusterDbRevision redshift:ModifyClusterIamRoles redshift:ModifyClusterMaintenance redshift:ModifyClusterParameterGroup redshift:ModifyClusterSnapshot redshift:ModifyClusterSnapshotSchedule redshift:ModifyClusterSubnetGroup redshift:ModifyCustomDomainAssociation redshift:ModifyEndpointAccess redshift:ModifyEventSubscription redshift:ModifyRedshiftIdcApplication redshift:ModifyScheduledAction redshift:ModifySnapshotCopyRetentionPeriod redshift:ModifySnapshotSchedule redshift:ModifyUsageLimit redshift:PauseCluster redshift:PurchaseReservedNodeOffering redshift:PutResourcePolicy redshift:RebootCluster redshift:RegisterNamespace redshift:RejectDataShare redshift:ResetClusterParameterGroup redshift:ResizeCluster redshift:RestoreFromClusterSnapshot redshift:RestoreTableFromClusterSnapshot redshift:ResumeCluster redshift:RevokeClusterSecurityGroupIngress redshift:RevokeEndpointAccess redshift:RevokeSnapshotAccess redshift:RotateEncryptionKey redshift:UpdatePartnerStatus  | 
| redshift-data |  redshift-data:BatchExecuteStatement redshift-data:CancelStatement redshift-data:DescribeStatement redshift-data:DescribeTable redshift-data:ExecuteStatement redshift-data:GetStatementResult redshift-data:ListDatabases redshift-data:ListSchemas redshift-data:ListStatements redshift-data:ListTables  | 
| refactor-spaces |  refactor-spaces:CreateApplication refactor-spaces:CreateEnvironment refactor-spaces:CreateRoute refactor-spaces:CreateService refactor-spaces:DeleteApplication refactor-spaces:DeleteEnvironment refactor-spaces:DeleteResourcePolicy refactor-spaces:DeleteRoute refactor-spaces:DeleteService refactor-spaces:GetApplication refactor-spaces:GetEnvironment refactor-spaces:GetResourcePolicy refactor-spaces:GetRoute refactor-spaces:GetService refactor-spaces:ListApplications refactor-spaces:ListEnvironmentVpcs refactor-spaces:ListEnvironments refactor-spaces:ListRoutes refactor-spaces:ListServices refactor-spaces:PutResourcePolicy refactor-spaces:UpdateRoute  | 
| rekognition |  rekognition:AssociateFaces rekognition:CompareFaces rekognition:CopyProjectVersion rekognition:CreateCollection rekognition:CreateDataset rekognition:CreateFaceLivenessSession rekognition:CreateProject rekognition:CreateProjectVersion rekognition:CreateStreamProcessor rekognition:CreateUser rekognition:DeleteCollection rekognition:DeleteDataset rekognition:DeleteFaces rekognition:DeleteProject rekognition:DeleteProjectPolicy rekognition:DeleteProjectVersion rekognition:DeleteStreamProcessor rekognition:DeleteUser rekognition:DescribeCollection rekognition:DescribeDataset rekognition:DescribeProjectVersions rekognition:DescribeProjects rekognition:DescribeStreamProcessor rekognition:DetectCustomLabels rekognition:DetectFaces rekognition:DetectLabels rekognition:DetectModerationLabels rekognition:DetectProtectiveEquipment rekognition:DetectText rekognition:DisassociateFaces rekognition:DistributeDatasetEntries rekognition:GetCelebrityInfo rekognition:GetCelebrityRecognition rekognition:GetContentModeration rekognition:GetFaceDetection rekognition:GetFaceLivenessSessionResults rekognition:GetFaceSearch rekognition:GetLabelDetection rekognition:GetMediaAnalysisJob rekognition:GetPersonTracking rekognition:GetSegmentDetection rekognition:GetTextDetection rekognition:IndexFaces rekognition:ListCollections rekognition:ListDatasetEntries rekognition:ListDatasetLabels rekognition:ListFaces rekognition:ListMediaAnalysisJobs rekognition:ListProjectPolicies rekognition:ListStreamProcessors rekognition:ListUsers rekognition:PutProjectPolicy rekognition:RecognizeCelebrities rekognition:SearchFaces rekognition:SearchFacesByImage rekognition:SearchUsers rekognition:SearchUsersByImage rekognition:StartCelebrityRecognition rekognition:StartContentModeration rekognition:StartFaceDetection rekognition:StartFaceLivenessSession rekognition:StartFaceSearch rekognition:StartLabelDetection rekognition:StartMediaAnalysisJob rekognition:StartPersonTracking rekognition:StartProjectVersion rekognition:StartSegmentDetection rekognition:StartStreamProcessor rekognition:StartTextDetection rekognition:StopProjectVersion rekognition:StopStreamProcessor rekognition:UpdateDatasetEntries rekognition:UpdateStreamProcessor  | 
| resiliencehub |  resiliencehub:AcceptResourceGroupingRecommendations resiliencehub:AddDraftAppVersionResourceMappings resiliencehub:BatchUpdateRecommendationStatus resiliencehub:CreateApp resiliencehub:CreateAppVersionAppComponent resiliencehub:CreateAppVersionResource resiliencehub:CreateRecommendationTemplate resiliencehub:CreateResiliencyPolicy resiliencehub:DeleteApp resiliencehub:DeleteAppAssessment resiliencehub:DeleteAppInputSource resiliencehub:DeleteAppVersionAppComponent resiliencehub:DeleteAppVersionResource resiliencehub:DeleteRecommendationTemplate resiliencehub:DeleteResiliencyPolicy resiliencehub:DescribeApp resiliencehub:DescribeAppAssessment resiliencehub:DescribeAppVersion resiliencehub:DescribeAppVersionAppComponent resiliencehub:DescribeAppVersionResource resiliencehub:DescribeAppVersionResourcesResolutionStatus resiliencehub:DescribeAppVersionTemplate resiliencehub:DescribeDraftAppVersionResourcesImportStatus resiliencehub:DescribeMetricsExport resiliencehub:DescribeResiliencyPolicy resiliencehub:DescribeResourceGroupingRecommendationTask resiliencehub:ImportResourcesToDraftAppVersion resiliencehub:ListAlarmRecommendations resiliencehub:ListAppAssessmentComplianceDrifts resiliencehub:ListAppAssessmentResourceDrifts resiliencehub:ListAppAssessments resiliencehub:ListAppComponentCompliances resiliencehub:ListAppComponentRecommendations resiliencehub:ListAppInputSources resiliencehub:ListAppVersionAppComponents resiliencehub:ListAppVersionResourceMappings resiliencehub:ListAppVersionResources resiliencehub:ListAppVersions resiliencehub:ListApps resiliencehub:ListMetrics resiliencehub:ListRecommendationTemplates resiliencehub:ListResiliencyPolicies resiliencehub:ListResourceGroupingRecommendations resiliencehub:ListSopRecommendations resiliencehub:ListSuggestedResiliencyPolicies resiliencehub:ListTestRecommendations resiliencehub:ListUnsupportedAppVersionResources resiliencehub:PublishAppVersion resiliencehub:PutDraftAppVersionTemplate resiliencehub:RejectResourceGroupingRecommendations resiliencehub:RemoveDraftAppVersionResourceMappings resiliencehub:ResolveAppVersionResources resiliencehub:StartAppAssessment resiliencehub:StartResourceGroupingRecommendationTask resiliencehub:UpdateApp resiliencehub:UpdateAppVersion resiliencehub:UpdateAppVersionAppComponent resiliencehub:UpdateAppVersionResource resiliencehub:UpdateResiliencyPolicy  | 
| resource-explorer-2 |  resource-explorer-2:AssociateDefaultView resource-explorer-2:BatchGetView resource-explorer-2:CreateIndex resource-explorer-2:CreateResourceExplorerSetup resource-explorer-2:CreateView resource-explorer-2:DeleteIndex resource-explorer-2:DeleteResourceExplorerSetup resource-explorer-2:DeleteView resource-explorer-2:DisassociateDefaultView resource-explorer-2:GetAccountLevelServiceConfiguration resource-explorer-2:GetDefaultView resource-explorer-2:GetIndex resource-explorer-2:GetManagedView resource-explorer-2:GetResourceExplorerSetup resource-explorer-2:GetServiceIndex resource-explorer-2:GetServiceView resource-explorer-2:ListIndexes resource-explorer-2:ListIndexesForMembers resource-explorer-2:ListManagedViews resource-explorer-2:ListServiceIndexes resource-explorer-2:ListServiceViews resource-explorer-2:ListStreamingAccessForServices resource-explorer-2:ListSupportedResourceTypes resource-explorer-2:ListViews resource-explorer-2:Search resource-explorer-2:UpdateIndexType resource-explorer-2:UpdateView  | 
| resource-groups |  resource-groups:CancelTagSyncTask resource-groups:GetAccountSettings resource-groups:GetGroup resource-groups:GetGroupConfiguration resource-groups:GetGroupQuery resource-groups:GetTagSyncTask resource-groups:GroupResources resource-groups:ListGroupResources resource-groups:ListGroupingStatuses resource-groups:ListGroups resource-groups:ListTagSyncTasks resource-groups:PutGroupConfiguration resource-groups:SearchResources resource-groups:StartTagSyncTask resource-groups:UngroupResources resource-groups:UpdateAccountSettings resource-groups:UpdateGroup resource-groups:UpdateGroupQuery  | 
| robomaker |  robomaker:BatchDeleteWorlds robomaker:BatchDescribeSimulationJob robomaker:CancelDeploymentJob robomaker:CancelSimulationJob robomaker:CancelSimulationJobBatch robomaker:CancelWorldExportJob robomaker:CancelWorldGenerationJob robomaker:CreateDeploymentJob robomaker:CreateFleet robomaker:CreateRobot robomaker:CreateRobotApplication robomaker:CreateRobotApplicationVersion robomaker:CreateSimulationApplication robomaker:CreateSimulationApplicationVersion robomaker:CreateSimulationJob robomaker:CreateWorldExportJob robomaker:CreateWorldGenerationJob robomaker:CreateWorldTemplate robomaker:DeleteFleet robomaker:DeleteRobot robomaker:DeleteRobotApplication robomaker:DeleteSimulationApplication robomaker:DeleteWorldTemplate robomaker:DeregisterRobot robomaker:DescribeDeploymentJob robomaker:DescribeFleet robomaker:DescribeRobot robomaker:DescribeRobotApplication robomaker:DescribeSimulationApplication robomaker:DescribeSimulationJob robomaker:DescribeSimulationJobBatch robomaker:DescribeWorld robomaker:DescribeWorldExportJob robomaker:DescribeWorldGenerationJob robomaker:DescribeWorldTemplate robomaker:GetWorldTemplateBody robomaker:ListDeploymentJobs robomaker:ListFleets robomaker:ListRobotApplications robomaker:ListRobots robomaker:ListSimulationApplications robomaker:ListSimulationJobBatches robomaker:ListSimulationJobs robomaker:ListWorldExportJobs robomaker:ListWorldGenerationJobs robomaker:ListWorldTemplates robomaker:ListWorlds robomaker:RegisterRobot robomaker:RestartSimulationJob robomaker:StartSimulationJobBatch robomaker:SyncDeploymentJob robomaker:UpdateRobotApplication robomaker:UpdateSimulationApplication robomaker:UpdateWorldTemplate  | 
| rolesanywhere |  rolesanywhere:CreateProfile rolesanywhere:CreateTrustAnchor rolesanywhere:DeleteAttributeMapping rolesanywhere:DeleteCrl rolesanywhere:DeleteProfile rolesanywhere:DeleteTrustAnchor rolesanywhere:DisableCrl rolesanywhere:DisableProfile rolesanywhere:DisableTrustAnchor rolesanywhere:EnableCrl rolesanywhere:EnableProfile rolesanywhere:EnableTrustAnchor rolesanywhere:GetCrl rolesanywhere:GetProfile rolesanywhere:GetSubject rolesanywhere:GetTrustAnchor rolesanywhere:ImportCrl rolesanywhere:ListCrls rolesanywhere:ListProfiles rolesanywhere:ListSubjects rolesanywhere:ListTrustAnchors rolesanywhere:PutAttributeMapping rolesanywhere:PutNotificationSettings rolesanywhere:ResetNotificationSettings rolesanywhere:UpdateCrl rolesanywhere:UpdateProfile rolesanywhere:UpdateTrustAnchor  | 
| route53 |  route53:ActivateKeySigningKey route53:AssociateVPCWithHostedZone route53:ChangeCidrCollection route53:ChangeResourceRecordSets route53:CreateCidrCollection route53:CreateHealthCheck route53:CreateHostedZone route53:CreateKeySigningKey route53:CreateQueryLoggingConfig route53:CreateReusableDelegationSet route53:CreateTrafficPolicy route53:CreateTrafficPolicyInstance route53:CreateTrafficPolicyVersion route53:CreateVPCAssociationAuthorization route53:DeactivateKeySigningKey route53:DeleteCidrCollection route53:DeleteHealthCheck route53:DeleteHostedZone route53:DeleteKeySigningKey route53:DeleteQueryLoggingConfig route53:DeleteReusableDelegationSet route53:DeleteTrafficPolicy route53:DeleteTrafficPolicyInstance route53:DeleteVPCAssociationAuthorization route53:DisableHostedZoneDNSSEC route53:DisassociateVPCFromHostedZone route53:EnableHostedZoneDNSSEC route53:GetAccountLimit route53:GetChange route53:GetCheckerIpRanges route53:GetDNSSEC route53:GetGeoLocation route53:GetHealthCheck route53:GetHealthCheckCount route53:GetHealthCheckLastFailureReason route53:GetHealthCheckStatus route53:GetHostedZone route53:GetHostedZoneCount route53:GetHostedZoneLimit route53:GetQueryLoggingConfig route53:GetReusableDelegationSet route53:GetReusableDelegationSetLimit route53:GetTrafficPolicy route53:GetTrafficPolicyInstance route53:GetTrafficPolicyInstanceCount route53:ListCidrBlocks route53:ListCidrCollections route53:ListCidrLocations route53:ListGeoLocations route53:ListHealthChecks route53:ListHostedZones route53:ListHostedZonesByName route53:ListHostedZonesByVPC route53:ListQueryLoggingConfigs route53:ListResourceRecordSets route53:ListReusableDelegationSets route53:ListTrafficPolicies route53:ListTrafficPolicyInstances route53:ListTrafficPolicyInstancesByHostedZone route53:ListTrafficPolicyInstancesByPolicy route53:ListTrafficPolicyVersions route53:ListVPCAssociationAuthorizations route53:TestDNSAnswer route53:UpdateHealthCheck route53:UpdateHostedZoneComment route53:UpdateTrafficPolicyComment route53:UpdateTrafficPolicyInstance  | 
| route53-recovery-control-config |  route53-recovery-control-config:CreateCluster route53-recovery-control-config:CreateControlPanel route53-recovery-control-config:CreateRoutingControl route53-recovery-control-config:CreateSafetyRule route53-recovery-control-config:DeleteCluster route53-recovery-control-config:DeleteControlPanel route53-recovery-control-config:DeleteRoutingControl route53-recovery-control-config:DeleteSafetyRule route53-recovery-control-config:DescribeCluster route53-recovery-control-config:DescribeControlPanel route53-recovery-control-config:DescribeRoutingControl route53-recovery-control-config:DescribeSafetyRule route53-recovery-control-config:GetResourcePolicy route53-recovery-control-config:ListAssociatedRoute53HealthChecks route53-recovery-control-config:ListClusters route53-recovery-control-config:ListControlPanels route53-recovery-control-config:ListRoutingControls route53-recovery-control-config:ListSafetyRules route53-recovery-control-config:UpdateCluster route53-recovery-control-config:UpdateControlPanel route53-recovery-control-config:UpdateRoutingControl route53-recovery-control-config:UpdateSafetyRule  | 
| route53-recovery-readiness |  route53-recovery-readiness:CreateCell route53-recovery-readiness:CreateCrossAccountAuthorization route53-recovery-readiness:CreateReadinessCheck route53-recovery-readiness:CreateRecoveryGroup route53-recovery-readiness:CreateResourceSet route53-recovery-readiness:DeleteCell route53-recovery-readiness:DeleteCrossAccountAuthorization route53-recovery-readiness:DeleteReadinessCheck route53-recovery-readiness:DeleteRecoveryGroup route53-recovery-readiness:DeleteResourceSet route53-recovery-readiness:GetArchitectureRecommendations route53-recovery-readiness:GetCell route53-recovery-readiness:GetCellReadinessSummary route53-recovery-readiness:GetReadinessCheck route53-recovery-readiness:GetReadinessCheckResourceStatus route53-recovery-readiness:GetReadinessCheckStatus route53-recovery-readiness:GetRecoveryGroup route53-recovery-readiness:GetRecoveryGroupReadinessSummary route53-recovery-readiness:GetResourceSet route53-recovery-readiness:ListCells route53-recovery-readiness:ListCrossAccountAuthorizations route53-recovery-readiness:ListReadinessChecks route53-recovery-readiness:ListRecoveryGroups route53-recovery-readiness:ListResourceSets route53-recovery-readiness:ListRules route53-recovery-readiness:UpdateCell route53-recovery-readiness:UpdateReadinessCheck route53-recovery-readiness:UpdateRecoveryGroup route53-recovery-readiness:UpdateResourceSet  | 
| route53resolver |  route53resolver:AssociateFirewallRuleGroup route53resolver:AssociateResolverEndpointIpAddress route53resolver:AssociateResolverQueryLogConfig route53resolver:AssociateResolverRule route53resolver:CreateFirewallDomainList route53resolver:CreateFirewallRule route53resolver:CreateFirewallRuleGroup route53resolver:CreateResolverEndpoint route53resolver:CreateResolverQueryLogConfig route53resolver:CreateResolverRule route53resolver:DeleteFirewallDomainList route53resolver:DeleteFirewallRule route53resolver:DeleteFirewallRuleGroup route53resolver:DeleteOutpostResolver route53resolver:DeleteResolverEndpoint route53resolver:DeleteResolverQueryLogConfig route53resolver:DeleteResolverRule route53resolver:DisassociateFirewallRuleGroup route53resolver:DisassociateResolverEndpointIpAddress route53resolver:DisassociateResolverQueryLogConfig route53resolver:DisassociateResolverRule route53resolver:GetFirewallConfig route53resolver:GetFirewallDomainList route53resolver:GetFirewallRuleGroup route53resolver:GetFirewallRuleGroupAssociation route53resolver:GetFirewallRuleGroupPolicy route53resolver:GetOutpostResolver route53resolver:GetResolverConfig route53resolver:GetResolverDnssecConfig route53resolver:GetResolverEndpoint route53resolver:GetResolverQueryLogConfig route53resolver:GetResolverQueryLogConfigAssociation route53resolver:GetResolverQueryLogConfigPolicy route53resolver:GetResolverRule route53resolver:GetResolverRuleAssociation route53resolver:GetResolverRulePolicy route53resolver:ImportFirewallDomains route53resolver:ListFirewallConfigs route53resolver:ListFirewallDomainLists route53resolver:ListFirewallDomains route53resolver:ListFirewallRuleGroupAssociations route53resolver:ListFirewallRuleGroups route53resolver:ListFirewallRules route53resolver:ListOutpostResolvers route53resolver:ListResolverConfigs route53resolver:ListResolverDnssecConfigs route53resolver:ListResolverEndpointIpAddresses route53resolver:ListResolverEndpoints route53resolver:ListResolverQueryLogConfigAssociations route53resolver:ListResolverQueryLogConfigs route53resolver:ListResolverRuleAssociations route53resolver:ListResolverRules route53resolver:PutFirewallRuleGroupPolicy route53resolver:PutResolverQueryLogConfigPolicy route53resolver:UpdateFirewallConfig route53resolver:UpdateFirewallDomains route53resolver:UpdateFirewallRule route53resolver:UpdateFirewallRuleGroupAssociation route53resolver:UpdateOutpostResolver route53resolver:UpdateResolverConfig route53resolver:UpdateResolverDnssecConfig route53resolver:UpdateResolverEndpoint route53resolver:UpdateResolverRule  | 
| rum |  rum:BatchCreateRumMetricDefinitions rum:BatchDeleteRumMetricDefinitions rum:BatchGetRumMetricDefinitions rum:CreateAppMonitor rum:DeleteAppMonitor rum:DeleteResourcePolicy rum:DeleteRumMetricsDestination rum:GetAppMonitor rum:GetAppMonitorData rum:GetResourcePolicy rum:ListAppMonitors rum:ListRumMetricsDestinations rum:PutResourcePolicy rum:PutRumMetricsDestination rum:UpdateAppMonitor rum:UpdateRumMetricDefinition  | 
| s3 |  s3:AssociateAccessGrantsIdentityCenter s3:CreateAccessGrant s3:CreateAccessGrantsInstance s3:CreateAccessGrantsLocation s3:CreateAccessPoint s3:CreateAccessPointForObjectLambda s3:CreateBucket s3:CreateBucketMetadataTableConfiguration s3:CreateJob s3:CreateMultiRegionAccessPoint s3:DeleteAccessGrant s3:DeleteAccessGrantsInstance s3:DeleteAccessGrantsInstanceResourcePolicy s3:DeleteAccessGrantsLocation s3:DeleteAccessPoint s3:DeleteAccessPointForObjectLambda s3:DeleteAccessPointPolicy s3:DeleteAccessPointPolicyForObjectLambda s3:DeleteBucket s3:DeleteBucketMetadataTableConfiguration s3:DeleteBucketPolicy s3:DeleteBucketWebsite s3:DeleteMultiRegionAccessPoint s3:DeleteStorageLensConfiguration s3:DescribeJob s3:DescribeMultiRegionAccessPointOperation s3:DissociateAccessGrantsIdentityCenter s3:GetAccelerateConfiguration s3:GetAccessGrant s3:GetAccessGrantsInstance s3:GetAccessGrantsInstanceForPrefix s3:GetAccessGrantsInstanceResourcePolicy s3:GetAccessGrantsLocation s3:GetAccessPoint s3:GetAccessPointConfigurationForObjectLambda s3:GetAccessPointForObjectLambda s3:GetAccessPointPolicy s3:GetAccessPointPolicyForObjectLambda s3:GetAccessPointPolicyStatus s3:GetAccessPointPolicyStatusForObjectLambda s3:GetAccountPublicAccessBlock s3:GetAnalyticsConfiguration s3:GetBucketAbac s3:GetBucketAcl s3:GetBucketCORS s3:GetBucketLocation s3:GetBucketLogging s3:GetBucketNotification s3:GetBucketObjectLockConfiguration s3:GetBucketOwnershipControls s3:GetBucketPolicy s3:GetBucketPolicyStatus s3:GetBucketPublicAccessBlock s3:GetBucketRequestPayment s3:GetBucketVersioning s3:GetBucketWebsite s3:GetDataAccess s3:GetEncryptionConfiguration s3:GetIntelligentTieringConfiguration s3:GetInventoryConfiguration s3:GetLifecycleConfiguration s3:GetMetricsConfiguration s3:GetMultiRegionAccessPoint s3:GetMultiRegionAccessPointPolicy s3:GetMultiRegionAccessPointPolicyStatus s3:GetMultiRegionAccessPointRoutes s3:GetReplicationConfiguration s3:GetStorageLensConfiguration s3:GetStorageLensDashboard s3:ListAccessGrants s3:ListAccessGrantsInstances s3:ListAccessGrantsLocations s3:ListAccessPoints s3:ListAccessPointsForObjectLambda s3:ListAllMyBuckets s3:ListBucketMultipartUploads s3:ListCallerAccessGrants s3:ListJobs s3:ListMultiRegionAccessPoints s3:ListStorageLensConfigurations s3:PutAccelerateConfiguration s3:PutAccessGrantsInstanceResourcePolicy s3:PutAccessPointConfigurationForObjectLambda s3:PutAccessPointPolicy s3:PutAccessPointPolicyForObjectLambda s3:PutAccountPublicAccessBlock s3:PutAnalyticsConfiguration s3:PutBucketAbac s3:PutBucketAcl s3:PutBucketCORS s3:PutBucketLogging s3:PutBucketNotification s3:PutBucketObjectLockConfiguration s3:PutBucketOwnershipControls s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutBucketRequestPayment s3:PutBucketVersioning s3:PutBucketWebsite s3:PutEncryptionConfiguration s3:PutIntelligentTieringConfiguration s3:PutInventoryConfiguration s3:PutLifecycleConfiguration s3:PutMetricsConfiguration s3:PutMultiRegionAccessPointPolicy s3:PutReplicationConfiguration s3:PutStorageLensConfiguration s3:SubmitMultiRegionAccessPointRoutes s3:UpdateAccessGrantsLocation s3:UpdateBucketMetadataJournalTableConfiguration s3:UpdateJobPriority s3:UpdateJobStatus  | 
| s3-outposts |  s3-outposts:CreateEndpoint s3-outposts:DeleteEndpoint s3-outposts:ListEndpoints s3-outposts:ListOutpostsWithS3 s3-outposts:ListSharedEndpoints  | 
| sagemaker-geospatial |  sagemaker-geospatial:DeleteEarthObservationJob sagemaker-geospatial:DeleteVectorEnrichmentJob sagemaker-geospatial:ExportEarthObservationJob sagemaker-geospatial:ExportVectorEnrichmentJob sagemaker-geospatial:GetEarthObservationJob sagemaker-geospatial:GetRasterDataCollection sagemaker-geospatial:GetTile sagemaker-geospatial:GetVectorEnrichmentJob sagemaker-geospatial:ListEarthObservationJobs sagemaker-geospatial:ListRasterDataCollections sagemaker-geospatial:ListVectorEnrichmentJobs sagemaker-geospatial:SearchRasterDataCollection sagemaker-geospatial:StartEarthObservationJob sagemaker-geospatial:StartVectorEnrichmentJob sagemaker-geospatial:StopEarthObservationJob sagemaker-geospatial:StopVectorEnrichmentJob  | 
| savingsplans |  savingsplans:CreateSavingsPlan savingsplans:DeleteQueuedSavingsPlan savingsplans:DescribeSavingsPlanRates savingsplans:DescribeSavingsPlans savingsplans:DescribeSavingsPlansOfferingRates savingsplans:DescribeSavingsPlansOfferings savingsplans:ReturnSavingsPlan  | 
| schemas |  schemas:CreateDiscoverer schemas:CreateRegistry schemas:CreateSchema schemas:DeleteDiscoverer schemas:DeleteRegistry schemas:DeleteResourcePolicy schemas:DeleteSchema schemas:DeleteSchemaVersion schemas:DescribeCodeBinding schemas:DescribeDiscoverer schemas:DescribeRegistry schemas:DescribeSchema schemas:ExportSchema schemas:GetCodeBindingSource schemas:GetDiscoveredSchema schemas:GetResourcePolicy schemas:ListDiscoverers schemas:ListRegistries schemas:ListSchemaVersions schemas:ListSchemas schemas:PutCodeBinding schemas:PutResourcePolicy schemas:SearchSchemas schemas:StartDiscoverer schemas:StopDiscoverer schemas:UpdateDiscoverer schemas:UpdateRegistry schemas:UpdateSchema  | 
| sdb |  sdb:CreateDomain sdb:DeleteDomain sdb:DomainMetadata sdb:ListDomains  | 
| secretsmanager |  secretsmanager:CancelRotateSecret secretsmanager:CreateSecret secretsmanager:DeleteResourcePolicy secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:GetResourcePolicy secretsmanager:GetSecretValue secretsmanager:ListSecretVersionIds secretsmanager:ListSecrets secretsmanager:PutResourcePolicy secretsmanager:PutSecretValue secretsmanager:RemoveRegionsFromReplication secretsmanager:ReplicateSecretToRegions secretsmanager:RestoreSecret secretsmanager:RotateSecret secretsmanager:StopReplicationToReplica secretsmanager:UpdateSecret secretsmanager:ValidateResourcePolicy  | 
