As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no AWS App Studio
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao App Studio, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Também existe a responsabilidade por outros fatores, incluindo a confidencialidade de dados, os requisitos da organização e as leis e regulamentos aplicáveis.
Esta documentação ajudará você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o App Studio. Os tópicos a seguir mostram como configurar o App Studio para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que podem ajudá-lo a monitorar e proteger seus recursos do App Studio.
**Topics**
+ [Considerações e mitigações de segurança](security-considerations-and-mitigations.md)
+ [Proteção de dados no AWS App Studio](data-protection.md)
+ [AWS App Studio e AWS Identity and Access Management (IAM)](security-iam.md)
+ [Validação de conformidade para AWS o App Studio](compliance-validation.md)
+ [Resiliência no AWS App Studio](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no AWS App Studio](infrastructure-security.md)
+ [Análise de configuração e vulnerabilidade no AWS App Studio](vulnerability-analysis-and-management.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
+ [Transferência de dados entre regiões no AWS App Studio](cross-region-data-transfer.md)
# Considerações e mitigações de segurança
## Considerações sobre segurança
Ao lidar com conectores de dados, modelos de dados e aplicativos publicados, surgem várias preocupações de segurança relacionadas à exposição de dados, controle de acesso e possíveis vulnerabilidades. A lista a seguir inclui as principais preocupações de segurança.
### Configuração inadequada das funções do IAM
A configuração incorreta das funções do IAM para conectores de dados pode causar acesso não autorizado e vazamentos de dados. Conceder acesso excessivamente permissivo à função do IAM de um conector de dados pode permitir que usuários não autorizados acessem e modifiquem dados confidenciais.
### Usando funções do IAM para realizar operações de dados
Como os usuários finais de um aplicativo do App Studio assumem a função do IAM fornecida na configuração do conector para realizar ações, esses usuários finais podem ter acesso a dados aos quais normalmente não têm acesso.
### Excluindo conectores de dados de aplicativos publicados
Quando um conector de dados é excluído, as credenciais secretas associadas não são removidas automaticamente dos aplicativos publicados que já estão usando esse conector. Nesse cenário, se um aplicativo tiver sido publicado com determinados conectores e um desses conectores for excluído do App Studio, o aplicativo publicado continuará funcionando usando as credenciais do conector armazenadas anteriormente. É importante observar que o aplicativo publicado permanecerá inalterado e operacional, apesar da exclusão do conector.
### Editando conectores de dados em aplicativos publicados
Quando um conector de dados é editado, as alterações não são refletidas automaticamente nos aplicativos publicados que estão usando esse conector. Se um aplicativo tiver sido publicado com determinados conectores e um desses conectores for modificado no App Studio, o aplicativo publicado continuará usando a configuração e as credenciais do conector armazenadas anteriormente. Para incorporar as alterações atualizadas do conector, o aplicativo deve ser republicado. Até que o aplicativo seja republicado, ele permanecerá incorreto e não operacional, ou não será afetado e operacional, mas não refletirá as modificações mais recentes do conector.
## Recomendações de mitigação de riscos de segurança
Esta seção lista as recomendações de mitigação para evitar riscos de segurança detalhadas na seção anterior de considerações de segurança.
1. **Configuração adequada da função do IAM:** garanta que as funções do IAM para conectores de dados estejam configuradas corretamente com o princípio do menor privilégio para evitar acesso não autorizado e vazamentos de dados.
1. **Acesso restrito ao aplicativo:** compartilhe seus aplicativos somente com usuários autorizados a visualizar ou realizar ações nos dados do aplicativo.
1. **Publicação de aplicativos:** garanta que os aplicativos sejam republicados sempre que um conector for atualizado ou excluído.
# Proteção de dados no AWS App Studio
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) de se aplica à proteção de dados no AWS App Studio. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o AWS App Studio ou outro Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados
O App Studio armazena e transfere dados com segurança criptografando dados em repouso e em trânsito.
