# Tutorial do IAM: Criar e anexar sua primeira política gerenciada pelo cliente
<a name="tutorial_managed-policies"></a>

Neste tutorial, você usará o Console de gerenciamento da AWS para criar uma [política gerenciada pelo cliente](access_policies_managed-vs-inline.md#customer-managed-policies) e anexará essa política a um usuário do IAM na sua Conta da AWS. A política que você cria permite que um usuário de teste do IAM faça login diretamente no Console de gerenciamento da AWS com permissões somente leitura. 

Esse fluxo de trabalho tem três etapas básicas:

**[Etapa 1: Criar a política](#step1-create-policy)**  
Por padrão, os usuários do IAM não têm permissões para fazer nada. Eles não podem acessar o Console de Gerenciamento da AWS ou gerenciar os dados, a menos que você permita. Nesta etapa, você cria uma política gerenciada pelo cliente que permite a qualquer usuário anexado fazer login no console.

**[Etapa 2: Anexar a política](#step2-attach-policy)**  
Quando você anexa uma política a um usuário, ele herda todas as permissões de acesso associadas a essa política. Nesta etapa, você anexa a nova política a um usuário de teste.

**[Etapa 3: Testar o acesso do usuário](#step3-test-access)**  
Assim que a política é anexada, você pode fazer login como o usuário e testá-la. 

## Pré-requisitos
<a name="tutorial-managed-policies-prereqs"></a>

Para executar as etapas neste tutorial, você precisa já ter o seguinte:
+ Uma Conta da AWS com a qual você possa fazer login como usuário do IAM com permissões administrativas.
+ Um usuário de teste do IAM que não tenha permissões atribuídas ou associações de grupo da seguinte forma:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/tutorial_managed-policies.html)

## Etapa 1: Criar a política
<a name="step1-create-policy"></a>

Nesta etapa, você cria uma política gerenciada pelo cliente que permita a qualquer usuário anexado fazer login no Console de gerenciamento da AWS com acesso somente leitura aos dados do IAM.

**Para criar a política para o usuário de teste**

1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) com seu usuário que tenha permissões de administrador.

1. No painel de navegação, selecione **Políticas**. 

1. No painel de conteúdo, escolha **Criar política**. 

1. Escolha a opção **JSON** e copie o texto do documento da política JSON a seguir. Cole este texto na caixa de texto do **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [ {
           "Effect": "Allow",
           "Action": [
               "iam:GenerateCredentialReport",
               "iam:Get*",
               "iam:List*"
           ],
           "Resource": "*"
       } ]
   }
   ```

------

1.  Resolva os avisos de segurança, erros ou avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md) e depois escolha **Próximo**. 
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. No entanto, se você fizer alterações ou escolher a opção **Review policy** (Revisar política) na guia **Visual editor** (Editor visual), o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e criar**, digite **UsersReadOnlyAccessToIAMConsole** para o nome da política. Revise as permissões concedidas pela política e depois escolha **Criar política** para salvar seu trabalho.

   A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada.

## Etapa 2: Anexar a política
<a name="step2-attach-policy"></a>

Em seguida, anexe a política que você acabou de criar ao usuário de teste do IAM. 

**Para anexar a política ao usuário de teste**

1. No console do IAM, no painel de navegação, escolha **Policies** (Políticas).

1. Na parte superior da lista de políticas, na caixa de pesquisa, comece a digitar **UsersReadOnlyAccesstoIAMConsole** até ver a política. Depois, escolha o botão de seleção ao lado de **UsersReadOnlyAccessToIAMConsole** na lista. 

1. Selecione o botão **Actions** (Ações) e escolha **Attach** (Anexar). 

1. Nas entidades do IAM, escolha a opção de filtrar por **Usuários**. 

1. Na caixa de pesquisa, comece a digitar **PolicyUser** até que o usuário fique visível na lista. Depois, marque a caixa de seleção ao lado desse usuário na lista.

1. Escolha **Anexar política**. 

Você anexou a política ao usuário de teste do IAM, o que significa que o usuário agora tem acesso somente leitura ao console do IAM. 

## Etapa 3: Testar o acesso do usuário
<a name="step3-test-access"></a>

Para este tutorial, recomendamos que você teste o acesso, fazendo login como o usuário de teste para ver o que os usuários podem experimentar. 

**Para testar o acesso fazendo login com seu usuário de teste**

1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) com o seu usuário de teste `PolicyUser`.

1. Navegue pelas páginas do console e tente criar um novo usuário ou grupo. Observe que `PolicyUser` pode exibir dados, mas não pode criar ou modificar dados existentes do IAM.

## Recursos relacionados
<a name="tutorial-managed-policies-addl-resources"></a>

Para obter informações relacionadas, consulte os recursos a seguir:
+ [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md)
+ [Controlar o acesso do usuário do IAM ao Console de gerenciamento da AWS](console_controlling-access.md)

## Resumo
<a name="tutorial-managed-policies-summary"></a>

Você concluiu com êxito todas as etapas necessárias para criar e anexar uma política gerenciada pelo cliente. Como resultado, você pode fazer login no console do IAM com sua conta de teste para ver como é a experiência para os usuários.