| securityhub |  securityhub:AcceptAdministratorInvitation securityhub:AcceptInvitation securityhub:BatchDeleteAutomationRules securityhub:BatchDisableStandards securityhub:BatchEnableStandards securityhub:BatchGetAutomationRules securityhub:BatchGetConfigurationPolicyAssociations securityhub:BatchGetSecurityControls securityhub:BatchGetStandardsControlAssociations securityhub:BatchImportFindings securityhub:BatchUpdateAutomationRules securityhub:BatchUpdateFindings securityhub:BatchUpdateStandardsControlAssociations securityhub:ConnectorRegistrationsV2 securityhub:CreateActionTarget securityhub:CreateAggregatorV2 securityhub:CreateAutomationRule securityhub:CreateAutomationRuleV2 securityhub:CreateConfigurationPolicy securityhub:CreateConnectorV2 securityhub:CreateFindingAggregator securityhub:CreateInsight securityhub:CreateMembers securityhub:CreateTicketV2 securityhub:DeclineInvitations securityhub:DeleteActionTarget securityhub:DeleteAggregatorV2 securityhub:DeleteAutomationRuleV2 securityhub:DeleteConfigurationPolicy securityhub:DeleteConnectorV2 securityhub:DeleteFindingAggregator securityhub:DeleteInsight securityhub:DeleteInvitations securityhub:DeleteMembers securityhub:DescribeActionTargets securityhub:DescribeHub securityhub:DescribeOrganizationConfiguration securityhub:DescribeProducts securityhub:DescribeSecurityHubV2 securityhub:DescribeStandards securityhub:DisableImportFindingsForProduct securityhub:DisableOrganizationAdminAccount securityhub:DisableSecurityHub securityhub:DisableSecurityHubV2 securityhub:DisassociateFromAdministratorAccount securityhub:DisassociateFromMasterAccount securityhub:DisassociateMembers securityhub:EnableImportFindingsForProduct securityhub:EnableOrganizationAdminAccount securityhub:EnableSecurityHub securityhub:GetAdministratorAccount securityhub:GetAggregatorV2 securityhub:GetAutomationRuleV2 securityhub:GetConfigurationPolicy securityhub:GetConfigurationPolicyAssociation securityhub:GetConnectorV2 securityhub:GetEnabledStandards securityhub:GetFindingAggregator securityhub:GetFindingHistory securityhub:GetFindings securityhub:GetInsightResults securityhub:GetInsights securityhub:GetInvitationsCount securityhub:GetMasterAccount securityhub:GetMembers securityhub:GetSecurityControlDefinition securityhub:InviteMembers securityhub:ListAggregatorsV2 securityhub:ListAutomationRules securityhub:ListAutomationRulesV2 securityhub:ListConfigurationPolicies securityhub:ListConfigurationPolicyAssociations securityhub:ListConnectorsV2 securityhub:ListEnabledProductsForImport securityhub:ListFindingAggregators securityhub:ListInvitations securityhub:ListMembers securityhub:ListOrganizationAdminAccounts securityhub:ListSecurityControlDefinitions securityhub:ListStandardsControlAssociations securityhub:StartConfigurationPolicyAssociation securityhub:StartConfigurationPolicyDisassociation securityhub:UpdateActionTarget securityhub:UpdateAggregatorV2 securityhub:UpdateAutomationRuleV2 securityhub:UpdateConfigurationPolicy securityhub:UpdateConnectorV2 securityhub:UpdateFindingAggregator securityhub:UpdateFindings securityhub:UpdateInsight securityhub:UpdateOrganizationConfiguration securityhub:UpdateSecurityControl securityhub:UpdateSecurityHubConfiguration  | 
| securitylake |  securitylake:CreateAwsLogSource securitylake:CreateCustomLogSource securitylake:CreateDataLakeExceptionSubscription securitylake:CreateDataLakeOrganizationConfiguration securitylake:CreateSubscriber securitylake:CreateSubscriberNotification securitylake:DeleteAwsLogSource securitylake:DeleteCustomLogSource securitylake:DeleteDataLakeExceptionSubscription securitylake:DeleteDataLakeOrganizationConfiguration securitylake:DeleteSubscriber securitylake:DeleteSubscriberNotification securitylake:DeregisterDataLakeDelegatedAdministrator securitylake:GetDataLakeExceptionSubscription securitylake:GetDataLakeOrganizationConfiguration securitylake:GetDataLakeSources securitylake:GetSubscriber securitylake:ListDataLakes securitylake:ListLogSources securitylake:ListSubscribers securitylake:RegisterDataLakeDelegatedAdministrator securitylake:UpdateDataLakeExceptionSubscription securitylake:UpdateSubscriber securitylake:UpdateSubscriberNotification  | 
| serverlessrepo |  serverlessrepo:CreateApplication serverlessrepo:CreateApplicationVersion serverlessrepo:CreateCloudFormationChangeSet serverlessrepo:CreateCloudFormationTemplate serverlessrepo:DeleteApplication serverlessrepo:GetApplication serverlessrepo:GetApplicationPolicy serverlessrepo:GetCloudFormationTemplate serverlessrepo:ListApplicationDependencies serverlessrepo:ListApplicationVersions serverlessrepo:ListApplications serverlessrepo:PutApplicationPolicy serverlessrepo:UnshareApplication serverlessrepo:UpdateApplication  | 
| servicecatalog |  servicecatalog:AcceptPortfolioShare servicecatalog:AssociateBudgetWithResource servicecatalog:AssociatePrincipalWithPortfolio servicecatalog:AssociateProductWithPortfolio servicecatalog:AssociateServiceActionWithProvisioningArtifact servicecatalog:BatchAssociateServiceActionWithProvisioningArtifact servicecatalog:BatchDisassociateServiceActionFromProvisioningArtifact servicecatalog:CopyProduct servicecatalog:CreateAttributeGroup servicecatalog:CreateConstraint servicecatalog:CreatePortfolio servicecatalog:CreatePortfolioShare servicecatalog:CreateProduct servicecatalog:CreateProvisionedProductPlan servicecatalog:CreateProvisioningArtifact servicecatalog:CreateServiceAction servicecatalog:DeleteAttributeGroup servicecatalog:DeleteConstraint servicecatalog:DeletePortfolio servicecatalog:DeletePortfolioShare servicecatalog:DeleteProduct servicecatalog:DeleteProvisionedProductPlan servicecatalog:DeleteProvisioningArtifact servicecatalog:DeleteServiceAction servicecatalog:DescribeConstraint servicecatalog:DescribeCopyProductStatus servicecatalog:DescribePortfolio servicecatalog:DescribePortfolioShareStatus servicecatalog:DescribePortfolioShares servicecatalog:DescribeProduct servicecatalog:DescribeProductAsAdmin servicecatalog:DescribeProductView servicecatalog:DescribeProvisionedProduct servicecatalog:DescribeProvisionedProductPlan servicecatalog:DescribeProvisioningArtifact servicecatalog:DescribeProvisioningParameters servicecatalog:DescribeRecord servicecatalog:DescribeServiceAction servicecatalog:DescribeServiceActionExecutionParameters servicecatalog:DisableAWSOrganizationsAccess servicecatalog:DisassociateBudgetFromResource servicecatalog:DisassociatePrincipalFromPortfolio servicecatalog:DisassociateProductFromPortfolio servicecatalog:DisassociateServiceActionFromProvisioningArtifact servicecatalog:EnableAWSOrganizationsAccess servicecatalog:ExecuteProvisionedProductPlan servicecatalog:ExecuteProvisionedProductServiceAction servicecatalog:GetAWSOrganizationsAccessStatus servicecatalog:GetProvisionedProductOutputs servicecatalog:ImportAsProvisionedProduct servicecatalog:ListAcceptedPortfolioShares servicecatalog:ListAttributeGroups servicecatalog:ListBudgetsForResource servicecatalog:ListConstraintsForPortfolio servicecatalog:ListLaunchPaths servicecatalog:ListOrganizationPortfolioAccess servicecatalog:ListPortfolioAccess servicecatalog:ListPortfolios servicecatalog:ListPortfoliosForProduct servicecatalog:ListPrincipalsForPortfolio servicecatalog:ListProvisionedProductPlans servicecatalog:ListProvisioningArtifacts servicecatalog:ListProvisioningArtifactsForServiceAction servicecatalog:ListRecordHistory servicecatalog:ListServiceActions servicecatalog:ListServiceActionsForProvisioningArtifact servicecatalog:ListStackInstancesForProvisionedProduct servicecatalog:NotifyProvisionProductEngineWorkflowResult servicecatalog:NotifyTerminateProvisionedProductEngineWorkflowResult servicecatalog:NotifyUpdateProvisionedProductEngineWorkflowResult servicecatalog:ProvisionProduct servicecatalog:RejectPortfolioShare servicecatalog:ScanProvisionedProducts servicecatalog:SearchProducts servicecatalog:SearchProductsAsAdmin servicecatalog:SearchProvisionedProducts servicecatalog:TerminateProvisionedProduct servicecatalog:UpdateConstraint servicecatalog:UpdatePortfolio servicecatalog:UpdatePortfolioShare servicecatalog:UpdateProduct servicecatalog:UpdateProvisionedProduct servicecatalog:UpdateProvisionedProductProperties servicecatalog:UpdateProvisioningArtifact servicecatalog:UpdateServiceAction  | 
| servicediscovery |  servicediscovery:CreateHttpNamespace servicediscovery:CreatePrivateDnsNamespace servicediscovery:CreatePublicDnsNamespace servicediscovery:CreateService servicediscovery:DeleteNamespace servicediscovery:DeleteService servicediscovery:DeleteServiceAttributes servicediscovery:DeregisterInstance servicediscovery:GetInstance servicediscovery:GetInstancesHealthStatus servicediscovery:GetNamespace servicediscovery:GetOperation servicediscovery:GetService servicediscovery:ListInstances servicediscovery:ListNamespaces servicediscovery:ListOperations servicediscovery:ListServices servicediscovery:RegisterInstance servicediscovery:UpdateHttpNamespace servicediscovery:UpdateInstanceCustomHealthStatus servicediscovery:UpdatePrivateDnsNamespace servicediscovery:UpdatePublicDnsNamespace servicediscovery:UpdateService servicediscovery:UpdateServiceAttributes  | 
| servicequotas |  servicequotas:AssociateServiceQuotaTemplate servicequotas:CreateSupportCase servicequotas:DeleteServiceQuotaIncreaseRequestFromTemplate servicequotas:DisassociateServiceQuotaTemplate servicequotas:GetAWSDefaultServiceQuota servicequotas:GetAssociationForServiceQuotaTemplate servicequotas:GetAutoManagementConfiguration servicequotas:GetQuotaUtilizationReport servicequotas:GetRequestedServiceQuotaChange servicequotas:GetServiceQuota servicequotas:GetServiceQuotaIncreaseRequestFromTemplate servicequotas:ListAWSDefaultServiceQuotas servicequotas:ListRequestedServiceQuotaChangeHistory servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota servicequotas:ListServiceQuotaIncreaseRequestsInTemplate servicequotas:ListServiceQuotas servicequotas:ListServices servicequotas:PutServiceQuotaIncreaseRequestIntoTemplate servicequotas:RequestServiceQuotaIncrease servicequotas:StartAutoManagement servicequotas:StartQuotaUtilizationReport servicequotas:StopAutoManagement servicequotas:UpdateAutoManagement  | 
| ses |  ses:BatchGetMetricData ses:CloneReceiptRuleSet ses:CreateAddonInstance ses:CreateAddonSubscription ses:CreateAddressList ses:CreateAddressListImportJob ses:CreateArchive ses:CreateConfigurationSet ses:CreateConfigurationSetEventDestination ses:CreateConfigurationSetTrackingOptions ses:CreateContact ses:CreateContactList ses:CreateCustomVerificationEmailTemplate ses:CreateDedicatedIpPool ses:CreateDeliverabilityTestReport ses:CreateEmailIdentity ses:CreateEmailIdentityPolicy ses:CreateEmailTemplate ses:CreateImportJob ses:CreateIngressPoint ses:CreateMultiRegionEndpoint ses:CreateReceiptFilter ses:CreateReceiptRule ses:CreateReceiptRuleSet ses:CreateRelay ses:CreateRuleSet ses:CreateTemplate ses:CreateTenant ses:CreateTenantResourceAssociation ses:CreateTrafficPolicy ses:DeleteAddonInstance ses:DeleteAddonSubscription ses:DeleteAddressList ses:DeleteArchive ses:DeleteConfigurationSet ses:DeleteConfigurationSetEventDestination ses:DeleteConfigurationSetTrackingOptions ses:DeleteContact ses:DeleteContactList ses:DeleteCustomVerificationEmailTemplate ses:DeleteDedicatedIpPool ses:DeleteEmailIdentity ses:DeleteEmailIdentityPolicy ses:DeleteEmailTemplate ses:DeleteIdentity ses:DeleteIdentityPolicy ses:DeleteIngressPoint ses:DeleteMultiRegionEndpoint ses:DeleteReceiptFilter ses:DeleteReceiptRule ses:DeleteReceiptRuleSet ses:DeleteRelay ses:DeleteRuleSet ses:DeleteSuppressedDestination ses:DeleteTemplate ses:DeleteTenant ses:DeleteTenantResourceAssociation ses:DeleteTrafficPolicy ses:DeleteVerifiedEmailAddress ses:DeregisterMemberFromAddressList ses:DescribeActiveReceiptRuleSet ses:DescribeConfigurationSet ses:DescribeReceiptRule ses:DescribeReceiptRuleSet ses:GetAccount ses:GetAccountSendingEnabled ses:GetAddonInstance ses:GetAddonSubscription ses:GetAddressList ses:GetArchive ses:GetArchiveExport ses:GetArchiveMessage ses:GetArchiveMessageContent ses:GetArchiveSearch ses:GetArchiveSearchResults ses:GetBlacklistReports ses:GetConfigurationSet ses:GetConfigurationSetEventDestinations ses:GetContact ses:GetContactList ses:GetCustomVerificationEmailTemplate ses:GetDedicatedIp ses:GetDedicatedIpPool ses:GetDedicatedIps ses:GetDeliverabilityDashboardOptions ses:GetDeliverabilityTestReport ses:GetDomainDeliverabilityCampaign ses:GetDomainStatisticsReport ses:GetEmailAddressInsights ses:GetEmailIdentity ses:GetEmailIdentityPolicies ses:GetEmailTemplate ses:GetIdentityDkimAttributes ses:GetIdentityMailFromDomainAttributes ses:GetIdentityNotificationAttributes ses:GetIdentityPolicies ses:GetIdentityVerificationAttributes ses:GetImportJob ses:GetIngressPoint ses:GetMemberOfAddressList ses:GetMessageInsights ses:GetMultiRegionEndpoint ses:GetRelay ses:GetRuleSet ses:GetSendQuota ses:GetSendStatistics ses:GetSuppressedDestination ses:GetTemplate ses:GetTenant ses:GetTrafficPolicy ses:ListAddonInstances ses:ListAddonSubscriptions ses:ListAddressListImportJobs ses:ListAddressLists ses:ListArchiveExports ses:ListArchiveSearches ses:ListArchives ses:ListConfigurationSets ses:ListContactLists ses:ListContacts ses:ListCustomVerificationEmailTemplates ses:ListDedicatedIpPools ses:ListDeliverabilityTestReports ses:ListDomainDeliverabilityCampaigns ses:ListEmailIdentities ses:ListEmailTemplates ses:ListExportJobs ses:ListIdentities ses:ListIdentityPolicies ses:ListImportJobs ses:ListIngressPoints ses:ListMembersOfAddressList ses:ListMultiRegionEndpoints ses:ListReceiptFilters ses:ListReceiptRuleSets ses:ListRecommendations ses:ListRelays ses:ListReputationEntities ses:ListResourceTenants ses:ListRuleSets ses:ListSuppressedDestinations ses:ListTemplates ses:ListTenantResources ses:ListTenants ses:ListTrafficPolicies ses:ListVerifiedEmailAddresses ses:PutAccountDedicatedIpWarmupAttributes ses:PutAccountDetails ses:PutAccountSendingAttributes ses:PutAccountSuppressionAttributes ses:PutAccountVdmAttributes ses:PutConfigurationSetArchivingOptions ses:PutConfigurationSetDeliveryOptions ses:PutConfigurationSetReputationOptions ses:PutConfigurationSetSendingOptions ses:PutConfigurationSetSuppressionOptions ses:PutConfigurationSetTrackingOptions ses:PutConfigurationSetVdmOptions ses:PutDedicatedIpInPool ses:PutDedicatedIpPoolScalingAttributes ses:PutDedicatedIpWarmupAttributes ses:PutDeliverabilityDashboardOption ses:PutEmailIdentityConfigurationSetAttributes ses:PutEmailIdentityDkimAttributes ses:PutEmailIdentityDkimSigningAttributes ses:PutEmailIdentityFeedbackAttributes ses:PutEmailIdentityMailFromAttributes ses:PutIdentityPolicy ses:PutSuppressedDestination ses:RegisterMemberToAddressList ses:ReorderReceiptRuleSet ses:SendBounce ses:SendCustomVerificationEmail ses:SetActiveReceiptRuleSet ses:SetIdentityDkimEnabled ses:SetIdentityFeedbackForwardingEnabled ses:SetIdentityHeadersInNotificationsEnabled ses:SetIdentityMailFromDomain ses:SetIdentityNotificationTopic ses:SetReceiptRulePosition ses:StartArchiveExport ses:StartArchiveSearch ses:StopArchiveExport ses:StopArchiveSearch ses:TestRenderEmailTemplate ses:TestRenderTemplate ses:UpdateAccountSendingEnabled ses:UpdateArchive ses:UpdateConfigurationSetEventDestination ses:UpdateConfigurationSetReputationMetricsEnabled ses:UpdateConfigurationSetSendingEnabled ses:UpdateConfigurationSetTrackingOptions ses:UpdateContact ses:UpdateContactList ses:UpdateCustomVerificationEmailTemplate ses:UpdateEmailIdentityPolicy ses:UpdateEmailTemplate ses:UpdateIngressPoint ses:UpdateReceiptRule ses:UpdateRelay ses:UpdateRuleSet ses:UpdateTemplate ses:UpdateTrafficPolicy ses:VerifyDomainDkim ses:VerifyDomainIdentity ses:VerifyEmailAddress ses:VerifyEmailIdentity  | 
| shield |  shield:AssociateDRTLogBucket shield:AssociateHealthCheck shield:AssociateProactiveEngagementDetails shield:CreateProtection shield:CreateProtectionGroup shield:CreateSubscription shield:DeleteProtection shield:DeleteProtectionGroup shield:DeleteSubscription shield:DescribeAttack shield:DescribeAttackStatistics shield:DescribeDRTAccess shield:DescribeEmergencyContactSettings shield:DescribeProtection shield:DescribeProtectionGroup shield:DescribeSubscription shield:DisableApplicationLayerAutomaticResponse shield:DisableProactiveEngagement shield:DisassociateDRTLogBucket shield:DisassociateDRTRole shield:DisassociateHealthCheck shield:EnableApplicationLayerAutomaticResponse shield:EnableProactiveEngagement shield:GetSubscriptionState shield:ListAttacks shield:ListProtectionGroups shield:ListProtections shield:ListResourcesInProtectionGroup shield:UpdateApplicationLayerAutomaticResponse shield:UpdateEmergencyContactSettings shield:UpdateProtectionGroup shield:UpdateSubscription  | 
| signer |  signer:AddProfilePermission signer:CancelSigningProfile signer:DescribeSigningJob signer:GetSigningPlatform signer:GetSigningProfile signer:ListProfilePermissions signer:ListSigningJobs signer:ListSigningPlatforms signer:ListSigningProfiles signer:PutSigningProfile signer:RemoveProfilePermission signer:RevokeSignature signer:RevokeSigningProfile signer:SignPayload signer:StartSigningJob  | 
| simspaceweaver |  simspaceweaver:CreateSnapshot simspaceweaver:DeleteApp simspaceweaver:DeleteSimulation simspaceweaver:DescribeApp simspaceweaver:DescribeSimulation simspaceweaver:ListApps simspaceweaver:ListSimulations simspaceweaver:StartApp simspaceweaver:StartClock simspaceweaver:StartSimulation simspaceweaver:StopApp simspaceweaver:StopClock simspaceweaver:StopSimulation  | 
| sms |  sms:CreateApp sms:CreateReplicationJob sms:DeleteApp sms:DeleteAppLaunchConfiguration sms:DeleteAppReplicationConfiguration sms:DeleteAppValidationConfiguration sms:DeleteReplicationJob sms:DeleteServerCatalog sms:DisassociateConnector sms:GenerateChangeSet sms:GenerateTemplate sms:GetApp sms:GetAppLaunchConfiguration sms:GetAppReplicationConfiguration sms:GetAppValidationConfiguration sms:GetAppValidationOutput sms:GetConnectors sms:GetReplicationJobs sms:GetReplicationRuns sms:GetServers sms:ImportAppCatalog sms:ImportServerCatalog sms:LaunchApp sms:ListApps sms:NotifyAppValidationOutput sms:PutAppLaunchConfiguration sms:PutAppReplicationConfiguration sms:PutAppValidationConfiguration sms:StartAppReplication sms:StartOnDemandAppReplication sms:StartOnDemandReplicationRun sms:StopAppReplication sms:TerminateApp sms:UpdateApp sms:UpdateReplicationJob  | 
| sms-voice |  sms-voice:AssociateProtectConfiguration sms-voice:CreateConfigurationSet sms-voice:CreateConfigurationSetEventDestination sms-voice:CreateEventDestination sms-voice:CreateOptOutList sms-voice:CreatePool sms-voice:CreateProtectConfiguration sms-voice:CreateRegistration sms-voice:CreateRegistrationAssociation sms-voice:CreateRegistrationAttachment sms-voice:CreateRegistrationVersion sms-voice:CreateVerifiedDestinationNumber sms-voice:DeleteAccountDefaultProtectConfiguration sms-voice:DeleteConfigurationSet sms-voice:DeleteConfigurationSetEventDestination sms-voice:DeleteDefaultMessageType sms-voice:DeleteDefaultSenderId sms-voice:DeleteEventDestination sms-voice:DeleteKeyword sms-voice:DeleteMediaMessageSpendLimitOverride sms-voice:DeleteOptOutList sms-voice:DeleteOptedOutNumber sms-voice:DeletePool sms-voice:DeleteProtectConfiguration sms-voice:DeleteProtectConfigurationRuleSetNumberOverride sms-voice:DeleteRegistration sms-voice:DeleteRegistrationAttachment sms-voice:DeleteResourcePolicy sms-voice:DeleteTextMessageSpendLimitOverride sms-voice:DeleteVerifiedDestinationNumber sms-voice:DeleteVoiceMessageSpendLimitOverride sms-voice:DescribeAccountAttributes sms-voice:DescribeAccountLimits sms-voice:DescribeConfigurationSets sms-voice:DescribeKeywords sms-voice:DescribeOptOutLists sms-voice:DescribeOptedOutNumbers sms-voice:DescribePhoneNumbers sms-voice:DescribePools sms-voice:DescribeProtectConfigurations sms-voice:DescribeRegistrationAttachments sms-voice:DescribeRegistrationFieldDefinitions sms-voice:DescribeRegistrationFieldValues sms-voice:DescribeRegistrationSectionDefinitions sms-voice:DescribeRegistrationTypeDefinitions sms-voice:DescribeRegistrationVersions sms-voice:DescribeRegistrations sms-voice:DescribeSenderIds sms-voice:DescribeSpendLimits sms-voice:DescribeVerifiedDestinationNumbers sms-voice:DisassociateOriginationIdentity sms-voice:DisassociateProtectConfiguration sms-voice:DiscardRegistrationVersion sms-voice:GetConfigurationSetEventDestinations sms-voice:GetProtectConfigurationCountryRuleSet sms-voice:GetResourcePolicy sms-voice:ListConfigurationSets sms-voice:ListPoolOriginationIdentities sms-voice:ListProtectConfigurationRuleSetNumberOverrides sms-voice:ListRegistrationAssociations sms-voice:PutKeyword sms-voice:PutOptedOutNumber sms-voice:PutProtectConfigurationRuleSetNumberOverride sms-voice:PutResourcePolicy sms-voice:ReleasePhoneNumber sms-voice:ReleaseSenderId sms-voice:RequestPhoneNumber sms-voice:RequestSenderId sms-voice:SendDestinationNumberVerificationCode sms-voice:SetAccountDefaultProtectConfiguration sms-voice:SetDefaultMessageFeedbackEnabled sms-voice:SetDefaultMessageType sms-voice:SetDefaultSenderId sms-voice:SetMediaMessageSpendLimitOverride sms-voice:SetTextMessageSpendLimitOverride sms-voice:SetVoiceMessageSpendLimitOverride sms-voice:SubmitRegistrationVersion sms-voice:UpdateConfigurationSetEventDestination sms-voice:UpdateEventDestination sms-voice:UpdatePhoneNumber sms-voice:UpdatePool sms-voice:UpdateProtectConfiguration sms-voice:UpdateProtectConfigurationCountryRuleSet sms-voice:UpdateSenderId  | 
| snowball |  snowball:CancelCluster snowball:CancelJob snowball:CreateAddress snowball:CreateCluster snowball:CreateJob snowball:CreateLongTermPricing snowball:CreateReturnShippingLabel snowball:DescribeAddress snowball:DescribeAddresses snowball:DescribeCluster snowball:DescribeJob snowball:DescribeReturnShippingLabel snowball:GetJobManifest snowball:GetJobUnlockCode snowball:GetSnowballUsage snowball:GetSoftwareUpdates snowball:ListClusterJobs snowball:ListClusters snowball:ListCompatibleImages snowball:ListJobs snowball:ListLongTermPricing snowball:ListPickupLocations snowball:ListServiceVersions snowball:UpdateCluster snowball:UpdateJob snowball:UpdateJobShipmentState snowball:UpdateLongTermPricing  | 
| sqs |  sqs:AddPermission sqs:CancelMessageMoveTask sqs:CreateQueue sqs:DeleteQueue sqs:PurgeQueue sqs:RemovePermission sqs:SetQueueAttributes  | 