### Criptografia em repouso
A criptografia em repouso refere-se à proteção de dados contra acesso não autorizado criptografando dados enquanto estão armazenados. O App Studio fornece criptografia em repouso por padrão usando AWS KMS chaves, e você não precisa fazer nenhuma configuração adicional para criptografia de dados em repouso.
O App Studio armazena com segurança os seguintes dados para seus aplicativos: código-fonte, artefatos de criação, metadados e informações de permissões.
Ao usar fontes de dados criptografadas com uma chave gerenciada pelo AWS KMS cliente (CMK), os recursos do App Studio continuam sendo criptografados usando uma chave AWS gerenciada, enquanto os dados nas fontes de dados criptografadas são criptografados pela CMK. Para obter mais informações sobre o uso de fontes de dados criptografadas nos aplicativos do App Studio, consulte[Use fontes de dados criptografadas com CMKs](encrypted-data-cmk.md).
O App Studio usa CloudFront a Amazon para oferecer seu aplicativo aos seus usuários. CloudFront usos SSDs que são criptografados para pontos de presença de edge location (POPs) e volumes criptografados do EBS para caches de borda regionais ()RECs. O código e a configuração da função no CloudFront Functions são sempre armazenados em um formato criptografado SSDs no local POPs criptografado na borda e em outros locais de armazenamento usados pelo CloudFront.
## Criptografia em trânsito
Criptografia em trânsito refere-se a impedir os dados de serem interceptados enquanto eles se movem entre endpoints de comunicação. Por padrão, o App Studio fornece criptografia para dados em trânsito. Toda a comunicação entre clientes e o App Studio e entre o App Studio e suas dependências posteriores é protegida por meio de conexões TLS assinadas usando o processo de assinatura Signature versão 4. Todos os endpoints do App Studio usam certificados SHA-256 que são gerenciados pela Autoridade de Certificação AWS Certificate Manager Privada.
## Gerenciamento de chaves
O App Studio não é compatível com o gerenciamento de chaves de criptografia.
## Privacidade do tráfego entre redes
Ao criar uma instância no App Studio, você escolhe a AWS região em que os dados e os recursos serão armazenados para essa instância. Os artefatos e metadados de criação de aplicativos nunca saem dessa AWS região.
No entanto, observe as seguintes informações:
+ Como o App Studio usa CloudFront a Amazon para servir seu aplicativo e usa o Lambda @Edge para gerenciar a autenticação em seu aplicativo, um conjunto limitado de dados de autenticação, dados de autorização e metadados do aplicativo seria acessado a partir de pontos de CloudFront presença, que poderiam estar em uma região diferente.
+ AWS O App Studio transfere dados entre AWS regiões para ativar determinados recursos generativos de IA no serviço. Para obter mais informações sobre os recursos habilitados pelas transferências de dados entre regiões, o tipo de dados que se movem entre regiões e como optar por não participar, consulte[Transferência de dados entre regiões no AWS App Studio](cross-region-data-transfer.md).
# AWS App Studio e AWS Identity and Access Management (IAM)
No AWS App Studio, você gerencia o acesso e as permissões no serviço atribuindo grupos no IAM Identity Center à função apropriada no App Studio. As permissões dos membros do grupo são determinadas pela função atribuída, e não pela configuração de usuários, funções ou permissões diretamente no AWS Identity and Access Management (IAM). Para obter mais informações sobre como gerenciar o acesso e as permissões no App Studio, consulte[Gerenciamento de acesso e funções no App Studio](managing-access-and-roles.md).
O App Studio se integra ao IAM ao verificar uma instância para fins de cobrança e quando conectado a uma AWS conta para criar e usar recursos nessa AWS conta. Para obter informações sobre como conectar o App Studio a outros AWS serviços para uso em seus aplicativos, consulte[Conecte-se aos AWS serviços](add-connector-services.md).
Ao criar uma instância no App Studio, você precisa conectar uma AWS conta como conta de faturamento e gerenciamento da sua instância. Para ativar os principais recursos, o App Studio também cria [funções de serviço do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) para fornecer ao serviço as permissões necessárias para realizar tarefas em seu nome.
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos do App Studio. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Políticas baseadas em identidade para o App Studio](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos no App Studio](#security_iam_service-with-iam-resource-based-policies)
+ [Ações políticas para o App Studio](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos de políticas para o App Studio](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição de política para o App Studio](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [ACLs no App Studio](#security_iam_service-with-iam-acls)
+ [ABAC com App Studio](#security_iam_service-with-iam-tags)
+ [Usando credenciais temporárias com o App Studio](#security_iam_service-with-iam-roles-tempcreds)
+ [Permissões principais entre serviços para o App Studio](#security_iam_service-with-iam-principal-permissions)
+ [Funções de serviço para o App Studio](#security_iam_service-with-iam-roles-service)
+ [Funções vinculadas ao serviço para o App Studio](#security_iam_service-with-iam-roles-service-linked)
+ [AWS políticas gerenciadas para o AWS App Studio](security-iam-awsmanpol.md)
+ [Funções vinculadas ao serviço para o App Studio](appstudio-service-linked-roles.md)
+ [Exemplos de políticas baseadas em identidade para AWS o App Studio](security_iam_id-based-policy-examples.md)
Antes de usar o IAM para gerenciar o acesso ao App Studio, saiba quais recursos do IAM estão disponíveis para uso com o App Studio.
**Recursos do IAM que você pode usar com AWS o App Studio**
| Recurso do IAM | Suporte do App Studio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Não |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Não |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão geral de como o App Studio e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para o App Studio
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para o App Studio
Para ver exemplos de políticas baseadas em identidade do App Studio, consulte. [Exemplos de políticas baseadas em identidade para AWS o App Studio](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos no App Studio
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações políticas para o App Studio
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de ações do App Studio, consulte [Ações definidas pelo AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html#awsappstudio-actions-as-permissions) na *Referência de autorização de serviço*.
As ações de política no App Studio usam o seguinte prefixo antes da ação:
```
appstudio
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"appstudio:action1",
"appstudio:action2"
]
```
A declaração a seguir lista todas as ações no App Studio:
## Recursos de políticas para o App Studio
**Compatível com recursos de políticas:** sim
As permissões do App Studio só oferecem suporte a um caractere curinga (`*`) no `Resource` elemento de uma política.
## Chaves de condição de política para o App Studio
**Compatível com chaves de condição de política específicas de serviço:** não
O App Studio não é compatível com chaves de condição de política.
## ACLs no App Studio
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com App Studio
**Oferece compatibilidade com ABAC (tags em políticas):** não
O App Studio não oferece suporte ao controle de acesso baseado em atributos (ABAC).
## Usando credenciais temporárias com o App Studio
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões principais entre serviços para o App Studio
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para o App Studio
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
AWS O App Studio usa [funções de serviço do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) em alguns recursos para dar permissão ao App Studio para realizar tarefas em seu nome. O console cria automaticamente funções de serviço para os recursos compatíveis quando você configura o App Studio.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper a funcionalidade do App Studio. Edite funções de serviço somente quando o App Studio fornecer orientação para fazer isso.
## Funções vinculadas ao serviço para o App Studio
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# AWS políticas gerenciadas para o AWS App Studio
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: AppStudioServiceRolePolicy
Não é possível anexar a `AppStudioServiceRolePolicy` às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite que o App Studio execute ações em seu nome. Para obter mais informações, consulte [Funções vinculadas ao serviço para o App Studio](appstudio-service-linked-roles.md).
Essa política concede permissões que permitem que a função vinculada ao serviço gerencie AWS recursos.
### Detalhes das permissões
Esta política inclui permissões para fazer o seguinte:
+ `logs`- Crie grupos de CloudWatch registros e fluxos de registros. Também dá permissão para criar eventos de log nesses grupos e fluxos de log.
+ `secretsmanager`- Crie, leia, atualize e exclua segredos gerenciados que são gerenciados pelo App Studio.