| ssm |  ssm:AssociateOpsItemRelatedItem ssm:CancelCommand ssm:CancelMaintenanceWindowExecution ssm:CreateActivation ssm:CreateAssociation ssm:CreateAssociationBatch ssm:CreateDocument ssm:CreateMaintenanceWindow ssm:CreateOpsItem ssm:CreateOpsMetadata ssm:CreatePatchBaseline ssm:CreateResourceDataSync ssm:DeleteActivation ssm:DeleteAssociation ssm:DeleteDocument ssm:DeleteInventory ssm:DeleteMaintenanceWindow ssm:DeleteOpsItem ssm:DeleteOpsMetadata ssm:DeleteParameter ssm:DeleteParameters ssm:DeletePatchBaseline ssm:DeleteResourceDataSync ssm:DeleteResourcePolicy ssm:DeregisterManagedInstance ssm:DeregisterPatchBaselineForPatchGroup ssm:DeregisterTargetFromMaintenanceWindow ssm:DeregisterTaskFromMaintenanceWindow ssm:DescribeActivations ssm:DescribeAssociation ssm:DescribeAssociationExecutionTargets ssm:DescribeAssociationExecutions ssm:DescribeAutomationExecutions ssm:DescribeAutomationStepExecutions ssm:DescribeAvailablePatches ssm:DescribeDocument ssm:DescribeDocumentParameters ssm:DescribeDocumentPermission ssm:DescribeEffectiveInstanceAssociations ssm:DescribeEffectivePatchesForPatchBaseline ssm:DescribeInstanceAssociationsStatus ssm:DescribeInstanceInformation ssm:DescribeInstancePatchStates ssm:DescribeInstancePatchStatesForPatchGroup ssm:DescribeInstancePatches ssm:DescribeInstanceProperties ssm:DescribeInventoryDeletions ssm:DescribeMaintenanceWindowExecutionTaskInvocations ssm:DescribeMaintenanceWindowExecutionTasks ssm:DescribeMaintenanceWindowExecutions ssm:DescribeMaintenanceWindowSchedule ssm:DescribeMaintenanceWindowTargets ssm:DescribeMaintenanceWindowTasks ssm:DescribeMaintenanceWindows ssm:DescribeMaintenanceWindowsForTarget ssm:DescribeOpsItems ssm:DescribeParameters ssm:DescribePatchBaselines ssm:DescribePatchGroupState ssm:DescribePatchGroups ssm:DescribePatchProperties ssm:DescribeSessions ssm:DisassociateOpsItemRelatedItem ssm:GetAccessToken ssm:GetAutomationExecution ssm:GetCalendarState ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:GetDefaultPatchBaseline ssm:GetDeployablePatchSnapshotForInstance ssm:GetDocument ssm:GetExecutionPreview ssm:GetInventory ssm:GetInventorySchema ssm:GetMaintenanceWindow ssm:GetMaintenanceWindowExecution ssm:GetMaintenanceWindowExecutionTask ssm:GetMaintenanceWindowExecutionTaskInvocation ssm:GetMaintenanceWindowTask ssm:GetOpsItem ssm:GetOpsMetadata ssm:GetOpsSummary ssm:GetParameter ssm:GetParameterHistory ssm:GetParameters ssm:GetParametersByPath ssm:GetPatchBaseline ssm:GetPatchBaselineForPatchGroup ssm:GetResourcePolicies ssm:GetServiceSetting ssm:LabelParameterVersion ssm:ListAssociationVersions ssm:ListAssociations ssm:ListCommandInvocations ssm:ListCommands ssm:ListComplianceItems ssm:ListComplianceSummaries ssm:ListDocumentMetadataHistory ssm:ListDocumentVersions ssm:ListDocuments ssm:ListInstanceAssociations ssm:ListInventoryEntries ssm:ListNodes ssm:ListNodesSummary ssm:ListOpsItemEvents ssm:ListOpsItemRelatedItems ssm:ListOpsMetadata ssm:ListResourceComplianceSummaries ssm:ListResourceDataSync ssm:ModifyDocumentPermission ssm:PutComplianceItems ssm:PutInventory ssm:PutParameter ssm:PutResourcePolicy ssm:RegisterDefaultPatchBaseline ssm:RegisterManagedInstance ssm:RegisterPatchBaselineForPatchGroup ssm:RegisterTargetWithMaintenanceWindow ssm:RegisterTaskWithMaintenanceWindow ssm:ResetServiceSetting ssm:ResumeSession ssm:SendAutomationSignal ssm:SendCommand ssm:StartAssociationsOnce ssm:StartAutomationExecution ssm:StartChangeRequestExecution ssm:StartSession ssm:StopAutomationExecution ssm:TerminateSession ssm:UnlabelParameterVersion ssm:UpdateAssociation ssm:UpdateAssociationStatus ssm:UpdateDocument ssm:UpdateDocumentDefaultVersion ssm:UpdateDocumentMetadata ssm:UpdateInstanceInformation ssm:UpdateMaintenanceWindow ssm:UpdateMaintenanceWindowTarget ssm:UpdateMaintenanceWindowTask ssm:UpdateManagedInstanceRole ssm:UpdateOpsItem ssm:UpdateOpsMetadata ssm:UpdatePatchBaseline ssm:UpdateResourceDataSync ssm:UpdateServiceSetting  | 
| ssm-incidents |  ssm-incidents:BatchGetIncidentFindings ssm-incidents:CreateReplicationSet ssm-incidents:CreateResponsePlan ssm-incidents:CreateTimelineEvent ssm-incidents:DeleteIncidentRecord ssm-incidents:DeleteReplicationSet ssm-incidents:DeleteResourcePolicy ssm-incidents:DeleteResponsePlan ssm-incidents:DeleteTimelineEvent ssm-incidents:GetIncidentRecord ssm-incidents:GetReplicationSet ssm-incidents:GetResourcePolicies ssm-incidents:GetResponsePlan ssm-incidents:GetTimelineEvent ssm-incidents:ListIncidentFindings ssm-incidents:ListIncidentRecords ssm-incidents:ListRelatedItems ssm-incidents:ListReplicationSets ssm-incidents:ListResponsePlans ssm-incidents:ListTimelineEvents ssm-incidents:PutResourcePolicy ssm-incidents:StartIncident ssm-incidents:UpdateDeletionProtection ssm-incidents:UpdateIncidentRecord ssm-incidents:UpdateRelatedItems ssm-incidents:UpdateReplicationSet ssm-incidents:UpdateResponsePlan ssm-incidents:UpdateTimelineEvent  | 
| ssm-sap |  ssm-sap:BackupDatabase ssm-sap:DeleteResourcePermission ssm-sap:DeregisterApplication ssm-sap:GetApplication ssm-sap:GetComponent ssm-sap:GetConfigurationCheckOperation ssm-sap:GetDatabase ssm-sap:GetOperation ssm-sap:GetResourcePermission ssm-sap:ListApplications ssm-sap:ListComponents ssm-sap:ListConfigurationCheckDefinitions ssm-sap:ListConfigurationCheckOperations ssm-sap:ListDatabases ssm-sap:ListOperationEvents ssm-sap:ListOperations ssm-sap:ListSubCheckResults ssm-sap:ListSubCheckRuleResults ssm-sap:PutResourcePermission ssm-sap:RegisterApplication ssm-sap:RestoreDatabase ssm-sap:StartApplication ssm-sap:StartApplicationRefresh ssm-sap:StartConfigurationChecks ssm-sap:StopApplication ssm-sap:UpdateApplicationSettings ssm-sap:UpdateHANABackupSettings  | 
| estados |  states:CreateActivity states:CreateStateMachine states:CreateStateMachineAlias states:DeleteActivity states:DeleteStateMachine states:DeleteStateMachineAlias states:DeleteStateMachineVersion states:DescribeActivity states:DescribeExecution states:DescribeMapRun states:DescribeStateMachine states:DescribeStateMachineAlias states:DescribeStateMachineForExecution states:GetExecutionHistory states:ListActivities states:ListExecutions states:ListMapRuns states:ListStateMachineAliases states:ListStateMachineVersions states:ListStateMachines states:SendTaskFailure states:SendTaskHeartbeat states:SendTaskSuccess states:StartExecution states:StopExecution states:UpdateMapRun states:UpdateStateMachine states:UpdateStateMachineAlias states:ValidateStateMachineDefinition  | 
| sts |  sts:AssumeRole sts:AssumeRoleWithSAML sts:AssumeRoleWithWebIdentity sts:DecodeAuthorizationMessage sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetSessionToken sts:GetWebIdentityToken  | 
| swf |  swf:DeleteActivityType swf:DeleteWorkflowType swf:DeprecateActivityType swf:DeprecateDomain swf:DeprecateWorkflowType swf:DescribeActivityType swf:DescribeDomain swf:DescribeWorkflowType swf:ListActivityTypes swf:ListDomains swf:ListWorkflowTypes swf:RegisterActivityType swf:RegisterDomain swf:RegisterWorkflowType swf:UndeprecateActivityType swf:UndeprecateDomain swf:UndeprecateWorkflowType  | 
| synthetics |  synthetics:AssociateResource synthetics:CreateCanary synthetics:CreateGroup synthetics:DeleteCanary synthetics:DeleteGroup synthetics:DescribeCanaries synthetics:DescribeCanariesLastRun synthetics:DescribeRuntimeVersions synthetics:DisassociateResource synthetics:GetCanary synthetics:GetCanaryRuns synthetics:GetGroup synthetics:ListAssociatedGroups synthetics:ListGroupResources synthetics:ListGroups synthetics:StartCanary synthetics:StartCanaryDryRun synthetics:StopCanary synthetics:UpdateCanary  | 
| tag |  tag:DescribeReportCreation tag:GetComplianceSummary tag:GetResources tag:StartReportCreation  | 
| textract |  textract:AnalyzeDocument textract:AnalyzeExpense textract:AnalyzeID textract:CreateAdapter textract:CreateAdapterVersion textract:DeleteAdapter textract:DeleteAdapterVersion textract:DetectDocumentText textract:GetAdapter textract:GetAdapterVersion textract:GetDocumentAnalysis textract:GetDocumentTextDetection textract:GetExpenseAnalysis textract:GetLendingAnalysis textract:GetLendingAnalysisSummary textract:ListAdapterVersions textract:ListAdapters textract:StartDocumentAnalysis textract:StartDocumentTextDetection textract:StartExpenseAnalysis textract:StartLendingAnalysis textract:UpdateAdapter  | 
| timestream |  timestream:CancelQuery timestream:CreateDatabase timestream:CreateScheduledQuery timestream:CreateTable timestream:DeleteDatabase timestream:DeleteScheduledQuery timestream:DeleteTable timestream:DescribeAccountSettings timestream:DescribeDatabase timestream:DescribeScheduledQuery timestream:DescribeTable timestream:ExecuteScheduledQuery timestream:ListBatchLoadTasks timestream:ListDatabases timestream:ListScheduledQueries timestream:ListTables timestream:PrepareQuery timestream:UpdateAccountSettings timestream:UpdateDatabase timestream:UpdateScheduledQuery timestream:UpdateTable  | 
| tnb |  tnb:CancelSolNetworkOperation tnb:CreateSolFunctionPackage tnb:CreateSolNetworkInstance tnb:CreateSolNetworkPackage tnb:DeleteSolFunctionPackage tnb:DeleteSolNetworkInstance tnb:DeleteSolNetworkPackage tnb:GetSolFunctionInstance tnb:GetSolFunctionPackage tnb:GetSolFunctionPackageContent tnb:GetSolFunctionPackageDescriptor tnb:GetSolNetworkInstance tnb:GetSolNetworkOperation tnb:GetSolNetworkPackage tnb:GetSolNetworkPackageContent tnb:GetSolNetworkPackageDescriptor tnb:InstantiateSolNetworkInstance tnb:ListSolFunctionInstances tnb:ListSolFunctionPackages tnb:ListSolNetworkInstances tnb:ListSolNetworkOperations tnb:ListSolNetworkPackages tnb:PutSolFunctionPackageContent tnb:PutSolNetworkPackageContent tnb:TerminateSolNetworkInstance tnb:UpdateSolFunctionPackage tnb:UpdateSolNetworkInstance tnb:UpdateSolNetworkPackage tnb:ValidateSolFunctionPackageContent tnb:ValidateSolNetworkPackageContent  | 
| transcribe |  transcribe:CreateCallAnalyticsCategory transcribe:CreateLanguageModel transcribe:CreateMedicalVocabulary transcribe:CreateVocabulary transcribe:CreateVocabularyFilter transcribe:DeleteCallAnalyticsCategory transcribe:DeleteCallAnalyticsJob transcribe:DeleteLanguageModel transcribe:DeleteMedicalScribeJob transcribe:DeleteMedicalTranscriptionJob transcribe:DeleteMedicalVocabulary transcribe:DeleteTranscriptionJob transcribe:DeleteVocabulary transcribe:DeleteVocabularyFilter transcribe:DescribeLanguageModel transcribe:GetCallAnalyticsCategory transcribe:GetCallAnalyticsJob transcribe:GetMedicalScribeJob transcribe:GetMedicalTranscriptionJob transcribe:GetMedicalVocabulary transcribe:GetTranscriptionJob transcribe:GetVocabulary transcribe:GetVocabularyFilter transcribe:ListCallAnalyticsCategories transcribe:ListCallAnalyticsJobs transcribe:ListLanguageModels transcribe:ListMedicalScribeJobs transcribe:ListMedicalTranscriptionJobs transcribe:ListMedicalVocabularies transcribe:ListTranscriptionJobs transcribe:ListVocabularies transcribe:ListVocabularyFilters transcribe:StartCallAnalyticsJob transcribe:StartCallAnalyticsStreamTranscription transcribe:StartCallAnalyticsStreamTranscriptionWebSocket transcribe:StartMedicalScribeJob transcribe:StartMedicalStreamTranscription transcribe:StartMedicalStreamTranscriptionWebSocket transcribe:StartMedicalTranscriptionJob transcribe:StartStreamTranscription transcribe:StartStreamTranscriptionWebSocket transcribe:StartTranscriptionJob transcribe:UpdateCallAnalyticsCategory transcribe:UpdateMedicalVocabulary transcribe:UpdateVocabulary transcribe:UpdateVocabularyFilter  | 
| transferência |  transfer:CreateAccess transfer:CreateAgreement transfer:CreateConnector transfer:CreateProfile transfer:CreateServer transfer:CreateUser transfer:CreateWebApp transfer:CreateWorkflow transfer:DeleteAccess transfer:DeleteAgreement transfer:DeleteCertificate transfer:DeleteConnector transfer:DeleteHostKey transfer:DeleteProfile transfer:DeleteServer transfer:DeleteSshPublicKey transfer:DeleteUser transfer:DeleteWebApp transfer:DeleteWebAppCustomization transfer:DeleteWorkflow transfer:DescribeAccess transfer:DescribeAgreement transfer:DescribeCertificate transfer:DescribeConnector transfer:DescribeExecution transfer:DescribeHostKey transfer:DescribeProfile transfer:DescribeSecurityPolicy transfer:DescribeServer transfer:DescribeUser transfer:DescribeWebApp transfer:DescribeWebAppCustomization transfer:DescribeWorkflow transfer:ImportCertificate transfer:ImportHostKey transfer:ImportSshPublicKey transfer:ListAccesses transfer:ListCertificates transfer:ListConnectors transfer:ListExecutions transfer:ListFileTransferResults transfer:ListHostKeys transfer:ListProfiles transfer:ListSecurityPolicies transfer:ListServers transfer:ListUsers transfer:ListWebApps transfer:ListWorkflows transfer:SendWorkflowStepState transfer:StartDirectoryListing transfer:StartFileTransfer transfer:StartRemoteDelete transfer:StartRemoteMove transfer:StartServer transfer:StopServer transfer:TestConnection transfer:TestIdentityProvider transfer:UpdateAccess transfer:UpdateAgreement transfer:UpdateCertificate transfer:UpdateConnector transfer:UpdateHostKey transfer:UpdateProfile transfer:UpdateServer transfer:UpdateUser transfer:UpdateWebApp transfer:UpdateWebAppCustomization  | 
| translate |  translate:CreateParallelData translate:DeleteParallelData translate:DeleteTerminology translate:DescribeTextTranslationJob translate:GetParallelData translate:GetTerminology translate:ImportTerminology translate:ListLanguages translate:ListParallelData translate:ListTerminologies translate:ListTextTranslationJobs translate:StartTextTranslationJob translate:StopTextTranslationJob translate:TranslateDocument translate:TranslateText translate:UpdateParallelData  | 
| voiceid |  voiceid:AssociateFraudster voiceid:CreateDomain voiceid:CreateWatchlist voiceid:DeleteDomain voiceid:DeleteFraudster voiceid:DeleteSpeaker voiceid:DeleteWatchlist voiceid:DescribeDomain voiceid:DescribeFraudster voiceid:DescribeFraudsterRegistrationJob voiceid:DescribeSpeaker voiceid:DescribeSpeakerEnrollmentJob voiceid:DescribeWatchlist voiceid:DisassociateFraudster voiceid:EvaluateSession voiceid:ListDomains voiceid:ListFraudsterRegistrationJobs voiceid:ListFraudsters voiceid:ListSpeakerEnrollmentJobs voiceid:ListSpeakers voiceid:ListWatchlists voiceid:OptOutSpeaker voiceid:StartFraudsterRegistrationJob voiceid:StartSpeakerEnrollmentJob voiceid:UpdateDomain voiceid:UpdateWatchlist  | 
| vpc-lattice |  vpc-lattice:CreateAccessLogSubscription vpc-lattice:CreateListener vpc-lattice:CreateResourceConfiguration vpc-lattice:CreateResourceGateway vpc-lattice:CreateRule vpc-lattice:CreateService vpc-lattice:CreateServiceNetwork vpc-lattice:CreateServiceNetworkResourceAssociation vpc-lattice:CreateServiceNetworkServiceAssociation vpc-lattice:CreateServiceNetworkVpcAssociation vpc-lattice:CreateTargetGroup vpc-lattice:DeleteAccessLogSubscription vpc-lattice:DeleteAuthPolicy vpc-lattice:DeleteDomainVerification vpc-lattice:DeleteListener vpc-lattice:DeleteResourceConfiguration vpc-lattice:DeleteResourceEndpointAssociation vpc-lattice:DeleteResourceGateway vpc-lattice:DeleteResourcePolicy vpc-lattice:DeleteRule vpc-lattice:DeleteService vpc-lattice:DeleteServiceNetwork vpc-lattice:DeleteServiceNetworkResourceAssociation vpc-lattice:DeleteServiceNetworkServiceAssociation vpc-lattice:DeleteServiceNetworkVpcAssociation vpc-lattice:DeleteTargetGroup vpc-lattice:DeregisterTargets vpc-lattice:GetAccessLogSubscription vpc-lattice:GetAuthPolicy vpc-lattice:GetDomainVerification vpc-lattice:GetListener vpc-lattice:GetResourceConfiguration vpc-lattice:GetResourceGateway vpc-lattice:GetResourcePolicy vpc-lattice:GetRule vpc-lattice:GetService vpc-lattice:GetServiceNetwork vpc-lattice:GetServiceNetworkResourceAssociation vpc-lattice:GetServiceNetworkServiceAssociation vpc-lattice:GetServiceNetworkVpcAssociation vpc-lattice:GetTargetGroup vpc-lattice:ListAccessLogSubscriptions vpc-lattice:ListDomainVerifications vpc-lattice:ListListeners vpc-lattice:ListResourceConfigurations vpc-lattice:ListResourceEndpointAssociations vpc-lattice:ListResourceGateways vpc-lattice:ListRules vpc-lattice:ListServiceNetworkResourceAssociations vpc-lattice:ListServiceNetworkServiceAssociations vpc-lattice:ListServiceNetworkVpcAssociations vpc-lattice:ListServiceNetworkVpcEndpointAssociations vpc-lattice:ListServiceNetworks vpc-lattice:ListServices vpc-lattice:ListTargetGroups vpc-lattice:ListTargets vpc-lattice:PutAuthPolicy vpc-lattice:PutResourcePolicy vpc-lattice:RegisterTargets vpc-lattice:StartDomainVerification vpc-lattice:UpdateAccessLogSubscription vpc-lattice:UpdateListener vpc-lattice:UpdateResourceConfiguration vpc-lattice:UpdateResourceGateway vpc-lattice:UpdateRule vpc-lattice:UpdateService vpc-lattice:UpdateServiceNetwork vpc-lattice:UpdateServiceNetworkVpcAssociation vpc-lattice:UpdateTargetGroup  | 
| wafv2 |  wafv2:AssociateWebACL wafv2:CheckCapacity wafv2:CreateAPIKey wafv2:CreateIPSet wafv2:CreateRegexPatternSet wafv2:CreateRuleGroup wafv2:CreateWebACL wafv2:DeleteAPIKey wafv2:DeleteFirewallManagerRuleGroups wafv2:DeleteIPSet wafv2:DeleteLoggingConfiguration wafv2:DeletePermissionPolicy wafv2:DeleteRegexPatternSet wafv2:DeleteRuleGroup wafv2:DeleteWebACL wafv2:DescribeAllManagedProducts wafv2:DescribeManagedProductsByVendor wafv2:DescribeManagedRuleGroup wafv2:DisassociateWebACL wafv2:GenerateMobileSdkReleaseUrl wafv2:GetDecryptedAPIKey wafv2:GetIPSet wafv2:GetLoggingConfiguration wafv2:GetManagedRuleSet wafv2:GetMobileSdkRelease wafv2:GetRateBasedStatementManagedKeys wafv2:GetRegexPatternSet wafv2:GetRuleGroup wafv2:GetSampledRequests wafv2:GetWebACLForResource wafv2:ListAPIKeys wafv2:ListAvailableManagedRuleGroupVersions wafv2:ListAvailableManagedRuleGroups wafv2:ListIPSets wafv2:ListLoggingConfigurations wafv2:ListManagedRuleSets wafv2:ListMobileSdkReleases wafv2:ListRegexPatternSets wafv2:ListResourcesForWebACL wafv2:ListRuleGroups wafv2:ListWebACLs wafv2:PutLoggingConfiguration wafv2:PutManagedRuleSetVersions wafv2:UpdateIPSet wafv2:UpdateManagedRuleSetVersionExpiryDate wafv2:UpdateRegexPatternSet wafv2:UpdateRuleGroup wafv2:UpdateWebACL  | 
| wellarchitected |  wellarchitected:AssociateLenses wellarchitected:AssociateProfiles wellarchitected:CreateLensShare wellarchitected:CreateLensVersion wellarchitected:CreateMilestone wellarchitected:CreateProfile wellarchitected:CreateProfileShare wellarchitected:CreateReviewTemplate wellarchitected:CreateWorkload wellarchitected:CreateWorkloadShare wellarchitected:DeleteLens wellarchitected:DeleteLensShare wellarchitected:DeleteProfile wellarchitected:DeleteProfileShare wellarchitected:DeleteReviewTemplate wellarchitected:DeleteTemplateShare wellarchitected:DeleteWorkload wellarchitected:DeleteWorkloadShare wellarchitected:DisassociateLenses wellarchitected:DisassociateProfiles wellarchitected:ExportLens wellarchitected:GetAnswer wellarchitected:GetConsolidatedReport wellarchitected:GetGlobalSettings wellarchitected:GetLens wellarchitected:GetLensReview wellarchitected:GetLensReviewReport wellarchitected:GetLensVersionDifference wellarchitected:GetMilestone wellarchitected:GetProfile wellarchitected:GetProfileTemplate wellarchitected:GetReviewTemplate wellarchitected:GetReviewTemplateAnswer wellarchitected:GetReviewTemplateLensReview wellarchitected:GetWorkload wellarchitected:ImportLens wellarchitected:ListAnswers wellarchitected:ListCheckDetails wellarchitected:ListCheckSummaries wellarchitected:ListLensReviewImprovements wellarchitected:ListLensReviews wellarchitected:ListLensShares wellarchitected:ListLenses wellarchitected:ListMilestones wellarchitected:ListNotifications wellarchitected:ListProfileNotifications wellarchitected:ListProfileShares wellarchitected:ListProfiles wellarchitected:ListReviewTemplateAnswers wellarchitected:ListReviewTemplates wellarchitected:ListShareInvitations wellarchitected:ListTemplateShares wellarchitected:ListWorkloadShares wellarchitected:ListWorkloads wellarchitected:UpdateAnswer wellarchitected:UpdateGlobalSettings wellarchitected:UpdateIntegration wellarchitected:UpdateLensReview wellarchitected:UpdateProfile wellarchitected:UpdateReviewTemplate wellarchitected:UpdateReviewTemplateLensReview wellarchitected:UpdateShareInvitation wellarchitected:UpdateWorkload wellarchitected:UpdateWorkloadShare wellarchitected:UpgradeLensReview wellarchitected:UpgradeProfileVersion wellarchitected:UpgradeReviewTemplateLensReview  | 
| wisdom |  wisdom:CreateAssistant wisdom:CreateAssistantAssociation wisdom:CreateContent wisdom:CreateKnowledgeBase wisdom:CreateQuickResponse wisdom:CreateSession wisdom:DeleteAssistant wisdom:DeleteAssistantAssociation wisdom:DeleteContent wisdom:DeleteImportJob wisdom:DeleteKnowledgeBase wisdom:DeleteQuickResponse wisdom:GetAssistant wisdom:GetAssistantAssociation wisdom:GetContent wisdom:GetContentAssociation wisdom:GetContentSummary wisdom:GetImportJob wisdom:GetKnowledgeBase wisdom:GetRecommendations wisdom:GetSession wisdom:ListAssistantAssociations wisdom:ListAssistants wisdom:ListContentAssociations wisdom:ListContents wisdom:ListImportJobs wisdom:ListKnowledgeBases wisdom:ListQuickResponses wisdom:NotifyRecommendationsReceived wisdom:QueryAssistant wisdom:RemoveKnowledgeBaseTemplateUri wisdom:SearchContent wisdom:SearchQuickResponses wisdom:SearchSessions wisdom:StartContentUpload wisdom:StartImportJob wisdom:UpdateContent wisdom:UpdateKnowledgeBaseTemplateUri wisdom:UpdateQuickResponse wisdom:UpdateSession  | 
| worklink |  worklink:AssociateDomain worklink:AssociateWebsiteAuthorizationProvider worklink:AssociateWebsiteCertificateAuthority worklink:CreateFleet worklink:DeleteFleet worklink:DescribeAuditStreamConfiguration worklink:DescribeCompanyNetworkConfiguration worklink:DescribeDevice worklink:DescribeDevicePolicyConfiguration worklink:DescribeDomain worklink:DescribeFleetMetadata worklink:DescribeIdentityProviderConfiguration worklink:DescribeWebsiteCertificateAuthority worklink:DisassociateDomain worklink:DisassociateWebsiteAuthorizationProvider worklink:DisassociateWebsiteCertificateAuthority worklink:ListDevices worklink:ListDomains worklink:ListFleets worklink:ListWebsiteAuthorizationProviders worklink:ListWebsiteCertificateAuthorities worklink:RestoreDomainAccess worklink:RevokeDomainAccess worklink:SignOutUser worklink:UpdateAuditStreamConfiguration worklink:UpdateCompanyNetworkConfiguration worklink:UpdateDevicePolicyConfiguration worklink:UpdateDomainMetadata worklink:UpdateFleetMetadata worklink:UpdateIdentityProviderConfiguration  | 
| espaços de trabalho |  workspaces:AcceptAccountLinkInvitation workspaces:AssociateConnectionAlias workspaces:AssociateIpGroups workspaces:AssociateWorkspaceApplication workspaces:CopyWorkspaceImage workspaces:CreateAccountLinkInvitation workspaces:CreateConnectClientAddIn workspaces:CreateConnectionAlias workspaces:CreateIpGroup workspaces:CreateStandbyWorkspaces workspaces:CreateUpdatedWorkspaceImage workspaces:CreateWorkspaceBundle workspaces:CreateWorkspaceImage workspaces:CreateWorkspaces workspaces:CreateWorkspacesPool workspaces:DeleteAccountLinkInvitation workspaces:DeleteClientBranding workspaces:DeleteConnectClientAddIn workspaces:DeleteConnectionAlias workspaces:DeleteIpGroup workspaces:DeleteWorkspaceBundle workspaces:DeleteWorkspaceImage workspaces:DeployWorkspaceApplications workspaces:DeregisterWorkspaceDirectory workspaces:DescribeAccount workspaces:DescribeAccountModifications workspaces:DescribeApplicationAssociations workspaces:DescribeApplications workspaces:DescribeBundleAssociations workspaces:DescribeClientBranding workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddIns workspaces:DescribeConnectionAliasPermissions workspaces:DescribeConnectionAliases workspaces:DescribeCustomWorkspaceImageImport workspaces:DescribeImageAssociations workspaces:DescribeIpGroups workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceImagePermissions workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaces workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspacesPoolSessions workspaces:DescribeWorkspacesPools workspaces:DisassociateConnectionAlias workspaces:DisassociateIpGroups workspaces:DisassociateWorkspaceApplication workspaces:GetAccountLink workspaces:ImportClientBranding workspaces:ImportWorkspaceImage workspaces:ListAccountLinks workspaces:ListAvailableManagementCidrRanges workspaces:MigrateWorkspace workspaces:ModifyAccount workspaces:ModifyCertificateBasedAuthProperties workspaces:ModifyClientProperties workspaces:ModifyEndpointEncryptionMode workspaces:ModifySamlProperties workspaces:ModifySelfservicePermissions workspaces:ModifyStreamingProperties workspaces:ModifyWorkspaceAccessProperties workspaces:ModifyWorkspaceCreationProperties workspaces:ModifyWorkspaceProperties workspaces:ModifyWorkspaceState workspaces:RebootWorkspaces workspaces:RebuildWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:RejectAccountLinkInvitation workspaces:RestoreWorkspace workspaces:StartWorkspaces workspaces:StartWorkspacesPool workspaces:StopWorkspaces workspaces:StopWorkspacesPool workspaces:TerminateWorkspaces workspaces:TerminateWorkspacesPool workspaces:TerminateWorkspacesPoolSession workspaces:UpdateConnectClientAddIn workspaces:UpdateConnectionAliasPermission workspaces:UpdateWorkspaceBundle workspaces:UpdateWorkspaceImagePermission workspaces:UpdateWorkspacesPool  | 
| xray |  xray:CreateGroup xray:CreateSamplingRule xray:DeleteGroup xray:DeleteResourcePolicy xray:DeleteSamplingRule xray:GetEncryptionConfig xray:GetGroup xray:GetGroups xray:GetInsight xray:GetInsightEvents xray:GetInsightImpactGraph xray:GetInsightSummaries xray:GetSamplingRules xray:ListResourcePolicies xray:PutEncryptionConfig xray:PutResourcePolicy xray:UpdateGroup xray:UpdateSamplingRule  | 