+ `sso`- Recupere instâncias do aplicativo.
+ `sso-directory`- Recupere informações sobre usuários e recupere a lista de membros em grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AppStudioResourcePermissionsForCloudWatch",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appstudio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio-*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"IsAppStudioSecret"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/IsAppStudioSecret": "true"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "appstudio"
}
}
},
{
"Sid": "AppStudioResourceWritePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSSO",
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Atualizações do App Studio para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do App Studio desde que esse serviço começou a monitorar essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AppStudioServiceRolePolicy](#security-iam-awsmanpol-appstudioservicerolepolicy): atualizar para uma política existente | O App Studio adicionou novas permissões para permitir o gerenciamento de segredos gerenciados do App Studio em AWS Secrets Manager. | 14 de março de 2025 |
| O App Studio começou a monitorar as alterações | O App Studio começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 28 de junho de 2024 |
# Funções vinculadas ao serviço para o App Studio
O App Studio usa funções [vinculadas ao serviço AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao App Studio. As funções vinculadas ao serviço são predefinidas pelo App Studio e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do App Studio porque você não precisa adicionar manualmente as permissões necessárias. O App Studio define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o App Studio pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do App Studio porque você não pode remover inadvertidamente a permissão para acessar os recursos.
**Topics**
+ [Permissões de função vinculadas ao serviço para o App Studio](#slr-permissions)
+ [Criação de uma função vinculada a serviços para o App Studio](#create-slr)
+ [Editando uma função vinculada ao serviço para o App Studio](#edit-slr)
+ [Excluindo uma função vinculada ao serviço para o App Studio](#delete-slr)
## Permissões de função vinculadas ao serviço para o App Studio
O App Studio usa a função vinculada ao serviço chamada. `AWSServiceRoleForAppStudio` É uma função vinculada a serviços necessária para que o App Studio gerencie AWS serviços de forma persistente e mantenha a experiência de criação de aplicativos.
A função `AWSServiceRoleForAppStudio` vinculada ao serviço usa a seguinte política de confiança, que só confia no serviço: `appstudio-service.amazonaws.com`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstudio-service.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter permissões, a função `AWSServiceRoleForAppStudio` vinculada ao serviço fornece permissões para os seguintes serviços:
+ Amazon CloudWatch: para enviar registros e métricas de uso do App Studio.
+ AWS Secrets Manager: para gerenciar credenciais para conectores no App Studio, usados para conectar aplicativos a outros serviços.
+ IAM Identity Center: para acesso somente de leitura para gerenciar o acesso do usuário.
Especificamente, as permissões concedidas com `AWSServiceRoleForAppStudio` são definidas pela política `AppStudioServiceRolePolicy` gerenciada anexada. Para obter mais informações sobre a política gerenciada, incluindo as permissões que ela inclui, consulte[AWS política gerenciada: AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy).
## Criação de uma função vinculada a serviços para o App Studio
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma instância do App Studio, o App Studio cria a função vinculada ao serviço para você.
Se você excluir essa função vinculada ao serviço, é recomendável criar uma instância do App Studio para que outra seja criada automaticamente para você.
Embora não seja necessário, você também pode usar o console do IAM ou criar funções vinculadas AWS CLI ao serviço criando uma função vinculada ao serviço com o nome do `appstudio-service.amazonaws.com` serviço, como no trecho de política de confiança mostrado anteriormente. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) no *Guia do usuário do IAM*.
## Editando uma função vinculada ao serviço para o App Studio
O App Studio não permite que você edite a função `AWSServiceRoleForAppStudio` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para o App Studio
Você não precisa excluir a `AWSServiceRoleForAppStudio` função. Quando você exclui a instância do App Studio, o App Studio limpa os recursos e exclui automaticamente a função vinculada ao serviço.
Embora não seja recomendado, você pode usar o console do IAM ou o AWS CLI para excluir a função vinculada ao serviço. Para fazer isso, primeiro você deve limpar os recursos da sua função vinculada ao serviço e depois excluí-la.