# Resumos de políticas
<a name="access_policies_understand"></a>

O console do IAM inclui tabelas do *resumo de políticas* que descrevem o nível de acesso, os recursos e as condições permitidas ou negadas para cada serviço em uma política. As políticas são resumidas em três tabelas: o [resumo de políticas](access_policies_understand-policy-summary.md), o [resumo de serviços](access_policies_understand-service-summary.md) e o [resumo de ações](access_policies_understand-action-summary.md). A tabela *resumo da política* inclui uma lista de serviços. Escolha um serviço para ver o *resumo do serviço*. Esta tabela de resumo inclui uma lista das ações e permissões associadas para o serviço escolhido. Você pode escolher uma ação dessa tabela para visualizar o *resumo da ação*. Esta tabela inclui uma lista de recursos e condições para a ação escolhida. 

![\[A imagem do diagrama dos resumos de políticas ilustra as 3 tabelas e suas relações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policy_summaries-diagram.png)


Visualize os resumos das políticas nas páginas **Usuários** ou **Funções** para todas as políticas (gerenciadas e em linha) anexadas a esse usuário. Visualize os resumos na página **Políticas** para todas as políticas gerenciadas. As políticas gerenciadas incluem políticas gerenciadas pela AWS, políticas de função de cargo gerenciadas pela AWS e políticas gerenciadas pelo cliente. Você pode exibir resumos dessas políticas na página **Policies (Políticas)**, independentemente de estarem anexadas ou não a um usuário ou outra identidade do IAM.

Você pode usar as informações nos resumos de política para compreender o que é permitido ou negado por sua política. Os resumos de política podem ajudá-lo a [solucionar problemas](troubleshoot_policies.md) e corrigir políticas que não estão fornecendo as permissões esperadas.

**Topics**
+ [Resumo da política (lista de serviços)](access_policies_understand-policy-summary.md)
+ [Níveis de acesso em resumos de política](access_policies_understand-policy-summary-access-level-summaries.md)
+ [Resumo do serviço (lista de ações)](access_policies_understand-service-summary.md)
+ [Resumo da ação (lista de recursos)](access_policies_understand-action-summary.md)
+ [Exemplos de resumos de políticas](access_policies_policy-summary-examples.md)

# Resumo da política (lista de serviços)
<a name="access_policies_understand-policy-summary"></a>

As políticas são resumidas em três tabelas: o resumo de políticas, o [resumo de serviços](access_policies_understand-service-summary.md) e o [resumo de ações](access_policies_understand-action-summary.md). A tabela de *resumo da política* inclui uma lista de serviços e resumos das permissões que são definidas pela política escolhida. 

![\[A imagem do diagrama dos resumos de políticas ilustra as 3 tabelas e suas relações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)


A tabela de resumo da política é agrupada em um ou mais seções de **Serviços não categorizados**, **Negação explícita** e **Permissão**. Se a política incluir um serviço que o IAM não reconheça, o serviço será incluído na seção **Uncategorized services** (Serviços não categorizados) da tabela. Se o IAM reconhecer o serviço, ele será incluído nas seções **Explicit deny** (Negação explícita) ou **Allow** (Permitir) da tabela, dependendo do efeito da política (`Deny` ou `Allow`).

## Noções básicas sobre os elementos de um resumo de política
<a name="understanding-elements-policy-summary"></a>

No exemplo de página de detalhes de uma política a seguir, a política **SummaryAllElements** é uma política gerenciada (pelo cliente) que está anexada diretamente ao usuário. Essa política é expandida para mostrar seu resumo. 

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)


Na imagem anterior, o resumo da política pode ser visto na página **Políticas**:

1. A guia **Permissões** inclui as permissões definidas na política.

1. Se a política não conceder permissões para todas as ações, recursos e condições definidos na política, um banner de aviso ou erro aparecerá na parte superior da página. O resumo de política inclui detalhes sobre o problema. Para saber como os resumos de política ajudam a entender e solucionar problemas das permissões concedidas por sua política, consulte [Minha política não concede as permissões esperadas](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Use os botões **Resumo** e **JSON** para alternar entre o resumo da política e o documento da política JSON.

1.  Use a caixa **Pesquisar** para reduzir a lista de serviços e localizar um serviço específico.

1. A visualização expandida mostra detalhes adicionais da política **SummaryAllElements**.

A imagem de tabela do resumo da política seguir mostra a política **SummaryAllElements** expandida na página de detalhes da política.

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)


Na imagem anterior, o resumo da política pode ser visto na página **Políticas**:

1. Para os serviços reconhecidos pelo IAM, ele organiza os serviços de acordo com a natureza da política, ou seja, se ela permite ou nega explicitamente o uso do serviço. Neste exemplo, a política inclui uma instrução `Deny` para o serviço Amazon S3 e instruções `Allow` para os serviços Faturamento, CodeDeploy e Amazon EC2.

1. **Service** (Serviço): esta coluna lista os serviços que estão definidos na política e fornece detalhes de cada serviço. Cada nome do serviço na tabela de resumo da política é um link para a tabela *resumo do serviço*, que é explicada em [Resumo do serviço (lista de ações)](access_policies_understand-service-summary.md). Neste exemplo, as permissões estão definidas para os serviços Amazon S3, Faturamento, CodeDeploy e Amazon EC2.

1. **Nível de acesso**: essa coluna informa se as ações em cada nível de acesso (`List`, `Read`, `Write`, `Permission Management` e `Tagging`) têm as permissões `Full` ou `Limited` definidas na política. Para obter mais detalhes e exemplos do resumo de nível de acesso, consulte [Níveis de acesso em resumos de política](access_policies_understand-policy-summary-access-level-summaries.md).
   + **Full access** (Acesso total): esta opção indica que o serviço tem acesso a todas as ações em todos os quatro níveis de acesso disponíveis para o serviço.
   + <a name="full-vs-limited-access-summary"></a>Se a entrada não incluir **Acesso total**, o serviço terá acesso a algumas, mas não a todas as ações para o serviço. O acesso é, então, definido seguindo as descrições de cada uma das classificações de nível de acesso (`List`, `Read`, `Write`, `Permission Management` e `Tagging`):

     **Total**: a política fornece acesso a todas as ações em cada classificação de nível de acesso listada. Neste exemplo, a política fornece acesso a todas as ações `Read` de faturamento.

     **Limitado**: a política fornece acesso a uma ou mais, mas não todas as ações em cada classificação de nível de acesso listada. Neste exemplo, a política fornece acesso a algumas ações `Write` de faturamento.

1. **Resource** (Recurso): esta coluna mostra os recursos que a política especifica para cada serviço. 
   + **Multiple** (Múltiplo): a política inclui mais de um, mas não todos os recursos do serviço. Neste exemplo, o acesso é negado explicitamente para mais de um recurso do Amazon S3.
   + **Todos os recursos**: a política é definida para todos os recursos do serviço. Neste exemplo, a política permite que as ações listadas sejam executadas em todos os recursos de faturamento.
   + Texto do recurso: a política inclui um recurso do serviço. Neste exemplo, as ações listadas só são permitidas no recurso `DeploymentGroupName` de CodeDeploy. Dependendo das informações que o serviço fornecer ao IAM, você poderá ver um ARN ou o tipo de recurso definido.
**nota**  
Essa coluna pode incluir um recurso de um serviço diferente. Se a declaração de política que inclui o recurso não incluir as duas ações e recursos do mesmo serviço, a política incluirá recursos incompatíveis. O IAM não avisa sobre recursos incompatíveis quando você cria uma política, ou quando visualiza uma política no resumo da política. Se essa coluna incluir um recurso incompatível, será necessário analisar sua política para busca de erros. Para compreender melhor suas políticas, sempre teste-as com o [simulador de políticas](access_policies_testing-policies.md).

1. **Request condition** (Condição de solicitação): esta coluna indica se os serviços ou ações associadas ao recurso estão sujeitos a condições.
   + **None** (Nenhum): a política não inclui condições para o serviço. Neste exemplo, nenhuma condição é aplicada às ações negadas no serviço Amazon S3.
   + Texto da condição: a política inclui uma condição para o serviço. Neste exemplo, as ações de Faturamento listadas só serão permitidas se o endereço IP da fonte corresponder a `203.0.113.0/24`.
   + **Multiple** (Vários): a política inclui mais de uma condição para o serviço. Para visualizar cada uma das várias condições da política, escolha **JSON** para visualizar o documento da política.

1. **Mostrar serviços restantes**: alterne esse botão para expandir a tabela e incluir os serviços que não são definidos pela política. Esses serviços são *negados implicitamente* (ou negados por padrão) dentro dessa política. No entanto, uma declaração em outra política ainda pode permitir ou negar explicitamente usando o serviço. O resumo da política resume as permissões de uma única política. Para saber como o serviço da AWS decide se uma determinada solicitação deve ser permitida ou negada, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md).

Quando uma política ou um elemento dentro da política não concede permissões, o IAM fornece mais avisos e informações no resumo da política. A tabela de resumo da política a seguir mostra os serviços **Mostrar serviços restantes** expandidos na página de detalhes da política **SummaryAllElements** com os possíveis avisos.

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)


Na imagem anterior, você pode ver todos os serviços que incluem ações, recursos ou condições definidas sem permissões:

1. **Avisos de recursos**: para serviços que não fornecem permissões para todas as ações ou recursos incluídos, você verá um dos seguintes avisos na coluna **Resource** (Recurso) da tabela:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Nenhum recurso é definido.** : isso significa que o serviço tem ações definidas, mas nenhum recurso compatível está incluído na política.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Uma ou mais ações não têm um recurso aplicável.** : isso significa que o serviço tem ações definidas, mas que algumas dessas ações não têm um recurso compatível.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Um ou mais recursos não têm uma ação aplicável.** : isso significa que o serviço tem recursos definidos, mas que alguns desses recursos não têm uma ação compatível.

   Se um serviço incluir tanto ações que não têm nenhum recurso aplicável quanto recursos que não têm nenhum recurso aplicável, apenas o aviso **Um ou mais recursos não têm uma ação aplicável** será exibido. Isso ocorre porque, quando você visualiza o resumo do serviço, os recursos que não se aplicam a nenhuma ação não são mostrados. Para a ação `ListAllMyBuckets`, essa política inclui o último aviso, pois a ação não é compatível com as permissões no nível do serviço e não é compatível com a chave de condição `s3:x-amz-acl`. Se você corrigir o problema de recurso ou condição, o problema restante aparecerá em um aviso detalhado.

1. **Avisos de condição de solicitação**: para serviços que não fornecem permissões para todas as condições incluídas, você verá um dos seguintes avisos na coluna **Request condition** (Condição de solicitação) da tabela:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Uma ou mais ações não têm uma ação aplicável.** : Isso significa que o serviço tem ações definidas, mas que algumas dessas ações não têm uma condição compatível.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Uma ou mais condições não têm uma ação aplicável.** : isso significa que o serviço tem condições definidas, mas que algumas dessas condições não têm uma ação compatível.

1. **Múltiplo \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Uma ou mais ações não têm um recurso aplicável.** : a instrução `Deny` para o Amazon S3 inclui mais de um recurso. Ela também inclui mais de uma ação e algumas ações suportam os recursos, algumas não. Para exibir esta política, consulte: [Documento da política JSON **SummaryAllElements**](#policy-summary-example-json). Nesse caso, a política inclui todas as ações do Amazon S3, e somente as ações que podem ser executadas em um bucket ou objeto do bucket são negadas.

1. **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined** (Nenhum recurso definido): o serviço tem ações definidas, mas nenhum recurso compatível está incluído na política e, portanto, o serviço não fornece permissões. Nesse caso, a política inclui ações do CodeCommit, mas nenhum recurso do CodeCommit.

1. **DeploymentGroupName \$1 string como \$1 Todas, região \$1 string como \$1 us-west-2 \$1![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Uma ou mais ações não têm nenhum recurso aplicável.** : o serviço tem uma ação definida e, pelo menos, mais uma ação não tem nenhum recurso compatível.

1. **Nenhuma \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) uma ou mais condições não têm nenhuma ação aplicável.** : o serviço tem, pelo menos, uma chave de condição que não tem nenhuma ação compatível.

## Documento da política JSON **SummaryAllElements**
<a name="policy-summary-example-json"></a>

A política **SummaryAllElements** não deve ser usada para definir permissões na sua conta. Em vez disso, ela é incluída para demonstrar os erros e avisos que você pode encontrar ao visualizar um resumo de política.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}
```

------

# Visualizar resumos de políticas
<a name="access_policies_view-policy-summary"></a>

Você pode visualizar os resumos de políticas para qualquer política anexada a um usuário ou perfil do IAM. Para políticas gerenciadas, você pode visualizar os resumos das políticas na página **Políticas**. Se a política não incluir um resumo, consulte [Resumo de política ausente](troubleshoot_policies.md#missing-policy-summary) para saber por quê.

## Visualização de resumos de políticas na página **Políticas**
<a name="viewing-policy-summaries-from-the-policies-page"></a>

Visualize o resumo de políticas para políticas gerenciadas na página **Políticas**.

**Para visualizar o resumo da política na página **Políticas****

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Na lista de políticas, escolha o nome da política que deseja visualizar.

1. Na página **Detalhes da política**, visualize a guia **Permissões** para ver o resumo da política.

## Visualização de um resumo da política para uma política anexada a um usuário
<a name="viewing-policy-summaries-for-policies-attached-to-users"></a>

Você pode visualizar o resumo da política para qualquer política anexada a um usuário ou perfil do IAM.

**Para visualizar o resumo de uma política anexada a um usuário**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Escolha **Usuários** no painel de navegação.

1. Na lista de usuários, escolha o nome do usuário cuja política deseja visualizar.

1. Na página **Resumo** do usuário, visualize a guia **Permissões** para ver a lista de políticas que estão anexadas ao usuário diretamente ou a partir de um grupo.

1. Na tabela de políticas do usuário, expanda a linha da política que deseja visualizar.

## Visualização de um resumo da política para uma política anexada a um perfil
<a name="viewing-policy-summaries-for-policies-attached-to-roles"></a>

Você pode visualizar o resumo da política para qualquer política anexada a um perfil.

**Para visualizar o resumo de uma política anexada a uma função**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**.

1. Na lista de funções, escolha o nome da função cuja política deseja visualizar.

1. Na página **Resumo** da função, visualize a guia **Permissões** para ver a lista de políticas que estão anexadas à função.

1. Na tabela de políticas da função, expanda a linha da política que deseja visualizar.

## Editar políticas para corrigir avisos
<a name="edit-policy-summary"></a>

Ao visualizar um resumo da política, você pode encontrar um erro de digitação ou perceber que a política não fornece as permissões esperadas. Não é possível editar o resumo da política diretamente. No entanto, você pode editar uma política gerenciada pelo cliente usando o editor visual de políticas, que detecta muitos dos erros e avisos relatados pelo resumo da política. Em seguida, você pode visualizar as alterações no resumo da política para confirmar que corrigiu todos os problemas. Para saber como editar uma política em linha, consulte [Editar políticas do IAM](access_policies_manage-edit.md). Você não pode editar políticas gerenciadas pela AWS.

Você pode editar uma política para o resumo da política usando a opção **Visual**.

**Para editar uma política para o resumo da política usando a opção **Visual****

1. Abra o resumo da política conforme explicado nos procedimentos anteriores.

1. Escolha **Editar**.

   Se estiver na página **Usuários** e escolher editar uma política gerenciada pelo cliente que esteja anexada a esse usuário, você será redirecionado para a página **Políticas**. Você pode editar políticas gerenciadas pelo cliente apenas na página **Políticas**.

1. Escolha a opção **Visual** para visualizar a representação visual editável da política. O IAM pode reestruturar sua política a fim de otimizá-la para o editor visual e facilitar a identificação e correção de problemas. Os avisos e as mensagens de erro nessa página podem orientar você na correção dos problemas da sua política. Para obter mais informações sobre como o IAM reestrutura políticas, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Edite a política e escolha **Avançar** para ver as alterações refletidas no resumo da política. Se você ainda encontrar um problema, escolha **Anterior** para retornar à tela de edição.

1. Escolha **Salvar alterações** para salvar suas alterações.

Você pode editar uma política para o resumo de política usando a opção **JSON**.

**Para editar uma política para o resumo da política usando a opção **JSON****

1. Abra o resumo da política conforme explicado nos procedimentos anteriores.

1. Você pode usar os botões **Resumo** e **JSON** para comparar o resumo da política e o documento da política JSON. Você pode usar essas informações para determinar quais linhas no documento de política que você deseja alterar.

1. Escolha **Editar** e depois escolha a opção **JSON** para editar o documento da política JSON.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** na opção de editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

   Se estiver na página **Usuários** e escolher editar uma política gerenciada pelo cliente que esteja anexada a esse usuário, você será redirecionado para a página **Políticas**. Você pode editar políticas gerenciadas pelo cliente apenas na página **Políticas**.

1. Edite sua política. Resolva os avisos de segurança, as mensagens erros ou os avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md), e depois escolha **Próximo**. Se você ainda encontrar um problema, escolha **Anterior** para retornar à tela de edição.

1. Escolha **Salvar alterações** para salvar suas alterações.

# Níveis de acesso em resumos de política
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## AWSResumo do nível de acesso da
<a name="access_policies_access-level-summaries"></a>

Resumos de políticas incluem um resumo de nível de acesso que descreve as permissões de ação definidas para cada serviço mencionado na política. Para saber mais sobre os resumos de política, consulte [Resumos de políticas](access_policies_understand.md). Resumos de nível de acesso indicam se as ações em cada nível de acesso (`List`, `Read`, `Tagging`, `Write` e `Permissions management`) têm permissões `Full` ou `Limited` definidas na política. Para visualizar a classificação de nível de acesso atribuída a cada ação em um serviço, consulte [Ações, recursos e chaves de condição de serviços da AWS](reference_policies_actions-resources-contextkeys.html).

O exemplo a seguir descreve o acesso fornecido por uma política para os serviços oferecidos. Para obter exemplos de documentos de políticas JSON completos e seus resumos relacionados, consulte [Exemplos de resumos de políticas](access_policies_policy-summary-examples.md).


****  

| Serviço | Nível de acesso | Essa política fornece o seguinte | 
| --- | --- | --- | 
| IAM | Acesso total. | Acesso a todas as ações dentro do serviço IAM. | 
| CloudWatch | Completo: Listar | Acesso a todas as ações do CloudWatch no nível de acesso List, mas nenhum acesso a ações com classificação de nível de acesso Read, Write ou Permissions management. | 
| Data Pipeline | Limitado: Listar, Leir | Acesso a, pelo menos, uma ação do AWS Data Pipeline, mas não todas, no nível de acesso List e Read, mas não às ações Write ou Permissions management. | 
| EC2 | Completo: Listar, Ler Limitado: Gravar | Acesso a todas as ações List and Read do Amazon EC2 e acesso a pelo menos uma, mas não a todas as ações Write do Amazon EC2, mas nenhum acesso às ações com a classificação de nível de acesso Permissions management. | 
| S3 | Limitado: Ler, Gravar, Gerenciamento de permissões | Acesso a pelo menos uma, mas não todas as ações Read, Write e Permissions management do Amazon S3. | 
| codedploy | (empty) | Acesso desconhecido, pois o IAM não reconhece este serviço. | 
| API Gateway | Nenhum | Nenhum acesso é definido na política. | 
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png) Nenhuma ação é definida. | Sem acesso porque nenhuma ação é definida para o serviço. Para saber como entender e resolver esse problema, consulte [Minha política não concede as permissões esperadas](troubleshoot_policies.md#policy-summary-not-grant-permissions). | 

Em um resumo de política, **Acesso completo** indica que a política fornece acesso a todas as ações do serviço. Políticas que fornecem acesso a algumas, mas não a todas as ações de um serviço também são agrupadas de acordo com a classificação de nível de acesso. Isso é indicado por um dos seguintes agrupamentos de nível de acesso:
+ **Completo**: a política fornece acesso a todas as ações na classificação de nível de acesso especificada.
+ **Limitado**: a política fornece acesso a uma ou mais, mas não a todas as ações na classificação de nível de acesso especificada.
+ **Nenhum**: a política não fornece acesso.
+ (vazio): o IAM não reconhece este serviço. Se o nome do serviço inclui um erro ortográfico, a política não fornece acesso ao serviço. Se o nome do serviço está correto, talvez o serviço possa não dar suporte aos resumos de políticas ou possa estar em pré-visualização. Nesse caso, a política pode oferecer acesso, mas este acesso não pode ser mostrado no resumo de política. Para solicitar o suporte do resumo da política para uma serviço disponível, consulte [O serviço não oferece suporte a resumos de política do IAM](troubleshoot_policies.md#unsupported-services-actions).

Resumos de nível de acesso que incluem acesso limitado (parcial) às ações são agrupados usando as classificações de nível de acesso AWS, `List`, `Read`, `Tagging` ou `Write` da `Permissions management`.

## AWSNíveis de acesso da
<a name="access_policies_access-level"></a>

AWSA define as seguintes classificações de nível de acesso para as ações em um serviço:
+ **Listar**: Permissão para listar recursos dentro do serviço para determinar se um objeto existe. Ações com esse nível de acesso podem listar objetos, mas não podem ver os conteúdos de um recurso. Por exemplo, a ação `ListBucket` do Amazon S3 tem o nível de acesso **List** (Lista). 
+ **Ler**: Permissão para ler, mas não editar os conteúdos e atributos de recursos no serviço. Por exemplo, as ações `GetObject` e `GetBucketLocation` do Amazon S3 têm o nível de acesso **Read** (Leitura).
+ **Marcação**: permissão para executar ações que apenas alteram o estado de tags de recurso. Por exemplo, as ações do IAM `TagRole` e `UntagRole` têm o nível de acesso **Tagging** (Etiquetamento) porque permitem apenas etiquetar ou desetiquetar uma função. No entanto, a ação `CreateRole` permite marcar um recurso de função quando você criar essa função. Como a ação não apenas adiciona uma tag, ela tem o nível de acesso `Write`.
+ **Gravar**: permissão para criar, excluir ou modificar recursos no serviço. Por exemplo, as ações `CreateBucket`, `DeleteBucket` e `PutObject` do Amazon S3 têm o nível de acesso **Write** (Gravação). As ações de `Write` (gravação) também podem permitir a modificação de uma etiqueta de recurso. No entanto, uma ação que permite apenas alterações nas tags tem o nível de acesso `Tagging`.
+ **Gerenciamento de permissões**: gerenciamento de permissões se refere às ações que controlam o acesso nos Serviços da AWS, incluindo as permissões de identidades, do IAM ou não, mas exclui os controles de acesso no nível da rede, como os grupos de segurança. Por exemplo, a maioria das ações do IAM e do AWS Organizations, bem como as ações `PutBucketPolicy` e `DeleteBucketPolicy` do Amazon S3, têm o nível de acesso de **Gerenciamento de permissões**.
**Dica**  
Para melhorar a segurança da Conta da AWS, restrinja ou monitore regularmente políticas que incluam a classificação de nível de acesso **Gerenciamento de permissões**.

Para visualizar a classificação do nível de acesso para todas as ações em um serviço, consulte[ Ações, recursos e chaves de condição de produtos da AWS](reference_policies_actions-resources-contextkeys.html).

# Resumo do serviço (lista de ações)
<a name="access_policies_understand-service-summary"></a>

As políticas são resumidas em três tabelas: o resumo de políticas, o [resumo de serviços](access_policies_understand-policy-summary.md) e o [resumo de ações](access_policies_understand-action-summary.md). A tabela do *resumo de serviços* inclui uma lista das ações e resumos das permissões que são definidas pela política para o dado serviço.

![\[A imagem do diagrama dos resumos de políticas ilustra as 3 tabelas e suas relações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)


Visualize um resumo de serviços para cada serviço listado no resumo de políticas que concede permissões. A tabela é agrupada em **Ações não categorizadas**, **Tipos de recursos não categorizados** e seções de nível de acesso. Se a política incluir uma ação que o IAM não reconhece, a ação será incluída na seção **Uncategorized actions** (Ações não categorizadas) da tabela. Se o IAM reconhecer a ação, ela será incluída em uma das seções de nível de acesso (**Listar**, **Ler**, **Gravar** e **Gerenciamento de permissões**) da tabela. Para visualizar a classificação de nível de acesso atribuída a cada ação em um serviço, consulte [Ações, recursos e chaves de condição de serviços da AWS](reference_policies_actions-resources-contextkeys.html).

## Noções básicas sobre os elementos de um resumo do serviço
<a name="understanding-elements-service-summary"></a>

O exemplo a seguir é o resumo do serviço para as ações do Amazon S3 que são permitidas com base no resumo da política. As ações para esse serviço estão agrupados por nível de acesso. Por exemplo, 35 ações de **Leitura** estão definidas do total de 52 ações de **Leitura** disponíveis para o serviço.

![\[Imagem da caixa de diálogo de resumo de serviços\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)


A página do resumo de serviços de uma política gerenciada inclui as seguintes informações:

1. Se a política não conceder permissões para todas as ações, recursos e condições definidos para o serviço na política, um banner de aviso aparecerá na parte superior da página. O resumo de serviços inclui detalhes sobre o problema. Para saber como os resumos de política ajudam a entender e solucionar problemas das permissões concedidas por sua política, consulte [Minha política não concede as permissões esperadas](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Escolha **JSON** para ver detalhes adicionais sobre a política. Faça isso para visualizar todas as condições que são aplicadas às ações. (Se você estiver visualizando o resumo de serviços para uma política em linha que esteja anexado diretamente a um usuário, será necessário fechar a caixa de diálogo do resumo de serviços e voltar para o resumo de políticas para acessar o documento de política JSON.)

1. Para visualizar o resumo para uma ação específica, digite palavras-chave na caixa **Pesquisar** para reduzir a lista de ações disponíveis.

1. Ao lado da seta invertida **Serviços** aparece o nome do serviço (neste caso, **S3**). O resumo do serviço para esse serviço inclui a lista de ações permitidas ou negadas que são definidas na política. Se o serviço aparecer sob **(Negação explícita)** na guia **Permissões**, as ações listadas na tabela de resumo do serviço serão explicitamente negadas. Se o serviço aparecer sob **Permitir** na guia **Permissões**, as ações listadas na tabela de resumo do serviço serão explicitamente permitidas. 

1. **Ação**: essa coluna lista as ações que são definidas na política e fornece os recursos e as condições para cada ação. Se a política conceder ou negar permissões para a ação, o nome da ação será vinculado à tabela *[resumo das ações](access_policies_understand-action-summary.md)*. A tabela agrupa essas ações em pelo menos uma e até quatro seções, dependendo do nível de acesso que a política permite ou nega. As seções são **Lista**, **Leitura**, **Gravação**, **Gerenciamento de permissões** e **Marcação**. A contagem indica o número de ações reconhecidas que fornecem permissões em cada nível de acesso. O total é o número de ações conhecidas do serviço. Neste exemplo, 35 ações, de um total de 52 ações, fornecem permissões de **Leitura** conhecidas do Amazon S3. Para visualizar a classificação de nível de acesso atribuída a cada ação em um serviço, consulte [Ações, recursos e chaves de condição de serviços da AWS](reference_policies_actions-resources-contextkeys.html).

1. **Mostrar ações restantes**: alterne este botão para expandir ou ocultar a tabela para incluir ações que são conhecidas, mas que não fornecem permissões para esse serviço. Alternar o botão também exibe avisos para os elementos que não fornecem permissões.

1. **Resource** (Recurso): esta coluna mostra os recursos que a política define para o serviço. O IAM não verifica se o recurso se aplica a cada ação. Neste exemplo, as ações do serviço Amazon S3 só são permitidas no recurso `developer_bucket` de bucket do Amazon S3. Dependendo das informações que o serviço fornece ao IAM, talvez seja exibido um ARN, como `arn:aws:s3:::developer_bucket/*`, ou um tipo de recurso definido, como `BucketName = developer_bucket`.
**nota**  
Essa coluna pode incluir um recurso de um serviço diferente. Se a declaração de política que inclui o recurso não incluir as duas ações e recursos do mesmo serviço, a política incluirá recursos incompatíveis. O IAM não avisa sobre recursos incompatíveis quando você cria uma política, ou quando você visualiza uma política no resumo do serviço. O IAM também não indica se a ação se aplica aos recursos, mas apenas se o serviço é correspondente. Se essa coluna incluir um recurso incompatível, será necessário analisar sua política para busca de erros. Para compreender melhor suas políticas, sempre teste-as com o [simulador de políticas](access_policies_testing-policies.md).

1. **Request condition** (Condição de solicitação): esta coluna mostra se as ações associadas ao recurso estão sujeitas a condições. Para saber mais sobre essas condições, escolha **JSON** para revisar o documento de política JSON.

1. **(No access) ** (Sem acesso): esta política inclui uma ação que não fornece permissões. 

1. **Resource warning** (Aviso do recurso): para ações com recursos que não fornecem permissões completas, você verá um dos seguintes avisos:
   + **Esta ação não é compatível com permissões no nível do recurso. Isso requer um caractere curinga (\$1) para o recurso.** : isso significa que a política inclui as permissões no nível de recurso, mas deve incluir `"Resource": ["*"]` para fornecer permissões para esta ação.
   + **Esta ação não tem um recurso aplicável.** : isso significa que a ação é incluída na política sem um recurso compatível.
   + **Esta ação não tem um recurso e uma condição aplicáveis.** : isso significa que a ação é incluída na política sem um recurso e sem uma condição compatíveis. Neste caso, há também uma condição incluída na política para esse serviço, mas não há condições que se aplicam a esta ação.

1. Ações que fornecem permissões incluem um link para o resumo da ação.

# Visualizar resumos de serviços
<a name="access_policies_view-service-summary"></a>

Visualize um resumo de serviços para cada serviço listado no resumo de políticas que concede permissões. 

## Visualização de resumos de serviço na página **Políticas**
<a name="viewing-service-summaries-from-the-policies-page"></a>

Você pode visualizar o resumo do serviço para políticas gerenciadas na página **Políticas**.

**Para visualizar o resumo de serviços de uma política gerenciada**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Na lista de políticas, escolha o nome da política que deseja visualizar.

1. Na página **Detalhes da política**, visualize a guia **Permissões** para ver o resumo da política.

1. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.

## Para visualizar um resumo do serviço para uma política anexada a um usuário
<a name="viewing-service-summaries-for-policies-attached-to-users"></a>

Você pode visualizar o resumo do serviço para qualquer política anexada a um usuário do IAM.

**Para visualizar o resumo de serviços de uma política anexada a um usuário**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Na lista de usuários, escolha o nome do usuário cuja política deseja visualizar.

1. Na página **Resumo** do usuário, visualize a guia **Permissões** para ver a lista de políticas que estão anexadas ao usuário diretamente ou a partir de um grupo.

1. Na tabela de políticas do usuário, escolha o nome da política que deseja visualizar.

   Se estiver na página **Usuários** e escolher visualizar o resumo do serviço para uma política gerenciada pelo cliente anexada a esse usuário, você será redirecionado para a página **Políticas**. Você só pode visualizar os resumos dos serviços na página **Políticas**.

1. Escolha **Resumo**. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.
**nota**  
Se a política que você selecionar for uma política em linha que está anexada diretamente ao usuário, a tabela do resumo de serviços será exibida. Se a política for uma política em linha anexada a um grupo, você será levado para o documento de política JSON desse grupo. Se a política for uma política gerenciada, você será levado para o resumo de serviços dessa política na página **Políticas**.

## Visualização de um resumo do serviço para uma política anexada a um perfil
<a name="viewing-service-summaries-for-policies-attached-to-roles"></a>

Você pode visualizar o resumo da política para qualquer política anexada a um perfil.

**Para visualizar o resumo de serviços de uma política anexada a uma função**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Escolha **Funções** no painel de navegação.

1. Na lista de funções, escolha o nome da função cuja política deseja visualizar.

1. Na página **Resumo** da função, visualize a guia **Permissões** para ver a lista de políticas que estão anexadas à função.

1. Na tabela de políticas para o perfil, escolha o nome da política que você deseja visualizar.

   Se estiver na página **Perfis** e escolher visualizar um resumo do serviço para uma política anexada a esse usuário, você será redirecionado para a página **Políticas**. Você só pode visualizar os resumos dos serviços na página **Políticas**.

1. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.

# Resumo da ação (lista de recursos)
<a name="access_policies_understand-action-summary"></a>

As políticas são resumidas em três tabelas: o resumo de políticas, o [resumo de serviços](access_policies_understand-policy-summary.md) e o [resumo de ações](access_policies_understand-service-summary.md). A tabela *resumo da ação* inclui uma lista de recursos e as condições associadas que se aplicam à ação escolhida. 

![\[diagrama de resumos de políticas que ilustra as 3 tabelas e suas relações.\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)


Para ver um resumo para cada ação que concede permissões, escolha o link no resumo do serviço. A tabela de resumo da ação inclui detalhes sobre o recurso, incluindo a **região** e a **conta**. Você também pode visualizar as condições que se aplicam a cada recurso. Isso mostra as condições que se aplicam a alguns recursos, mas não a outros.

## Noções básicas sobre os elementos de um resumo da ação
<a name="understanding-elements-action-summary"></a>

O exemplo a seguir é do resumo da ação `PutObject` (Gravar) do resumo do serviço Amazon S3 (consulte [Resumo do serviço (lista de ações)](access_policies_understand-service-summary.md)). Para essa ação, a política define várias condições em um único recurso.



![\[Imagem da caixa de diálogo de resumo de ações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)


A página de resumo de ações inclui as seguintes informações:

1. Escolha **JSON** para ver detalhes adicionais sobre a política, como as várias condições que se aplicam às ações. (Se você estiver visualizando o resumo da ação para uma política em linha anexada diretamente a um usuário, as etapas serão diferentes. Para acessar o documento da política JSON nesse caso, você deve fechar a caixa de diálogo do resumo da ação e retornar ao resumo da política.)

1. Para visualizar o resumo para um recurso específico, digite palavras-chave na caixa **Pesquisar** para reduzir a lista de recursos disponíveis.

1. Ao lado da seta invertida **Ações** é exibido o nome do serviço e a ação no formato `action name action in service` (nesse caso, **Ação PutObject no S3**). O resumo da ação desse serviço inclui a lista de recursos que estão definidos na política.

1. **Resource** (Recurso): esta coluna lista os recursos que a política define para o serviço escolhido. Neste exemplo, a ação **PutObject** é permitida em todos os caminhos de objeto, mas somente no recurso de bucket `developer_bucket` Amazon S3. Dependendo das informações que o serviço fornece ao IAM, talvez seja exibido um ARN, como `arn:aws:s3:::developer_bucket/*`, ou um tipo de recurso definido, como `BucketName = developer_bucket, ObjectPath = All`.

1. **Region** (Região): esta coluna mostra a região em que o recurso é definido. Os recursos podem ser definidos para todas as regiões ou a uma única região. Eles não podem existir em mais de uma região específica.
   + **Todas as regiões**: as ações associadas ao recurso se aplicam a todas as regiões. Neste exemplo, a ação pertence a um serviço global, Amazon S3. Ações que pertencem a serviços globais se aplicam a todas as regiões.
   + Texto da região: as ações associadas ao recurso se aplicam a uma região. Por exemplo, uma política pode especificar a região `us-east-2` para um recurso.

1. **Account** (Conta): esta coluna indica se os serviços ou as ações associados ao recurso se aplicam a uma conta específica. Os recursos podem existir em todas as contas ou em uma única conta. Eles não podem existir em mais de uma conta específica.
   + **All accounts** (Todas as contas): as ações que estão associadas ao recurso se aplicam a todas as contas. Neste exemplo, a ação pertence a um serviço global, Amazon S3. Ações que pertencem a serviços globais se aplicam a todas as contas.
   + **Esta conta**: as ações associadas ao recurso só se aplicam à conta atual.
   + Número da conta: as ações associadas ao recurso aplicam-se somente a uma conta (na qual você não está registrado no momento). Por exemplo, se uma política especificar a conta `123456789012` para um recurso, o número da conta será exibido no resumo da política.

1. **Request condition** (Condição de solicitação): esta coluna mostra se as ações associadas ao recurso estão sujeitas a condições. Este exemplo inclui a condição `s3:x-amz-acl = public-read`. Para saber mais sobre essas condições, escolha **JSON** para revisar o documento de política JSON.

# Visualizar resumos de ações
<a name="access_policies_view-action-summary"></a>

Você pode visualizar um resumo da ação para cada ação listada no resumo da política que concede permissões. 

## Visualização de resumos de ações na página **Políticas**
<a name="viewing-action-summaries-from-the-policies-page"></a>

Você pode visualizar o resumo da ação para políticas gerenciadas.

**Para visualizar o resumo da ação de uma política gerenciada**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas**.

1. Na lista de políticas, escolha o nome da política que deseja visualizar.

1. Na página **Detalhes da política**, visualize a guia **Permissões** para ver o resumo da política.

1. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.

1. Na lista de resumo do serviço da ação, escolha o nome da ação que deseja visualizar.

## Visualização de resumos de ações para uma política anexada a um usuário
<a name="viewing-action-summaries-for-policies-attached-to-users"></a>

Você pode visualizar o resumo da ação para qualquer política anexada a um usuário.

**Para visualizar o resumo da ação de uma política anexada a um usuário**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Escolha **Usuários** no painel de navegação.

1. Na lista de usuários, escolha o nome do usuário cuja política deseja visualizar.

1. Na página **Resumo** do usuário, visualize a guia **Permissões** para ver a lista de políticas que estão anexadas ao usuário diretamente ou a partir de um grupo.

1. Na tabela de políticas do usuário, escolha o nome da política que deseja visualizar.

   Se estiver na página **Usuários** e escolher visualizar o resumo do serviço para uma política gerenciada pelo cliente anexada a esse usuário, você será redirecionado para a página **Políticas**. Você só pode visualizar os resumos dos serviços na página **Políticas**.

1. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.
**nota**  
Se a política que você selecionar for uma política em linha que está anexada diretamente ao usuário, a tabela do resumo de serviços será exibida. Se a política for uma política em linha anexada a um grupo, você será levado para o documento de política JSON desse grupo. Se a política for uma política gerenciada, você será levado para o resumo de serviços dessa política na página **Políticas**.

1. Na lista de resumo do serviço da ação, escolha o nome da ação que deseja visualizar.

## Visualização de resumos de ações para uma política anexada a um perfil
<a name="viewing-action-summaries-for-policies-attached-to-roles"></a>

Você pode visualizar o resumo da ação para qualquer política anexada a um perfil.

**Para visualizar o resumo da ação de uma política anexada a uma função**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**.

1. Na lista de funções, escolha o nome da função cuja política deseja visualizar.

1. Na página **Resumo** da função, visualize a guia **Permissões** para ver a lista de políticas que estão anexadas à função.

1. Na tabela de políticas para o perfil, escolha o nome da política que você deseja visualizar.

   Se estiver na página **Perfis** e escolher visualizar um resumo do serviço para uma política anexada a esse usuário, você será redirecionado para a página **Políticas**. Você só pode visualizar os resumos dos serviços na página **Políticas**.

1. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.

1. Na lista de resumo do serviço da ação, escolha o nome da ação que deseja visualizar.

# Exemplos de resumos de políticas
<a name="access_policies_policy-summary-examples"></a>

Os exemplos a seguir incluem políticas JSON com seus [resumos de políticas](access_policies_understand-policy-summary.md) associados, os [resumos de serviços](access_policies_understand-service-summary.md) e os [resumos de ações](access_policies_understand-action-summary.md) para ajudá-lo a compreender as permissões dadas por meio de uma política.

## Política 1: DenyCustomerBucket
<a name="example1"></a>

Essa política demonstra uma permissão e negação para o mesmo serviço.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}
```

------

***DenyCustomerBucket** Resumo de políticas:*

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)


***Resumo do serviço DenyCustomerBucket S3 (Negação explícita)**:*

![\[Imagem da caixa de diálogo de resumo de serviços\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)


***GetObject (Ler)** Resumo da ação:*

![\[Imagem da caixa de diálogo de resumo de ações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)


## Política 2: DynamoDbRowCognitoID
<a name="policy_example2"></a>

Esta política fornece acesso no nível de linha ao Amazon DynamoDB com base no ID do Amazon Cognito do usuário.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}
```

------

***Resumo da política DynamoDbRowCognitoID**:*

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)


***Resumo do serviço DynamoDbRowCognitoID DynamoDB (Permitir)**:*

![\[Imagem da caixa de diálogo de resumo de serviços\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)


***Resumo da ação GetItem (Listar)**:*

![\[Imagem da caixa de diálogo de resumo de ações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)


## Política 3: MultipleResourceCondition
<a name="policy_example3"></a>

Essa política inclui vários recursos e condições.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}
```

------

***Resumo da política MultipleResourceCondition**:*

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)


***Resumo do serviço MultipleResourceCondition S3 (Permitir)**:*

![\[Imagem da caixa de diálogo de resumo de serviços\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)


***Resumo da ação PutObject (Gravar)**:*

![\[Imagem da caixa de diálogo de resumo de ações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)


## Política 4: EC2\$1Troubleshoot
<a name="policy_example4"></a>

A política a seguir permite que os usuários obtenham uma captura de tela de uma instância do Amazon EC2 em execução, o que pode ajudar a solucionar problemas com o EC2. Essa política também permite visualizar informações sobre os itens no bucket do desenvolvedor do Amazon S3. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}
```

------

***Resumo da política EC2\$1Troubleshoot**:*

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)


***Resumo do serviço EC2\$1Troubleshoot S3 (Permitir)**:*

![\[Imagem da caixa de diálogo de resumo de serviços\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)


***Resumo da ação ListBucket (Listar)**:*

![\[Imagem da caixa de diálogo de resumo de ações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)


## Política 5: CodeBuild\$1CodeCommit\$1CodeDeploy
<a name="example6"></a>

Essa política fornece acesso aos recursos CodeCommit, CodeDeploy e CodeBuild específicos. Como esses recursos são específicos para cada serviço, eles aparecem apenas com o serviço correspondente. Se você incluir um recurso que não corresponde a nenhum dos serviços no elemento `Action`, o recurso será exibido em todos os resumos de ações.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}
```

------

***Resumo da política CodeBuild\$1CodeCommit\$1CodeDeploy**:*

![\[Imagem da caixa de diálogo de resumo de políticas\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)


***Resumo do serviço CodeBuild\$1CodeCommit\$1CodeDeploy CodeBuild (Permitir)**:*

![\[Imagem da caixa de diálogo de resumo de serviços\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)


***Resumo da ação CodeBuild\$1CodeCommit\$1CodeDeploy StartBuild (Gravar)**:*

![\[Imagem da caixa de diálogo de resumo de ações\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)


# Permissões necessárias para acessar recursos do IAM
<a name="access_permissions-required"></a>

*Recursos* são objetos dentro de um serviço. Os recursos do IAM incluem grupos, usuários, funções e políticas. Se você fizer login com credenciais de Usuário raiz da conta da AWS, não terá restrições para administrar credenciais do IAM ou recursos do IAM. No entanto, os usuários do IAM devem receber explicitamente permissões para administrar credenciais ou recursos do IAM. Você pode fazer isso anexando uma política baseada em identidade ao usuário.

**nota**  
Em toda a documentação da AWS, quando nos referirmos a uma política do IAM sem mencionar uma das categorias específicas, estaremos nos referindo a uma política baseada em identidade e gerenciada pelo cliente. Para obter detalhes sobre as categorias de políticas, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).

## Permissões para administração de identidades do IAM
<a name="access_permissions-required-identities"></a>

As permissões necessárias para administrar grupos, usuários, funções e credenciais do IAM geralmente correspondem às ações da API para a tarefa. Por exemplo, para criar usuários do IAM, você deve ter a permissão `iam:CreateUser` que possui o comando de API correspondente: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html). Para permitir que um usuário do IAM crie outros usuários do IAM, você pode anexar uma política do IAM, conforme mostrado a seguir, ao usuário em questão: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Em uma política, o valor do elemento `Resource` depende da ação e quais recursos ela pode afetar. No exemplo anterior, a política permite que um usuário crie qualquer usuário (`*` é um curinga que corresponde a todas as strings). Por outro lado, uma política que permite que os usuários alterem apenas as próprias chaves de acesso (ações das APIs [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)) geralmente tem um elemento `Resource`. Neste caso, o ARN inclui uma variável (`${aws:username}`) que é substituída pelo nome do usuário atual, como no exemplo a seguir: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListUsersForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "arn:aws:iam::*:*"
        },
        {
            "Sid": "ViewAndUpdateAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:UpdateAccessKey",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

No exemplo anterior, `${aws:username}` é uma variável que define o nome do usuário atual. Para obter mais informações sobre variáveis de política, consulte [Elementos de política do IAM: variáveis e etiquetas](reference_policies_variables.md). 

Usando um caractere curinga (`*`) no nome da ação, muitas vezes, facilita a concessão de permissões para todas as ações relacionadas a uma tarefa específica. Por exemplo, para permitir que os usuários realizem qualquer ação do IAM, você pode usar `iam:*` para a ação. Para permitir que os usuários realizem qualquer ação relacionada apenas a chaves de acesso, você pode usar `iam:*AccessKey*` no elemento `Action` de uma declaração de política. Isso dá ao usuário permissão para executar as ações [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html). (Se, no futuro, for adicionada uma ação ao IAM que tenha “AccessKey” no nome, o uso de `iam:*AccessKey*` para o elemento `Action` também fornecerá ao usuário permissão para essa nova ação.) O exemplo a seguir mostra uma política que permite que os usuários executem todas as ações relativas às suas próprias chaves de acesso (substitua `account-id` pelo ID da sua Conta da AWS): 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "iam:*AccessKey*",
        "Resource": "arn:aws:iam::111122223333:user/${aws:username}"
    }
}
```

------

Algumas tarefas, como a exclusão de um grupo, envolvem várias ações: você deve primeiro remover os usuários do grupo e, em seguida, desanexar ou excluir as políticas do grupo de depois realmente excluir o grupo. Se você deseja que um usuário exclua um grupo, deve oferecer a ele permissões para executar todas as ações relacionadas. 

## Permissões para trabalhar no Console de gerenciamento da AWS
<a name="Credentials-Permissions-overview-console"></a>

Os exemplos anteriores mostram políticas que permitem a um usuário executar as ações com a [AWS CLI](https://aws.amazon.com/cli/) ou os [SDKs da AWS](https://aws.amazon.com/tools/). 

Conforme os usuários trabalham com o console, o console emite solicitações ao IAM para listar grupos, usuários, funções e políticas e obter as políticas associadas a um grupo, usuário ou função. O console também emite solicitações para obter informações da Conta da AWS e informações sobre a entidade principal. A entidade principal é o usuário que faz as solicitações no console. 

Em geral, para realizar uma ação, você deve ter somente a ação correspondente incluída em uma política. Para criar um usuário, você precisa de permissão para chamar a ação `CreateUser`. Muitas vezes, quando você usa o console para executar uma ação, precisa ter permissões para exibir, listar, obter ou visualizar os recursos no console. Isso é necessário para que você possa navegar através do console para realizar a ação especificada. Por exemplo, se o usuário Jorge quiser usar o console para alterar suas próprias chaves de acesso, ele acessará o console do IAM e escolherá **Users** (Usuários). Essa ação faz com que o console faça uma solicitação [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html). Se o Jorge não tiver permissão para a ação `iam:ListUsers`, o console terá o acesso negado ao tentar listar os usuários. Como resultado, Jorge não poderá acessar seu próprio nome e chaves de acesso, mesmo que ele tenha permissões para as ações [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html).

Se você deseja fornecer aos usuários permissões para administrar usuários, grupos, funções, políticas e credenciais com o Console de gerenciamento da AWS, é necessário incluir permissões para as ações executadas pelo console. Para obter alguns exemplos de políticas que você pode usar para conceder essas permissões a um usuário, consulte [Exemplos de política para administrar recursos do IAM](id_credentials_delegate-permissions_examples.md). 

## Conceder permissões entre contas da AWS
<a name="UserPermissionsAcrossAccounts"></a>

Você pode conceder diretamente aos usuários do IAM em sua própria conta acesso aos seus recursos. Se os usuários de outra conta precisarem de acesso aos seus recursos, você poderá criar uma função do IAM, que é uma entidade que inclui permissões, mas que não está associada a um usuário específico. Os usuários de outras contas podem, então, usar a função e acessar os recursos de acordo com as permissões que você tiver atribuído à função. Para obter mais informações, consulte [Acesso a um usuário do IAM em outra Conta da AWS de sua propriedade](id_roles_common-scenarios_aws-accounts.md).

**nota**  
Alguns serviços oferecem suporte a políticas baseadas em recurso, conforme descrito em [Políticas baseadas em identidade e em recurso](access_policies_identity-vs-resource.md) (como o Amazon S3, Amazon SNS e Amazon SQS). Para esses serviços, uma alternativa ao uso de funções é anexar uma política ao recurso (bucket, tópico ou fila) que você deseja compartilhar. A política baseada em recurso pode especificar a conta da AWS com permissões para acessar o recurso.

## Permissões para um serviço acessar outro
<a name="UserPermissionsAcrossAWS_ARCHIVE"></a>

Muitos serviços da AWS acessam outros serviços da AWS. Por exemplo, vários produtos da AWS: incluindo o Amazon EMR, o Elastic Load Balancing e o Amazon EC2 Auto Scaling, gerenciam instâncias do Amazon EC2. Outros produtos da AWS usam buckets do Amazon S3, tópicos do Amazon SNS, filas do Amazon SQS e assim por diante.

O cenário para o gerenciamento de permissões nesses casos varia de acordo com o serviço. Veja a seguir alguns exemplos de como as permissões são tratadas para diferentes serviços: 
+ No Amazon EC2 Auto Scaling, os usuários devem ter permissão para usar o Auto Scaling, mas não precisam receber permissão explicitamente para gerenciar instâncias do Amazon EC2. 
+ No AWS Data Pipeline, uma função do IAM determina o que um pipeline pode fazer; os usuários precisam de permissão para assumir a função. (Para obter mais detalhes, consulte [Conceder permissões a pipelines com o IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) no *Guia do desenvolvedor do AWS Data Pipeline*.) 

Para obter detalhes sobre como configurar permissões corretamente para que um serviço da AWS seja capaz de realizar as tarefas pretendidas, consulte a documentação do serviço que você está chamando. Para saber como criar uma função para um serviço, consulte [Criar um perfil para delegar permissões a um serviço da AWS](id_roles_create_for-service.md).

**Configuração de um serviço com uma função do IAM para trabalhar em seu nome**  
Quando quiser configurar um produto da AWS para trabalhar em seu nome, normalmente você fornecerá o ARN para uma função do IAM que define o que o serviço tem permissão para fazer. A AWS verifica para garantir que você tenha permissões para passar uma função para um serviço. Para obter mais informações, consulte [Conceda permissões a um usuário para passar um perfil para um serviço da AWS](id_roles_use_passrole.md).

## Ações necessárias
<a name="access_permissions-required-dependent-actions"></a>

As ações são as atividades que você pode realizar com um recurso, como visualizar, criar, editar e excluir esse recurso. As ações são definidas por cada serviço da AWS.

Para permitir que alguém realize uma ação, você deve incluir as ações necessárias em uma política que se aplique à identidade da chamada ou ao recurso afetado. Em geral, para fornecer a permissão necessária para realizar uma ação, você deve incluir essa ação em sua política. Por exemplo, para criar um usuário, você precisa adicionar a ação CreateUser à política.

Em alguns casos, uma ação pode exigir que você inclua ações adicionais relacionadas em sua política. Por exemplo, para fornecer permissão para que uma pessoa crie um diretório no AWS Directory Service usando a operação `ds:CreateDirectory`, você deve incluir as seguintes ações na política dela:
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`

Ao criar ou editar uma política usando o editor visual, você recebe avisos e solicitações para ajudá-lo a escolher todas as ações necessárias para a política.

Para obter mais informações sobre as permissões necessárias para criar um diretório no AWS Directory Service, consulte [Exemplo 2: permitir que um usuário crie um diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory).

# Exemplos de política para administrar recursos do IAM
<a name="id_credentials_delegate-permissions_examples"></a>

Veja seguir exemplos de políticas do IAM que permitem aos usuários executar tarefas associadas ao gerenciamento de usuários, grupos e credenciais do IAM. Isso inclui políticas que permitem que os usuários gerenciem as próprias senhas, chaves de acesso e dispositivos de autenticação multifator (MFA).

Para obter exemplos de políticas que permitem aos usuários realizar tarefas com outros produtos da AWS, como Amazon S3, Amazon EC2 e DynamoDB, consulte [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md). 

**Topics**
+ [Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório](#iampolicy-example-userlistall)
+ [Permitir que um usuário gerencie a associação de um grupo](#iampolicy-example-usermanagegroups)
+ [Permitir que um usuário gerencie usuários do IAM](#creds-policies-users)
+ [Permitir que usuários definam a política de senha da conta](#creds-policies-set-password-policy)
+ [Permitir que usuários gerem e recuperem relatórios de credenciais do IAM](#iampolicy-generate-credential-report)
+ [Permitir todas as ações do IAM (acesso de administrador)](#creds-policies-all-iam)

## Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório
<a name="iampolicy-example-userlistall"></a>

A política a seguir permite que o usuário chamem qualquer ação do IAM que comece com a string `Get` ou `List` e gere relatórios. Para visualizar a política de exemplo, consulte [IAM: permite acesso somente leitura ao console do IAM](reference_policies_examples_iam_read-only-console.md). 

## Permitir que um usuário gerencie a associação de um grupo
<a name="iampolicy-example-usermanagegroups"></a>

A política a seguir permite que os usuários atualizem a associação do grupo chamado *MarketingGroup*. Para visualizar a política de exemplo, consulte [IAM: permite gerenciar a associação de um grupo de forma programática e no console](reference_policies_examples_iam_manage-group-membership.md). 

## Permitir que um usuário gerencie usuários do IAM
<a name="creds-policies-users"></a>

A política a seguir permite que um usuário execute todas as tarefas associadas ao gerenciamento de usuários do IAM, mas não execute ações em outras entidades, como a criação de grupos ou políticas. As ações permitidas incluem: 
+ Criar o usuário (a ação [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)). 
+ Excluir o usuário. Esta tarefa requer permissões para executar todas as seguintes ações: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html). 
+ Listar os usuários na conta e em grupos (as ações [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)). 
+ Listar e remover políticas do usuário (as ações [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)) 
+ Renomear ou alterar o caminho para o usuário (a ação [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). O elemento `Resource` deve incluir um nome de recurso da Amazon (ARN) que abrange o caminho da fonte e o caminho de destino. Para obter mais informações sobre caminhos, consulte [Nomes amigáveis e caminhos](reference_identifiers.md#identifiers-friendly-names).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Várias permissões incluídas na política anterior permitem que o usuário execute tarefas no Console de gerenciamento da AWS. Os usuários que executam tarefas relacionadas ao usuário apenas na [AWS CLI](https://aws.amazon.com/cli/), nos [AWS SDKs](https://aws.amazon.com/tools/) ou na API de consulta HTTP do IAM podem não precisar de determinadas permissões. Por exemplo, se os usuários já conhecerem o nome de recurso da Amazon (ARN) das políticas a serem desanexadas de um usuário, eles não precisarão da permissão `iam:ListAttachedUserPolicies`. A lista exata de permissões que um usuário requer depende das tarefas que o usuário deve executar enquanto gerencia outros usuários. 

As seguintes permissões na política permitem acesso a tarefas do usuário por meio do Console de gerenciamento da AWS:
+ `iam:GetAccount*`
+ `iam:ListAccount*`

## Permitir que usuários definam a política de senha da conta
<a name="creds-policies-set-password-policy"></a>

Você pode conceder a alguns usuários permissões para obter e atualizar a [política de senha](id_credentials_passwords_account-policy.md) da sua Conta da AWS. Para visualizar a política de exemplo, consulte [IAM: permite configurar os requisitos de senha da conta de forma programática e no console](reference_policies_examples_iam_set-account-pass-policy.md). 

## Permitir que usuários gerem e recuperem relatórios de credenciais do IAM
<a name="iampolicy-generate-credential-report"></a>

Você pode conceder aos usuários permissão para gerar e baixar um relatório que liste todos os usuários na sua Conta da AWS. O relatório também lista o status de diversas credenciais de usuário, incluindo senhas, chaves de acesso, dispositivos MFA e certificados de assinatura. Para obter mais informações sobre relatórios de credenciais do , consulte [Gerar relatórios de credenciais para sua Conta da AWS](id_credentials_getting-report.md). Para visualizar a política de exemplo, consulte [IAM: gerar e recuperar relatórios de credenciais do IAM](reference_policies_examples_iam-credential-report.md). 

## Permitir todas as ações do IAM (acesso de administrador)
<a name="creds-policies-all-iam"></a>

Você pode conceder a alguns usuários permissões administrativas para executar todas as ações no IAM, incluindo o gerenciamento de senhas, chaves de acesso, dispositivos com MFA e certificados de usuário. No exemplo a seguir a política concede estas permissões. 

**Atenção**  
Quando você concede a um usuário acesso total ao IAM, não há limite de permissões que um usuário possa conceder a si mesmo e aos outros. O usuário pode criar novas entidades (usuários ou perfis) do IAM e conceder a essas entidades acesso total a todos os recursos na sua Conta da AWS. Ao conceder a um usuário acesso total ao IAM, você está efetivamente fornecendo a ele acesso total a todos os recursos na sua Conta da AWS. Isso inclui acesso para excluir todos os recursos. Você deve conceder essas permissões apenas a administradores confiáveis e aplicar autenticação multifator (MFA) a esses administradores.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}
```

------

# Delegação temporária do IAM
<a name="access_policies-temporary-delegation"></a>

## Visão geral
<a name="temporary-delegation-overview"></a>

A delegação temporária acelera a integração e simplifica o gerenciamento de produtos da Amazon e de parceiros da AWS que se integram às suas contas da AWS. Em vez de configurar manualmente vários serviços da AWS, você pode delegar permissões temporárias e limitadas que permitem que o provedor do produto conclua as tarefas de configuração em seu nome em minutos por meio de fluxos de trabalho de implantação automatizados. Você mantém o controle administrativo com os requisitos de aprovação e os limites de permissões, enquanto as permissões do provedor do produto expiram automaticamente após a duração aprovada, sem a necessidade de limpeza manual. Se o produto exigir acesso persistente para operações contínuas, o provedor poderá usar a delegação temporária para criar um perfil do IAM com um limite de permissões que define as permissões máximas do perfil. Todas as atividades dos provedores de produtos são monitoradas pelo AWS CloudTrail para monitoramento de conformidade e segurança.

**nota**  
Solicitações de delegação temporária só podem ser criadas por produtos da Amazon e parceiros qualificados da AWS que concluíram o processo de integração do recurso. Os clientes analisam e aprovam essas solicitações, mas não podem criá-las diretamente. Se você for um parceiro da AWS que deseja integrar a delegação temporária do IAM em seu produto, consulte o [Guia de integração de parceiros](access_policies-temporary-delegation-partner-guide.md) para obter instruções de integração e inclusão.

## Como funciona a delegação temporária
<a name="temporary-delegation-how-it-works"></a>

A delegação temporária permite que a Amazon e os parceiros da AWS solicitem acesso temporário e limitado à sua conta. Após sua aprovação, eles podem usar permissões delegadas para realizar ações em seu nome. As solicitações de delegação definem permissões específicas para os serviços da AWS e ações que o provedor do produto precisa para implantar ou configurar recursos em sua conta da AWS. Essas permissões só estão disponíveis por tempo limitado e expiram automaticamente após a duração especificada na solicitação.

**nota**  
A duração máxima do acesso delegado é de 12 horas. No entanto, os usuários-raiz só podem aprovar solicitações de delegação com duração de quatro horas ou menos. Se uma solicitação especificar mais de quatro horas, você deverá usar uma identidade não raiz para aprovar a solicitação. Para obter detalhes, consulte [Capacidade beta de simulação de permissão](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).

Para tarefas contínuas, como a leitura de um bucket do Amazon S3, as solicitações de delegação podem incluir a criação de um perfil do IAM que permite acesso contínuo a recursos e ações após a expiração do acesso temporário. Os provedores de produtos devem anexar um limite de permissões a qualquer perfil do IAM criado por meio de delegação temporária. Os limites de permissões limitam as permissões máximas de um perfil, mas não concedem permissões sozinhos. Você pode analisar o limite da permissões como parte da solicitação antes de aprová-la. Para obter detalhes, consulte [Limites de permissões](access_policies_boundaries.md).

O processo funciona da seguinte maneira:

1. Você faz login em um produto da Amazon ou de um parceiro da AWS para integrá-lo ao seu ambiente da AWS.

1. O provedor do produto inicia uma solicitação de delegação em seu nome e o redireciona para o Console de Gerenciamento da AWS.

1. Você analisa as permissões solicitadas e determina se deve aprovar, negar ou encaminhar a solicitação ao administrador.

1. Depois que você ou seu administrador aprovar a solicitação, o provedor do produto poderá obter as credenciais temporárias do aprovador para realizar as tarefas necessárias.

1. O acesso do provedor do produto expira automaticamente após o período especificado. No entanto, qualquer perfil do IAM criado por meio da solicitação de delegação temporária persiste além desse período, permitindo que o provedor do produto continue acessando os recursos e as ações para tarefas de gerenciamento contínuas.

![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/delegation-flow.png)


**nota**  
Você só poderá delegar permissões a um provedor de produto se tiver permissões para os serviços e as ações incluídos na solicitação de delegação temporária. Se você não tiver acesso às ações e aos serviços solicitados, o provedor do produto não receberá essas permissões quando você aprovar a solicitação.

Se a verificação de permissão mostrar que é provável que seja bem-sucedida, você poderá aprovar a solicitação de delegação temporária e continuar com o fluxo de trabalho.

Se a verificação de permissão mostrar que você pode não ter permissões suficientes, encaminhe a solicitação ao administrador para aprovação. Recomendamos notificar seu administrador sobre essa solicitação usando seu método preferencial, como um e-mail ou um tíquete.

Depois que o administrador aprova a solicitação, o que acontece a seguir depende da configuração do provedor do produto:
+ Se o provedor do produto solicitar acesso imediato, ele receberá automaticamente permissões temporárias e a duração do acesso começará.
+ Se o provedor do produto tiver solicitado a liberação pelo proprietário (destinatário inicial), você deverá retornar à solicitação para compartilhar explicitamente o acesso temporário à conta antes que a duração do acesso comece. Os provedores de produtos geralmente usam essa opção quando precisam de informações adicionais de você, como a seleção de recursos ou os detalhes de configuração, para concluir a tarefa necessária.

# Iniciar uma solicitação de delegação temporária
<a name="temporary-delegation-initiate-request"></a>

Você pode iniciar uma solicitação de delegação temporária somente de produtos compatíveis da Amazon ou de parceiros da AWS. Durante um fluxo de trabalho que ofereça suporte à delegação temporária, você será solicitado a conceder ao provedor do produto permissões temporárias e limitadas para configurar os recursos necessários da AWS em sua conta. Essa abordagem automatizada fornece uma experiência mais otimizada, eliminando a necessidade de configurar esses recursos manualmente.

Você pode revisar os detalhes da solicitação de delegação, como os perfis, as políticas e os serviços da AWS específicos do IAM de que o provedor do produto precisa antes de conceder acesso. Você mesmo pode aprovar a solicitação, se tiver permissões suficientes, ou encaminhar a solicitação ao administrador da conta para aprovação. Todo o acesso do provedor do produto tem limite de tempo e pode ser monitorado e revogado conforme necessário.

**Para iniciar uma solicitação de delegação temporária**

1. Navegue até o console de um produto compatível da Amazon ou de parceiros da AWS que exija integração com sua conta da AWS.

1. Selecione *Implantar com delegação temporária do IAM*. Observe que o nome da opção pode variar entre os produtos compatíveis. Consulte a documentação do provedor do produto para obter detalhes.
**nota**  
Se você ainda não estiver conectado ao Console de Gerenciamento da AWS, uma nova janela será aberta na página de login da AWS. Recomendamos que você faça login na sua conta da AWS antes de iniciar a solicitação de delegação temporária no console do produto. Para obter mais informações sobre como fazer login com base no seu tipo de usuário e nos recursos da AWS que deseja acessar, consulte o [Guia de início de sessão da AWS](docs---aws.amazon.com.rproxy.goskope.comsignin/latest/userguide/what-is-sign-in.html).

1. Revise os detalhes da solicitação para confirmar o nome do produto e a conta da AWS do provedor do produto. Você também pode revisar a identidade da AWS que o provedor do produto usará para executar ações em seu nome.

1. Revise os *detalhes do acesso* para ver as permissões que serão delegadas temporariamente ao aprovar essa solicitação.
   + A seção *Resumo das permissões* fornece uma visão geral de alto nível gerada por IA que pode ajudar você a entender quais categorias de serviços da AWS podem ser acessadas e quais tipos de ações podem ser executadas em cada serviço.
   + Escolha *Exibir JSON* para revisar as permissões específicas que o provedor do produto precisa implantar em sua conta da AWS, incluindo o escopo de acesso e as limitações de recursos.
   + Se o provedor do produto criar um perfil do IAM como parte de uma solicitação de delegação temporária, um limite de permissões deverá ser anexado ao perfil. Esses perfis do IAM têm permissões que continuam a permitir acesso a recursos e ações após a expiração da duração do acesso solicitado. Escolha *Visualizar detalhes* para revisar o limite de permissões, que define as permissões máximas que o perfil pode ter. O provedor do produto aplicará políticas adicionais ao perfil durante a criação que definam suas permissões reais. Essas políticas podem parecer ser mais restritas ou mais amplas do que o limite, dependendo de como o provedor do produto as define. No entanto, o limite de permissões garante que as permissões efetivas do perfil nunca excedam o que você vê durante a aprovação da solicitação, independentemente das políticas associadas ao perfil. Para obter mais informações, consulte[Limites de permissões](access_policies_boundaries.md).

1. Analise os resultados da simulação de permissão. O recurso de simulação de permissão avalia automaticamente as permissões de sua identidade em relação às incluídas na solicitação. Com base nessa análise, uma recomendação é exibida indicando se você deve aprovar a solicitação com sua identidade atual ou encaminhar a solicitação para um administrador. Para obter detalhes, consulte [Capacidade beta de simulação de permissão](#temporary-delegation-permission-simulation).

1. Na caixa de diálogo, selecione como deseja continuar.
   + Selecione *Permitir acesso* quando sua identidade tiver permissões suficientes para permitir que o provedor do produto realize procedimentos de integração em seu nome. Quando você seleciona essa opção, a duração do acesso do provedor do produto começa assim que você fornece acesso.
   + Selecione *Solicitar aprovação* se sua identidade não tiver permissões suficientes para permitir que o provedor do produto realize procedimentos de integração em seu nome. Em seguida, escolha *Criar solicitação de aprovação*. Quando você seleciona essa opção, é criado um link de solicitação de delegação temporária que você pode compartilhar com o administrador da conta. Seu administrador pode acessar o Console de Gerenciamento da AWS ou usar o link de acesso para revisar as solicitações de delegação temporária para aprovar a solicitação e compartilhar o acesso temporário com o solicitante.

**nota**  
Conceder acesso ao provedor do produto requer duas ações: aceitar a solicitação de delegação (`AcceptDelegationRequest`) e liberar o token de troca (`SendDelegatedToken`). O Console de Gerenciamento da AWS executa as duas etapas automaticamente quando você aprova uma solicitação. Se você usar a AWS CLI ou a API, deverá executar as duas etapas separadamente.

## Capacidade beta de simulação de permissão
<a name="temporary-delegation-permission-simulation"></a>

Ao receber uma solicitação de delegação temporária, você mesmo pode aprová-la ou encaminhá-la ao administrador da conta para aprovação. Você só poderá delegar permissões a um provedor de produto se tiver permissões para os serviços e as ações incluídos na solicitação de delegação temporária. Se você não tiver acesso aos serviços e ações solicitados, o provedor do produto não receberá essas permissões, mesmo que elas estejam incluídas na solicitação.

Por exemplo, uma solicitação de delegação temporária exige a capacidade de criar um bucket do Amazon S3, iniciar e interromper instâncias no Amazon EC2 e assumir uma perfil do IAM. A identidade que aprova a solicitação pode iniciar e interromper instâncias no Amazon EC2 e assumir um perfil do IAM, mas não tem permissão para criar um bucket do Amazon S3. Quando essa identidade aprova a solicitação, o provedor do produto não consegue criar um bucket do Amazon S3, mesmo que essas permissões tenham sido incluídas na solicitação de delegação temporária.

Como você só pode delegar permissões que você já possui, é fundamental avaliar se você tem as permissões solicitadas antes de aprovar. O recurso beta de simulação de permissões ajuda nessa avaliação comparando suas permissões com as incluídas na solicitação. A avaliação indica se você pode aprovar a solicitação com sua identidade atual ou se precisa encaminhá-la para um administrador. Se a análise não puder validar que você tem permissões suficientes, encaminhe a solicitação a um administrador para análise. Essa avaliação é baseada em uma análise simulada de permissões e pode ser diferente do seu ambiente ativo da AWS, portanto, analise as permissões solicitadas com cuidado antes de continuar.

## Próximas etapas
<a name="temporary-delegation-next-steps"></a>

Depois de iniciar uma solicitação de delegação temporária, você pode gerenciar e monitorar a solicitação ao longo de todo o seu ciclo de vida. Os seguintes procedimentos ajudam você a rastrear, aprovar e controlar o acesso temporário:
+ [Revisar as solicitações de delegação temporária](temporary-delegation-review-requests.md): monitore o status de suas solicitações de acesso e visualize informações detalhadas sobre as solicitações para aprovar ou negar solicitações de delegação temporária.
+ [Revogar o acesso de delegação temporária](temporary-delegation-revoke-access.md): encerre imediatamente as sessões ativas de delegação temporária antes que elas expirem naturalmente.

# Analisar as solicitações de delegação temporária
<a name="temporary-delegation-review-requests"></a>

Depois de iniciar uma solicitação de delegação temporária, você pode monitorar, aprovar e rejeitar solicitações no console do IAM. A página de solicitações de delegação temporária fornece uma visão centralizada de todas as solicitações, incluindo aquelas que estão com a aprovação pendente, concluídas ou rejeitadas. Como administrador, você pode analisar essas solicitações para conceder aos provedores de produtos acesso aos recursos da AWS ou rejeitá-las com base nas políticas de segurança, nos requisitos do negócio ou nos padrões de conformidade da sua organização. Essa visibilidade ajuda você a monitorar o ciclo de vida do acesso do provedor do produto e a manter a supervisão das permissões temporárias.

**nota**  
Você deve ter a permissão iam:AcceptDelegationRequest para aprovar solicitações de delegação temporária.

**Para aprovar uma solicitação de delegação temporária**

1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

1. No painel de navegação à esquerda, escolha *Solicitações de delegação temporária*.

1. A página principal exibe uma lista das solicitações de delegação temporária com as seguintes informações:
   + *ID da solicitação*: identificador exclusivo da solicitação
   + *Status*: status atual (pendente, aprovado, rejeitado, compartilhado, expirado)
   + *Solicitante*: provedor do produto associado à solicitação
   + *Iniciado por*: a entidade principal do IAM na conta que iniciou a solicitação para o provedor do produto
   + *Solicitação criada*: quando a solicitação foi enviada
   + *Expiração da solicitação*: quando a solicitação expirou ou expirará

1. (Opcional) Use as opções de filtro para visualizar as solicitações por status:
   + *Todas as solicitações*: visualize todas as suas solicitações, independentemente do status
   + *Pendente*: visualize as solicitações que aguardam a aprovação do administrador
   + *Aprovada*: visualize as solicitações aprovadas
   + *Compartilhada*: visualize as solicitações para as quais o acesso foi compartilhado
   + *Rejeitada*: visualize as solicitações rejeitadas com os motivos da rejeição

1. Para ver as informações detalhadas sobre uma solicitação específica ou para analisar uma solicitação com a aprovação pendente, escolha o ID da solicitação.

1. Analise as informações detalhadas da solicitação:
   + Informações do provedor do produto
   + Motivo e justificativa doa solicitação
   + Duração solicitada
   + Permissões solicitadas da AWS

1. Se você for um administrador que está analisando uma solicitação pendente, escolha uma das seguintes opções:
   + Para aprovar a solicitação, escolha *Aprovar*. Na caixa de diálogo de aprovação, é possível visualizar os resultados da simulação da permissão. Para obter mais informações, consulte [Capacidade beta de simulação de permissão](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Depois de confirmar a duração do acesso e sua identidade da AWS, escolha *Aprovar* para conceder acesso. Se o provedor do produto solicitar acesso imediato, ele receberá automaticamente permissões temporárias e a duração do acesso começará. Caso contrário, notifique a pessoa que iniciou a solicitação para liberar o acesso ao provedor do produto.
   + Para rejeitar a solicitação, escolha *Rejeitar*.
     + Na caixa de diálogo de rejeição, forneça um motivo claro para a rejeição para ajudar o solicitante a entender por que sua solicitação foi negada.
     + Escolha *Rejeitar* para negar o acesso.

1. A lista de solicitações é atualizada automaticamente para mostrar as informações de status mais atuais. Você também pode atualizar a página manualmente para verificar se há atualizações de status.

# Revogar o acesso temporário da delegação
<a name="temporary-delegation-revoke-access"></a>

Embora as sessões de acesso do provedor do produto tenham sido projetadas para expirar automaticamente após a duração aprovada, talvez seja necessário encerrar o acesso imediatamente em determinadas situações. A revogação do acesso ativo do provedor do produto fornece um mecanismo de controle de emergência quando surgem questões de segurança, quando o trabalho do provedor do produto é concluído antecipadamente ou quando os requisitos do negócio mudam. Tanto os iniciadores quanto os administradores da solicitação podem revogar o acesso para manter a segurança e o controle operacional.

**Para revogar o acesso temporário da delegação**

1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

1. No painel de navegação à esquerda, escolha *Solicitações de delegação temporária*.

1. Localize o ID da solicitação da sessão de acesso que você deseja revogar.

1. Escolha *Ações* e depois *Revogar acesso*.

1. Na caixa de diálogo, escolha *Revogar acesso* para confirmar que você deseja encerrar imediatamente a sessão de acesso.

Após revogar o acesso, o provedor do produto não poderá mais acessar seus recursos da AWS. A revogação é registrada em log no AWS CloudTrail para fins de auditoria.

**Importante**  
A revogação do acesso encerra imediatamente a sessão de acesso do provedor do produto. Qualquer trabalho ou processo em andamento usando o acesso será interrompido. Certifique-se de que a revogação não interrompa operações críticas.

**nota**  
Você não pode revogar o acesso para solicitações que foram aprovadas usando um usuário-raiz. A AWS recomenda que você evite usar um usuário-raiz para aprovar solicitações de delegação. Use um perfil do IAM com as permissões adequadas.

## Gerenciamento de permissões para solicitações de delegação
<a name="temporary-delegation-managing-permissions"></a>

Os administradores podem conceder permissões às entidades principais do IAM para gerenciar solicitações de delegação de provedores de produtos. Isso é útil quando você deseja delegar autoridade de aprovação a usuários ou equipes específicos em sua organização ou quando precisa controlar quem pode realizar ações específicas em solicitações de delegação.

As seguintes permissões do IAM estão disponíveis para gerenciar solicitações de delegação:


| Permissão | Descrição | 
| --- | --- | 
| iam:AssociateDelegationRequest | Associe uma solicitação de delegação não atribuída à sua conta da AWS | 
| iam:GetDelegationRequest | Visualize detalhes de uma solicitação de delegação | 
| iam:UpdateDelegationRequest | Encaminhe uma solicitação de delegação a um administrador para aprovação | 
| iam:AcceptDelegationRequest | Aprove uma solicitação de delegação | 
| iam:SendDelegationToken | Libere o token de troca para o provedor do produto após a aprovação | 
| iam:RejectDelegationRequest | Rejeite uma solicitação de delegação | 
| iam:ListDelegationRequests | Liste solicitações de delegação para sua conta | 

**nota**  
Por padrão, as entidades principais do IAM que iniciam uma solicitação de delegação recebem automaticamente permissões para gerenciar essa solicitação específica. Elas podem associá-la à sua conta, visualizar os detalhes da solicitação, rejeitar uma solicitação, encaminhá-la a um administrador para aprovação, liberar o token de troca para o provedor do produto após a aprovação do administrador e listar as solicitações de delegação de sua propriedade.

# Notificações
<a name="temporary-delegation-notifications"></a>

A delegação temporária do IAM se integra às Notificações de Usuários da AWS para ajudar você a se manter informado sobre as mudanças no estado da solicitação de delegação. As notificações são particularmente úteis para administradores que precisam revisar e aprovar solicitações de delegação.

Com as Notificações de Usuários da AWS, você pode configurar alertas para serem entregues por meio de vários canais, incluindo e-mail, o Amazon Simple Notification Service (SNS), o AWS Chatbot para Slack ou Microsoft Teams e o aplicativo móvel do Console da AWS. Isso garante que as pessoas certas sejam notificadas no momento certo, permitindo uma resposta mais rápida às aprovações pendentes ou o conhecimento das mudanças de acesso. Você também pode personalizar quais eventos acionam notificações com base nas necessidades e nos requisitos de segurança da sua organização.

## Eventos de notificação disponíveis
<a name="temporary-delegation-notification-events"></a>

É possível se inscrever para receber notificações para os seguintes eventos de delegação temporária do IAM:
+ Solicitação de delegação temporária do IAM criada
+ Solicitação de delegação temporária do IAM atribuída
+ Solicitação de delegação temporária do IAM com aprovação pendente
+ Solicitação de delegação temporária do IAM rejeitada
+ Solicitação de delegação temporária do IAM aceita
+ Solicitação de delegação temporária do IAM finalizada
+ Solicitação de delegação temporária do IAM expirada

## Configuração de notificações
<a name="temporary-delegation-configuring-notifications"></a>

Para configurar notificações para eventos de delegação temporária do IAM:

1. Abra o console das Notificações de Usuários da AWS

1. Crie ou atualize uma configuração de notificação

1. Selecione AWS IAM como o serviço

1. Escolha sobre quais eventos de solicitação de delegação você deseja ser notificado

1. Configure seus canais de entrega (e-mail, AWS Chatbot etc.)

Para obter instruções detalhadas sobre como configurar as Notificações de Usuários da AWS, incluindo a configuração de canais de entrega e o gerenciamento de regras de notificação, consulte a documentação de Notificações de Usuários da AWS.

# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Todas as ações realizadas pelos provedores de produtos usando acesso delegado temporário são registradas automaticamente no AWS CloudTrail. Isso fornece uma visibilidade e auditabilidade completas da atividade do provedor do produto em sua conta da AWS. Você pode identificar quais ações foram executadas pelos provedores de produtos, quando elas ocorreram e qual conta de provedor de produto as executou.

Para ajudar você a distinguir entre as ações executadas por suas próprias entidades principais do IAM e aquelas realizadas por provedores de produtos com acesso delegado, os eventos do CloudTrail incluem um novo campo chamado `invokedByDelegate` abaixo do elemento `userIdentity`. Esse campo contém o ID da conta da AWS do provedor do produto, facilitando a filtragem e a auditoria de todas as ações delegadas.

## Estrutura de eventos do CloudTrail
<a name="temporary-delegation-cloudtrail-event-structure"></a>

O exemplo abaixo mostra uma evento do CloudTrail para uma ação realizada por um provedor de produtos usando acesso delegado temporário:

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

O campo `invokedByDelegate` contém o ID da conta da AWS do provedor do produto que executou a ação usando o acesso delegado. Neste exemplo, a conta 444455556666 (o provedor do produto) executou uma ação na conta 111122223333 (a conta do cliente).

# Delegação temporária do IAM para parceiros da AWS
<a name="access_policies-temporary-delegation-partner-guide"></a>

## Visão geral
<a name="temporary-delegation-partner-overview"></a>

A delegação temporária do IAM permite que os clientes da AWS incluam e/ou integrem de forma otimizada os produtos de parceiros da AWS em seu ambiente da AWS por meio de fluxos de trabalho interativos e guiados. Os clientes podem conceder aos parceiros da AWS acesso limitado e temporário para configurar os serviços necessários da AWS, reduzindo o atrito na integração e acelerando a geração de valor.

A delegação temporária do IAM permite que os parceiros:
+ Simplifiquem a integração de clientes com o provisionamento automatizado de recursos
+ Reduzam a complexidade da integração eliminando as etapas de configuração manual
+ Criem confiança por meio de permissões transparentes e aprovadas pelo cliente
+ Habilitem operações contínuas com padrões de acesso de longo prazo usando os limites de permissões

## Como funciona
<a name="temporary-delegation-how-it-works"></a>

1. *Parceiro cria uma solicitação de delegação*: os parceiros criam uma solicitação especificando quais permissões precisam e por quanto tempo.

1. *Avaliações de clientes no Console da AWS*: o cliente vê exatamente quais permissões o parceiro está solicitando e o porquê.

1. *Cliente aprova*: o cliente aprova a solicitação e libera um token de troca. O token é enviado ao parceiro nesse tópico específico do SNS.

1. *Parceiro recebe credenciais temporárias*: os parceiros trocam o token por credenciais temporárias da AWS.

1. *Parceiro configura os recursos*: os parceiros usam as credenciais para configurar os recursos necessários na conta do cliente

## Qualificação de parceiros
<a name="temporary-delegation-partner-qualification"></a>

Para se qualificar para a integração de delegação temporária, um parceiro deve atender aos seguintes requisitos:
+ *Participação no ISV Accelerate*: você deve estar inscrito no programa [ISV Accelerate (ISVA)](https://aws.amazon.com/partners/programs/isv-accelerate/).
+ *Listagem no AWS Marketplace*: seu produto deve estar listado no AWS Marketplace com o selo “Implantado na AWS”.

## Processo de integração
<a name="temporary-delegation-onboarding-process"></a>

Conclua as seguintes etapas para integrar a delegação temporária ao seu produto:

1. *Etapa 1: revisar os requisitos*

   Analise esta documentação para entender os requisitos de qualificação e preencher o questionário de parceiro abaixo.

1. *Etapa 2: enviar sua solicitação de integração*

   Envie um e-mail para aws-iam-partner-onboarding@amazon.com ou entre em contato com seu representante da AWS. Inclua seu questionário de parceiro preenchido com todos os campos obrigatórios da tabela abaixo.

1. *Etapa 3: validação e revisão da AWS*

   AWSO :
   + Valide que você atende aos critérios de qualificação.
   + Revise seus modelos de política e limites de permissões.
   + Forneça feedback sobre os artefatos enviados.

1. *Etapa 4: refinar suas políticas*

   Responda ao feedback da AWS e envie modelos de políticas ou limites de permissão atualizados, conforme necessário.

1. *Etapa 5: concluir o registro*

   Uma vez aprovado, a AWS vai:
   + Habilitar o acesso à API para suas contas especificadas
   + Compartilhar ARNs para seu modelo de política e limite de permissões (se aplicável)

   Você receberá uma confirmação quando a integração for concluída. Em seguida, você pode acessar as APIs de delegação temporária, CreateDelegationRequest e GetDelegatedAccessToken, de suas contas registradas e começar a integrar fluxos de trabalho de solicitação de delegação em seu produto.

## Questionário de parceiro
<a name="temporary-delegation-partner-questionnaire"></a>

A tabela a seguir lista as informações necessárias para a integração do parceiro:


| Informações | Descrição | Obrigatório | 
| --- | --- | --- | 
| AccountID da Central de Parceiros | ID da conta da sua conta da AWS registrada no [Central de Parceiros da AWS](https://partnercentral.awspartner.com/partnercentral2/s/login). | Sim | 
| PartnerId | ID do parceiro fornecido pela [Central de Parceiros da AWS](https://partnercentral.awspartner.com/partnercentral2/s/login). | Não | 
| ID de produto do AWS Marketplace | ID de produto para seu produto fornecido pelo [Central de Parceiros da AWS](https://partnercentral.awspartner.com/partnercentral2/s/login). | Sim | 
| AccountIDs da AWS | A lista de seus IDs de conta da AWS que você deseja usar para chamar APIs de delegação temporária. Ela deve incluir suas contas de produção e de não produção/teste. | Sim | 
| Nome do parceiro | Esse nome é exibido para os clientes no Console de Gerenciamento da AWS quando eles analisam sua solicitação de delegação temporária. | Sim | 
| E-mails de contato | Um ou mais endereços de e-mail que podemos usar para entrar em contato com você sobre sua integração. | Sim | 
| Domínio do solicitante | Seu domínio (por exemplo, www.exemplo.com) | Sim | 
| Descrição da integração | Breve descrição do caso de uso que você deseja abordar usando esse recurso. Você pode incluir links de referência para sua documentação ou outro material público. | Sim | 
| Diagrama de arquitetura | Diagrama de arquitetura ilustrando seus casos de uso de integração. | Não | 
| Modelo de política | Você deve registrar pelo menos um modelo de política para esse recurso. O modelo de política define as permissões temporárias que você deseja solicitar nas contas da AWS dos clientes. Para obter mais informações, consulte a seção Modelo de política. | Sim | 
| Nome do modelo de política | Nome do modelo de política que você deseja registrar. | Sim | 
| Limiar de permissões | Se você quiser criar perfis do IAM nas contas dos clientes usando permissões temporárias, você deve registrar um limite de permissões no IAM. Os limites de permissões serão anexados aos perfis do IAM que você criar para limitar o máximo de permissões no perfil do IAM. Você pode usar políticas gerenciadas pela AWS selecionadas como um limite de permissões ou registrar um novo limite de permissões personalizado (JSON). Para obter mais informações, consulte a seção Limites de permissões. | Não | 
| Nome do limite de permissões | O nome do seu limite de permissões. O formato é arn:aws:iam::partner:policy/permission\$1boundary/<partner\$1domain>/<policy\$1name>\$1<date> O nome da política deve incluir a data de criação como sufixo. O nome não pode ser atualizado depois que o limite de permissões é criado. Se você estiver usando uma política existente gerenciada pela AWS, forneça então o ARN da política gerenciada. | Não | 
| Descrição do limite de permissões | Descrição do limite para o limite de permissões. Essa descrição não poderá ser atualizada após a criação do limite de permissões. | Não | 

# Noções básicas sobre a integração
<a name="temporary-delegation-understanding-integration"></a>

Depois de concluir o processo de integração, você pode criar sua integração com a delegação temporária do IAM. Uma integração completa normalmente envolve três categorias principais de trabalho:

## 1. Experiência do usuário e design do fluxo de trabalho
<a name="temporary-delegation-user-experience"></a>

Crie uma experiência de frontend na aplicação de parceiros que oriente os clientes no fluxo de trabalho de delegação temporária. A aplicação do parceiro deve:
+ Apresentar um fluxo claro de integração ou configuração em que os clientes possam conceder acesso temporário. Identifique essa ação de forma clara, como “Implantar com delegação temporária do IAM”.
+ Redirecionar os clientes para o Console de Gerenciamento da AWS para revisar e aprovar a solicitação de delegação usando o link do console retornado pela API CreateDelegationRequest.
+ Fornecer mensagens apropriadas sobre quais permissões estão sendo solicitadas e o porquê. Os clientes podem ver essa mensagem na página de detalhes da solicitação de delegação.
+ Gerenciar o retorno do cliente à sua aplicação após concluir a aprovação na AWS.

## 2. Integração de APIs
<a name="temporary-delegation-api-integration"></a>

Use as APIs de delegação temporária do IAM para enviar e gerenciar solicitações de delegação. Depois que suas contas da AWS estiverem registradas, você poderá acessar as seguintes APIs:
+ *CreateDelegationRequest do IAM*: cria uma solicitação de delegação para a conta da AWS de um cliente. Essa API retorna um link do console para o qual você redireciona os clientes para revisar e aprovar a solicitação.
+ *GetDelegatedAccessToken do AWS STS*: recupera as credenciais temporárias da AWS depois que um cliente aprova sua solicitação de delegação. Use essas credenciais para executar ações na conta do cliente.

Sua integração deve lidar com todo o ciclo de vida das solicitações de delegação, incluindo a criação de solicitações, o monitoramento de seu status e a recuperação de credenciais temporárias quando aprovadas.

## 3. Configuração e orquestração de recursos
<a name="temporary-delegation-resource-configuration"></a>

Depois de obter as credenciais temporárias, orquestre os fluxos de trabalho necessários para configurar os recursos na conta da AWS do cliente. Isso pode incluir:
+ Chamar APIs de serviço da AWS diretamente para criar e configurar recursos
+ Implantar a infraestrutura usando modelos do AWS CloudFormation
+ Criar perfis do IAM para acesso contínuo (requer o uso de limites de permissões)

Sua lógica de orquestração deve ser idempotente e lidar com as falhas de forma resiliente, pois os clientes podem precisar repetir o processo ou modificar suas aprovações de delegação.

# Análise das permissões
<a name="temporary-delegation-understanding-permissions"></a>

Como parte do processo de integração de recursos, você precisará registrar políticas no IAM que definam as permissões que você deseja solicitar nas contas dos clientes da AWS. O processo de registro fornece uma experiência mais consistente para os clientes e ajuda a evitar armadilhas comuns na criação de políticas.

Durante o registro, a AWS avalia suas políticas em relação a um conjunto de validações. Essas validações têm como objetivo padronizar a formatação e a estrutura das políticas e fornecer proteções básicas contra antipadrões conhecidos. As validações também reduzem o risco de escalonamentos de privilégios, acesso não intencional entre contas e amplo acesso a recursos de alto valor nas contas dos clientes.

## Tipos de permissões
<a name="temporary-delegation-permission-types"></a>

A AWS considerará duas categorias de permissões: temporárias e de longo prazo.

### Permissões temporárias
<a name="temporary-delegation-temporary-permissions"></a>

As permissões temporárias limitam as permissões atribuídas a qualquer sessão temporária de acesso delegado. As permissões temporárias são descritas nos modelos de política que são aplicados à sessão delegada. Os modelos oferecem suporte aos parâmetros que você fornece ao criar uma solicitação de delegação. Esses valores de parâmetros são então vinculados à sessão. Atualmente, as permissões temporárias funcionam da mesma forma que as políticas de sessão disponíveis no AWS STS: as políticas limitam a capacidade do usuário subjacente, mas não concedem nenhum acesso adicional. Para obter mais informações, consulte a documentação do AWS STS nas políticas de sessão.

### Permissões de longo prazo
<a name="temporary-delegation-long-term-permissions"></a>

As permissões de longo prazo limitam as permissões de qualquer perfil criado ou gerenciado por meio de acesso temporário. As permissões de longo prazo são implementadas como limites de permissões do IAM. Você pode enviar um ou mais limites de permissões para a AWS como parte da integração. Depois de aprovado, a AWS compartilhará com você um ARN de política que você pode referenciar em suas políticas.

Essas políticas de limite têm duas características marcantes. Primeiro, elas são imutáveis. Se quiser atualizar as permissões, você pode registrar um novo limite de permissões. Depois, você pode anexar o novo limite de permissões aos perfis de seus clientes enviando uma nova solicitação de delegação. Segundo, as políticas não são modeladas. Como a mesma política de limite é compartilhada globalmente, ela não pode ser alterada de forma individualizada por cliente.

**Importante**  
Os limites de permissões têm um limite máximo de tamanho de 6.144 caracteres.

**nota**  
Se você quiser atualizar um limite de permissões ou modelo de política, entre em contato com o IAM em aws-iam-partner-onboarding@amazon.com. Depois que o novo limite de permissões for registrado, você poderá enviar uma solicitação de delegação aos clientes para atualizar o perfil do IAM e anexar o limite de permissões recém-registrado. Consulte a seção Exemplos para obter mais detalhes.

## Exemplo de caso de uso: workload de processamento de dados
<a name="temporary-delegation-example-use-case"></a>

Considere um provedor de produtos que executa uma workload de processamento de dados nas contas dos clientes. O provedor precisa configurar a infraestrutura durante a integração inicial, mas também requer acesso contínuo para operar a workload.

*Permissões temporárias (para a configuração inicial):*
+ Criar instâncias do Amazon EC2, a VPC e grupos de segurança
+ Criar um bucket do Amazon S3 para dados processados
+ Criar um perfil do IAM para operações em andamento
+ Anexar um limite de permissões ao perfil do IAM

*Permissões de longo prazo (perfil do IAM com limite de permissões para operações em andamento):*
+ Iniciar e interromper as instâncias do Amazon EC2 para executar trabalhos de processamento
+ Ler dados de entrada de um bucket do Amazon S3
+ Gravar resultados processados no bucket do Amazon S3

As permissões temporárias são usadas uma vez durante a integração para configurar a infraestrutura. O perfil do IAM criado durante esse processo tem um limite de permissões que limita suas permissões máximas somente às operações necessárias para o gerenciamento contínuo da workload. Isso garante que, mesmo que as políticas do perfil sejam modificadas, ele não exceda as permissões definidas no limite.

# Diretrizes da avaliação de políticas
<a name="temporary-delegation-policy-evaluation-guidelines"></a>

A AWS avaliará suas políticas enviadas em relação a um conjunto de diretrizes. As mesmas diretrizes de avaliação se aplicam tanto aos modelos de política quanto aos limites de permissões, com pequenas diferenças observadas quando apropriado.

Para fins de avaliação, separamos os serviços em grupos distintos. A distinção mais importante é para serviços sensíveis à segurança, que gerenciam o acesso, as credenciais e as chaves. As políticas que concedem acesso a esses serviços precisam se concentrar estritamente no trabalho que está sendo feito. Os serviços sensíveis à segurança incluem: AWS Identity and Access Management (IAM), AWS Key Management Service (KMS), AWS Resource Access Manager (RAM), AWS IAM Identity Center, AWS Organizations e AWS Secrets Manager.

Uma distinção secundária são os serviços que podem acessar dados além dos limites da conta. As políticas desses serviços devem incluir proteções para evitar o acesso não intencional entre contas.

## Validações comuns
<a name="temporary-delegation-common-validations"></a>

Todas as instruções de políticas devem seguir estas diretrizes:
+ Todas as instruções devem incluir os campos Effect, Action (ou NotAction), Resource e Condition, nessa ordem
+ Todas as ações em uma única instrução devem ser listadas em ordem alfabética
+ Todos os ARNs incluídos na política devem seguir a sintaxe definida na documentação pública dos serviços relevantes
+ Os campos NotAction só podem ser usados em instruções Deny
+ As ações nas instruções Allow devem incluir um código de serviço. Caracteres curinga genéricos (“\$1”) não são permitidos

## Restrições de serviços sensíveis à segurança
<a name="temporary-delegation-security-sensitive-restrictions"></a>

As seguintes restrições se aplicam aos serviços sensíveis à segurança mencionados acima:
+ As ações nas instruções Allow devem ser mais específicas do que [service]:\$1
+ As ações nas instruções Allow para modelos de política de acesso temporário não devem conter curingas
+ As ações sensíveis, como iam:PassRole ou iam:CreateServiceLinkedRole, exigem escopo adicional, como recursos específicos ou verificações condicionais. Entre essas ações estão:
  + Transferência de perfil do IAM
  + Ações de modificação do perfil do IAM
  + Ações de modificação da política do IAM
  + Operações criptográficas ou de gravação do AWS KMS
  + Operações de gravação ou compartilhamento do AWS RAM
  + Operações do AWS Secrets Manager para recuperar ou modificar segredos ou modificar políticas de recursos
+ Outras ações podem usar um recurso curinga, como iam:ListUsers ou iam:GetPolicy
+ As ações que gerenciam credenciais, como iam:CreateAccessKey, são bloqueadas

## Restrições específicas do IAM
<a name="temporary-delegation-iam-specific-restrictions"></a>

Para o IAM:
+ Somente operações de gravação limitadas são permitidas para perfis e políticas do IAM. Você não pode solicitar permissões em outros recursos do IAM, como usuários, grupos e certificados.
+ A anexação de políticas ou as ações de gerenciamento de políticas em linha são limitadas a perfis com um limite de permissões. Os limites de permissões devem ser fornecidos pelo parceiro ou em uma lista de políticas permitidas gerenciadas pela AWS. As políticas gerenciadas pela AWS poderão ser permitidas se não concederem permissões administrativas ou altamente privilegiadas. Por exemplo, políticas gerenciadas pela AWS para funções de trabalho específicas ou a política SecurityAudit podem ser aceitáveis. a AWS analisará cada política gerenciada pela AWS caso a caso durante o processo de integração.
+ O gerenciamento de políticas só é permitido para políticas com um caminho específico do parceiro: arn:aws:iam::@\$1AccountId\$1:policy/partner\$1domain.com/[feature]\$1
+ As tags só podem ser aplicadas durante a criação dos recursos e somente para perfis e políticas
+ As verificações de iam:PassRole devem corresponder a um nome específico ou prefixo de caminho

## Restrições específicas do AWS STS
<a name="temporary-delegation-sts-specific-restrictions"></a>

Para AWS STS:
+ sts:AssumeRole deve ter como escopo um ARN de perfil específico, um prefixo ARN de perfil, ou deve estar limitado a um conjunto de contas ou a um ID da organização/unidade organizacional

## Restrições do Centro de Identidade do IAM
<a name="temporary-delegation-identity-center-restrictions"></a>

Para o Centro de Identidade do AWS IAM, as seguintes ações estão bloqueadas:
+ Todas as ações relacionadas ao gerenciamento de permissões (por exemplo, sso:AttachCustomerManagedPolicyReferenceToPermissionSet)
+ Modificações de usuários, grupos e membros do AWS Identity Store
+ Gerenciamento de tags

## Restrições do AWS Organizations
<a name="temporary-delegation-organizations-restrictions"></a>

Para o AWS Organizations, somente ações de leitura serão permitidas.

## Validações adicionais específicas do serviço
<a name="temporary-delegation-additional-service-validations"></a>
+ As ações que adquirem segredos ou credenciais, como glue:GetConnection ou redshift:GetClusterCredentials, devem ter condições que correspondam a ARNs completos, prefixos ARN ou tags
+ Para o Amazon Redshift: redshift:GetClusterCredentials só é permitido em um nome de banco de dados específico, e redshift:GetClusterCredentialsWithIAM só é permitido em um nome de grupo de trabalho específico

**nota**  
Ao gerenciar os recursos do IAM na conta, recomendamos usar um caminho que indique seu nome, por exemplo, arn:aws:iam::111122223333:role/partner.com/rolename. Isso ajudará a diferenciar os recursos associados à sua integração e facilitar a descoberta, a auditoria e a análise para os clientes.

## Requisitos de acesso entre contas
<a name="temporary-delegation-cross-account-requirements"></a>

As instruções que potencialmente permitem o acesso entre contas devem incluir pelo menos um dos itens abaixo:
+ Uma condição que especifica a conta ou a organização do recurso (por exemplo, aws:ResourceOrgId que corresponde a um ou mais valores esperados)
+ Um campo de recurso que inclui uma conta específica (por exemplo, arn:aws:sqs:\$1:111122223333:\$1)
+ Um campo de recurso que inclui uma conta que não é curinga e um nome completo do recurso (por exemplo, arn:aws:s3:::full-bucket-name)

**nota**  
O acesso entre contas é um recurso sensível que exige uma justificativa comercial clara. A AWS analisará cuidadosamente a necessidade de acesso entre contas durante o processo de integração.

# Modelos de políticas
<a name="temporary-delegation-policy-templates"></a>

Os modelos de políticas são um novo constructo do IAM projetado para definir permissões temporárias que os parceiros solicitam nas contas dos clientes. Como as políticas regulares do IAM, elas definem permissões usando instruções com os elementos Effect, Action, Resource e Condition. A principal diferença é que os modelos de política incluem parâmetros (como @\$1bucketName\$1) que são substituídos por valores reais quando você cria uma solicitação de delegação.

## Como funcionam os modelos de políticas
<a name="temporary-delegation-how-policy-templates-work"></a>

Como parte do processo de integração, você registra seus modelos de política com a AWS. A AWS atribui a cada modelo um ARN exclusivo ao qual você faz referência ao criar solicitações de delegação.

Ao criar uma solicitação de delegação, você especifica:
+ O ARN do modelo da política
+ Os valores de parâmetros a serem substituídos no modelo

A AWS combina o modelo com seus valores de parâmetros para gerar uma política padrão do IAM. Os clientes revisam essa política final renderizada ao aprovar sua solicitação de delegação, vendo exatamente quais permissões serão concedidas.

**nota**  
A política renderizada final tem um limite de tamanho máximo de 2.048 caracteres.

Confira um exemplo simples que mostra como a substituição do modelo funciona.

Modelo de política:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parâmetros fornecidos na solicitação de delegação:

```
{
    "Name": "bucketName",
    "Values": ["customer-data-bucket"],
    "Type": "String"
}
```

Política final renderizada (o que os clientes veem):

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::customer-data-bucket/*"
        }
    ]
}
```

## Sintaxe do modelo
<a name="temporary-delegation-template-syntax"></a>

Os modelos de política usam dois recursos principais para fornecer flexibilidade: substituição de parâmetros e instruções condicionais. A substituição de parâmetros permite que você defina espaços reservados em seu modelo que são substituídos por valores reais ao criar uma solicitação de delegação. As instruções condicionais permitem que você inclua ou exclua instruções de políticas inteiras com base nos valores dos parâmetros.

### Substituição e tipos de parâmetros
<a name="temporary-delegation-parameter-substitution"></a>

Use a sintaxe @\$1parameterName\$1 para definir parâmetros em seu modelo de política. Ao criar uma solicitação de delegação, você deve especificar o tipo de cada parâmetro.

#### String
<a name="temporary-delegation-string-type"></a>

Um valor único que é substituído diretamente no modelo.

Modelo:

```
"Resource": "arn:aws:s3:::@{bucketName}/*"
```

Parâmetros:

```
{
    "Name": "bucketName",
    "Values": ["my-bucket"],
    "Type": "String"
}
```

Resultado renderizado:

```
"Resource": "arn:aws:s3:::my-bucket/*"
```

#### StringList
<a name="temporary-delegation-stringlist-type"></a>

Vários valores que geram várias entradas de recursos. Quando um parâmetro StringList é usado em um ARN de recurso, ele se expande para criar entradas de recursos separadas para cada valor.

Modelo:

```
"Resource": "arn:aws:s3:::@{bucketNames}/*"
```

Parâmetros:

```
{
    "Name": "bucketNames",
    "Values": ["bucket-1", "bucket-2"],
    "Type": "StringList"
}
```

Resultado renderizado:

```
"Resource": [
    "arn:aws:s3:::bucket-1/*",
    "arn:aws:s3:::bucket-2/*"
]
```

#### Comportamento entre produtos
<a name="temporary-delegation-cross-product-behavior"></a>

Quando vários parâmetros são usados no mesmo ARN de recurso, os parâmetros StringList criam um produto cruzado de todas as combinações.

Modelo:

```
"Resource": "arn:aws:s3:::@{bucketNames}/@{prefix}/*"
```

Parâmetros:

```
[
    {
        "Name": "bucketNames",
        "Values": ["bucket-1", "bucket-2"],
        "Type": "StringList"
    },
    {
        "Name": "prefix",
        "Values": ["data"],
        "Type": "String"
    }
]
```

Resultado renderizado:

```
"Resource": [
    "arn:aws:s3:::bucket-1/data/*",
    "arn:aws:s3:::bucket-2/data/*"
]
```

### Instruções condicionais
<a name="temporary-delegation-conditional-statements"></a>

Use a diretiva @Enabled para incluir ou excluir condicionalmente instruções inteiras com base nos valores dos parâmetros.

Sintaxe:
+ @Enabled: “parameterName”: inclua a instrução quando o valor do parâmetro for “True”
+ @Enabled: “\$1parameterName”: inclua a instrução quando o valor do parâmetro NÃO for “True” (negação)

Modelo:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "@Enabled": "ENABLE_S3_WRITE",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parâmetros (quando ENABLE\$1S3\$1WRITE for “True”):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["True"],
        "Type": "String"
    }
]
```

Resultado renderizado:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}
```

Parâmetros (quando ENABLE\$1S3\$1WRITE for “False”):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["False"],
        "Type": "String"
    }
]
```

Resultado renderizado:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        }
    ]
}
```

Quando ENABLE\$1S3\$1WRITE for definido como “True”, a instrução condicional será incluída. Quando for definido como “False”, a instrução será excluída da política renderizada.

## Exemplos adicionais
<a name="temporary-delegation-additional-examples"></a>

Os exemplos a seguir demonstram padrões comuns para o uso de modelos de políticas na delegação temporária. Eles focam a criação de perfis do IAM com limites de permissões para acesso de longo prazo e mostram estratégias diferentes para definir o escopo de permissões para recursos específicos. Esses exemplos ilustram como equilibrar flexibilidade e segurança usando técnicas como prefixos ARN, marcação de recursos e atualizações de limites de permissões.

### Exemplo 1: concessão de acesso de longo prazo a recursos específicos
<a name="temporary-delegation-example-1"></a>

O limite de permissões abaixo é enviado como “SQSAccessorBoundar” para “partner.com”:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

**nota**  
Isso inclui uma condição de mesma conta para evitar a concessão de acesso a filas em outras contas com políticas de recursos abertos. Uma referência direta ao ID da conta do cliente não pode ser incluída porque o limite é compartilhado entre todos os clientes e não pode ser modelado.

Como esta é a primeira versão dessa política, seu ARN é arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary\$12025\$101\$115

O modelo de política abaixo foi enviado para permissões de acesso temporárias:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:ListQueues"
            ],
            "Resource": "arn:aws:sqs:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

### Exemplo 2: uso de prefixos ARN
<a name="temporary-delegation-example-2"></a>

O limite de permissões pode especificar um prefixo ARN do recurso para limitar o acesso:

```
"Resource": "arn:aws:sqs:*:@{AccountId}:PartnerPrefix*"
```

Isso limita o acesso somente aos recursos com esse prefixo, reduzindo o escopo dos recursos acessíveis.

### Exemplo 3: uso de tags para controle de acesso a recursos
<a name="temporary-delegation-example-3"></a>

Você pode marcar recursos durante o acesso delegado temporário e contar com essas tags para controle de acesso de longo prazo.

Limite de permissões que permite acesso a recursos marcados:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:ResourceTag/ManagedByPartnerDotCom": "false"
        },
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Modelo de política para marcar novas filas na criação:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:CreateQueue",
        "sqs:TagQueue"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:RequestTag/ManagedByPartnerDotCom": "false"
        }
    }
}
```

Modelo de política para marcar filas preexistentes e criar o perfil:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:TagQueue"
            ],
            "Resource": "arn:aws:sqs:*:@{AccountId}:@{QueueName}",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "ManagedByPartnerDotCom"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

Essa abordagem permite que os clientes confirmem explicitamente quais recursos específicos podem ser acessados no longo prazo.

### Exemplo 4: atualização do limite de permissões
<a name="temporary-delegation-example-4"></a>

Para atualizar um limite de permissões, registre uma nova versão com um novo sufixo de data e solicite permissão para substituí-la.

Limite de permissões atualizado com permissão adicional:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:PurgeQueue",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Como segunda versão, a política tem o ARN: arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary\$12025\$101\$120

Modelo de política para atualizar o limite de permissões no perfil existente:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePermissionsBoundary"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_20"
                }
            }
        }
    ]
}
```

Os clientes devem aprovar essa solicitação de delegação para atualizar o limite de permissões no perfil existente.

# Criação da sua integração
<a name="temporary-delegation-building-integration"></a>

## Noções básicas sobre o ciclo de vida de solicitações
<a name="temporary-delegation-request-lifecycle"></a>

Antes de criar sua integração, é importante entender o fluxo das solicitações de delegação, desde a sua criação até a conclusão.

### Estados das solicitações
<a name="temporary-delegation-request-states"></a>

Uma solicitação de delegação passa pelos seguintes estados:


| Estado | Descrição | 
| --- | --- | 
| Não atribuída | Solicitação criada, mas ainda não associada a uma conta de cliente e a uma entidade principal do IAM. A solicitação pode ter sido criada sem a especificação de uma conta de destino ou com um ID da conta de destino, mas ainda não reivindicada pelo proprietário da conta. | 
| Atribuída | Solicitação associada a uma conta de cliente e aguardando análise. | 
| Aprovação pendente | O cliente encaminhou a solicitação a um administrador para aprovação. | 
| Aceito | Solicitação aprovada pelo cliente, mas o token de troca ainda não foi liberado. | 
| Finalizada | Token de troca liberado para o provedor do produto. O período de delegação (validade do token de troca) começa quando a solicitação chega ao estado Finalizada. | 
| Rejeitado | Solicitação rejeitada pelo cliente. | 
| Expirada | A solicitação expirou devido à inatividade ou ao tempo limite. | 

### Transições de estados
<a name="temporary-delegation-state-transitions"></a>

*Fluxo normal (caminho de aprovação)*
+ Não atribuída → Atribuída: o cliente associa a solicitação à sua conta
+ Atribuída → Aceita OU Atribuída → Aprovação pendente: o cliente aprova a solicitação diretamente OU encaminha ao administrador para análise
+ Aprovação pendente → Aceita: o administrador aprova a solicitação
+ Aceita → Finalizada: o cliente libera o token de troca

*Caminho da rejeição*
+ Atribuída → Rejeitada: o cliente rejeita a solicitação
+ Aprovação pendente → Rejeitada: o administrador rejeita a solicitação
+ Aceita → Rejeitada: o cliente revoga a aprovação antes de liberar o token

*Caminho da expiração*

As solicitações expiram automaticamente quando nenhuma ação é executada dentro do prazo especificado:
+ Não atribuída → Expirada (1 dia)
+ Atribuída → Expirada (7 dias)
+ Aprovação pendente → Expirada (7 dias)
+ Aceita → Expirada (7 dias)
+ Rejeitada → Expirada (7 dias)
+ Finalizada → Expirada (7 dias)

*Status terminais*

Os seguintes estados são terminais (sem mais transições):
+ Finalizada: token de troca enviado
+ Rejeitada: a solicitação foi negada
+ Expirada: a solicitação atingiu o tempo limite ou o período de delegação terminou

As solicitações expiradas são excluídas do sistema após o período de retenção.

### Gerenciamento dos estados de solicitação de delegação em sua aplicação
<a name="temporary-delegation-managing-states"></a>

Como parceiro, você deve rastrear os estados de solicitação de delegação em seu sistema e apresentá-los aos seus clientes. Ao receber notificações do SNS sobre mudanças de estado, armazene essas atualizações em seu backend e as reflita na interface de usuário voltada para o cliente. Preste atenção especial ao estado Aprovação pendente: quando um cliente encaminha uma solicitação a um administrador para análise, a AWS envia uma notificação de Aprovação pendente para você. As solicitações podem permanecer nesse estado por até sete dias enquanto aguardam a ação do administrador. Durante esse período, mostre aos clientes que a solicitação deles está pendente e precisa da aprovação do administrador em sua aplicação. Considere fornecer um link direto para o Console da AWS, onde os clientes possam verificar o status da solicitação ou entrar em contato com o administrador. O gerenciamento correto da máquina de estado em seu backend e a apresentação das informações de estado corretas aos clientes em cada estágio é importante para uma boa experiência de integração.

![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/delegation-states.png)


## Configuração de notificações
<a name="temporary-delegation-configuring-notifications"></a>

O IAM usa o Amazon Simple Notification Service (SNS) para comunicar a você as alterações de estado da solicitação de delegação. Ao criar uma solicitação de delegação, você deve fornecer um ARN do tópico do SNS da sua conta registrada da AWS. O IAM publicará mensagens sobre esse tópico para eventos importantes, incluindo quando os clientes aprovarem ou rejeitarem solicitações e quando o token de troca estiver pronto.

**nota**  
Os tópicos do SNS não podem estar em regiões de aceitação da AWS. Seu tópico do SNS deve estar em uma região da AWS habilitada por padrão. Para obter uma lista de regiões de aceitação, consulte Gerenciamento de regiões da AWS no Guia de gerenciamento de contas da AWS.

### Configuração do tópico do SNS
<a name="temporary-delegation-sns-topic-configuration"></a>

Para receber notificações de solicitações de delegação, você deve configurar seu tópico do SNS para conceder permissões ao IAM para publicar mensagens nele. Adicione a seguinte instrução de política à política do tópico do SNS:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIAMServiceToPublish",
            "Effect": "Allow",
            "Principal": {
                "Service": "iam.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:REGION:ACCOUNT-ID:TOPIC-NAME"
        }
    ]
}
```

**Importante**  
O tópico do SNS deve estar em uma de suas contas registradas da AWS. O IAM não aceitará tópicos do SNS de outras contas. Se a política do tópico não estiver configurada corretamente, você não receberá notificações de alteração de estado ou o token de troca.

### Tipos de notificação
<a name="temporary-delegation-notification-types"></a>

O IAM envia dois tipos de notificações:

*Notificações de StateChange*

Enviadas quando uma solicitação de delegação passa para um novo estado (Atribuída, Aprovação pendente, Aceita, Finalizada, Rejeitada, Expirada).

*Notificações de ExchangeToken*

Enviadas quando um cliente libera o token de delegação (estado Finalizada). Essa notificação inclui o token de troca de que você precisa para obter as credenciais.

### Estados das notificações
<a name="temporary-delegation-notification-states"></a>

É possível receber notificações para os seguintes estados de solicitações de delegação:


| Estado | Tipo de notificação | Descrição | 
| --- | --- | --- | 
| ATRIBUÍDA | StateChange | A solicitação foi associada a uma conta de cliente | 
| APROVAÇÃO PENDENTE | StateChange | O cliente encaminhou a solicitação a um administrador para aprovação. | 
| ACEITA | StateChange | O cliente aprovou a solicitação, mas ainda não liberou o token | 
| FINALIZADA | StateChange | O cliente liberou o token de troca | 
| FINALIZADA | ExchangeToken | Essa notificação contém o token de troca | 
| REJEITADA | StateChange | O cliente rejeitou a solicitação | 
| EXPIRADA | StateChange | A solicitação expirou antes da conclusão | 

### Formato das mensagens de notificação
<a name="temporary-delegation-notification-message-format"></a>

O IAM publica notificações padrão do SNS. As informações da solicitação de delegação encontram-se no campo Mensagem como uma string JSON.

*Campos comuns (todas as notificações)*


| Campo | Tipo | Descrição | 
| --- | --- | --- | 
| Type | String | “StateChange” ou “ExchangeToken” | 
| RequestId | String | O ID da solicitação de delegação do IAM | 
| RequestorWorkflowId | String | O ID do fluxo de trabalho que você forneceu ao criar a solicitação | 
| Estado | String | Estado atual da solicitação | 
| OwnerAccountId | String | ID da conta da AWS do cliente | 
| UpdatedAt | String | Carimbo de data e hora em que o estado mudou (formato ISO 8601) | 

*Campos adicionais (somente notificações de ExchangeToken)*


| Campo | Tipo | Descrição | 
| --- | --- | --- | 
| ExchangeToken | String | O token a ser trocado por credenciais usando a API GetDelegatedAccessToken do AWS STS | 
| ExpiresAt | String | Quando o acesso delegado expira (formato ISO 8601) | 

### Exemplo de notificações
<a name="temporary-delegation-example-notifications"></a>

*Notificação de StateChange*

```
{
  "Type": "Notification",
  "MessageId": "61ee8ad4-6eec-56b5-8f3d-eba57556aa13",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestorWorkflowId\":\"workflow-12345\",\"Type\":\"StateChange\",\"RequestId\":\"dr-abc123\",\"State\":\"ACCEPTED\",\"OwnerAccountId\":\"111122223333\",\"UpdatedAt\":\"2025-01-15T10:30:00.123Z\"}",
  "Timestamp": "2025-01-15T10:30:00.456Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

*Notificação de ExchangeToken*

```
{
  "Type": "Notification",
  "MessageId": "e44e5435-c72c-5333-aba3-354406782f5b",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestId\":\"dr-abc123\",\"RequestorWorkflowId\":\"workflow-12345\",\"State\":\"FINALIZED\",\"OwnerAccountId\":\"111122223333\",\"ExchangeToken\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\",\"ExpiresAt\":\"2025-01-15T18:30:00.123Z\",\"UpdatedAt\":\"2025-01-15T10:30:00.456Z\",\"Type\":\"ExchangeToken\"}",
  "Timestamp": "2025-01-15T10:30:00.789Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

## Tokens de troca
<a name="temporary-delegation-exchange-tokens"></a>

Um token de troca ou um token de intercâmbio é emitido pelo IAM quando um cliente aceita e finaliza uma solicitação de delegação. O provedor do produto usa esse token de troca ou de intercâmbio para chamar a API GetDelegatedAccessToken do AWS AWS STS e obter credenciais temporárias da AWS com as permissões aprovadas pelos clientes. O token de troca em si não concede acesso aos seus recursos da AWS; ele deve ser trocado por credenciais reais por meio do AWS STS.

O token de troca só pode ser resgatado pela conta do provedor do produto que criou a solicitação de delegação. A conta solicitante está incorporada ao token, garantindo que somente o provedor autorizado do produto possa obter as credenciais para acessar a conta do cliente.

### Duração do acesso
<a name="temporary-delegation-access-duration"></a>

O período de delegação começa quando o cliente libera o token de troca, não quando o provedor do produto o resgata. Depois que o cliente liberar o token:
+ O provedor do produto recebe o token via notificação do SNS
+ Ele pode trocá-lo imediatamente por credenciais
+ As credenciais expiram em: hora da liberação \$1 duração aprovada
+ O provedor do produto pode trocar o token várias vezes antes do vencimento para obter novas credenciais, se necessário

### Vários resgates
<a name="temporary-delegation-multiple-redemptions"></a>

Os provedores de produtos podem trocar o token várias vezes durante o período de validade para obter novas credenciais. No entanto, todas as credenciais obtidas do mesmo token de troca expiram ao mesmo tempo, com base em quando você liberou o token.

Exemplo: se você aprovar uma solicitação de delegação de duas horas e liberar o token às 10h:


| Hora de liberação do token | Tempo de troca do token | Expiração da credencial | Tempo utilizável | 
| --- | --- | --- | --- | 
| 10:00 am | 10:00 am | 12:00h | 2 horas | 
| 10:00 am | 10h20 | 12:00h | 1 hora e 40 minutos | 
| 10:00 am | 11h40 | 12:00h | 20 minutos | 
| 10:00 am | 12:10h | Falha (o token expirou) | 0 minuto | 

Conforme mostrado na tabela, trocar o token mais tarde no período de validade resulta em menos tempo de utilização para o provedor do produto.