**nota**
Se o App Studio estiver usando a função ao tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
1. Exclua os aplicativos e conectores da sua instância do App Studio.
1. Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço `AWSServiceRoleForAppStudio`. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
# Exemplos de políticas baseadas em identidade para AWS o App Studio
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do App Studio. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pelo App Studio, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição do AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html) na *Referência de autorização de serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o console do App Studio](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemplo 1: permitir que os usuários configurem uma instância do App Studio](#security_iam_id-based-policy-examples-set-up-appstudio-instance)
+ [Exemplo 2: impedir que usuários configurem uma instância do App Studio](#security_iam_id-based-policy-examples-deny-set-up-appstudio-instance)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do App Studio em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o console do App Studio
Para acessar o console do AWS App Studio, você precisa ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do App Studio em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o console do App Studio, anexe também o App Studio `ConsoleAccess` ou a política `ReadOnly` AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemplo 1: permitir que os usuários configurem uma instância do App Studio
O exemplo a seguir mostra uma política baseada em identidade para permitir que uma função configure uma instância do App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"appstudio:GetAccountStatus",
"appstudio:GetEnablementJobStatus",
"appstudio:StartEnablementJob",
"appstudio:StartRollbackEnablementJob",
"appstudio:StartTeamDeployment"
],
"Resource": "*"
}]
}
```
------
## Exemplo 2: impedir que usuários configurem uma instância do App Studio
O exemplo a seguir mostra uma política baseada em identidade para impedir que um papel configure uma instância do App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"appstudio:*"
],
"Resource": "*"
}]
}
```
------
# Validação de conformidade para AWS o App Studio
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [Documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência no AWS App Studio
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura AWS global, o AWS App Studio oferece vários recursos para ajudar a suportar suas necessidades de resiliência de dados e backup.
# Segurança da infraestrutura no AWS App Studio
Como um serviço gerenciado, o AWS App Studio é protegido pelos procedimentos AWS globais de segurança de rede descritos no whitepaper [Amazon Web Services: Visão geral dos processos de segurança](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Você usa chamadas de API AWS publicadas para acessar o App Studio pela rede. Os clientes devem suportar pelo menos o Transport Layer Security (TLS) 1.2, mas o TLS 1.3 é recomendado. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
# Análise de configuração e vulnerabilidade no AWS App Studio
A configuração e os controles de TI são uma responsabilidade compartilhada entre você AWS e você, nosso cliente. Para obter mais informações, consulte o [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que concedem outro serviço ao recurso. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
A maneira mais eficaz de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com caracteres curinga (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename:*:123456789012:*`
Se o valor de `aws:SourceArn` não contiver o ID da conta, como um ARN de bucket do Amazon S3, você deverá usar ambas as chaves de contexto de condição global para limitar as permissões.
O valor de `aws:SourceArn` deve ser ResourceDescription.
O exemplo a seguir mostra como você pode usar as chaves de contexto de condição globais `aws:SourceArn` e `aws:SourceAccount` para evitar o problema confused deputy.
# Transferência de dados entre regiões no AWS App Studio
AWS O App Studio transfere dados entre AWS regiões para ativar determinados recursos generativos de IA no serviço. Este tópico contém informações sobre os recursos habilitados pelas transferências de dados entre regiões, o tipo de dados que se movem entre regiões e como optar por não participar.
Os seguintes recursos são habilitados pela transferência de dados entre regiões e não estarão acessíveis em sua instância se você optar por não participar:
1. Criação de um aplicativo com IA, usado para iniciar a criação de aplicativos, descrevendo seu aplicativo com linguagem natural e criando recursos para você.
1. O bate-papo de IA no estúdio de aplicativos, usado para fazer perguntas sobre criação, publicação e compartilhamento de aplicativos.
Os seguintes dados são transferidos entre regiões:
1. As solicitações ou a entrada do usuário a partir dos recursos descritos anteriormente.
Para desativar a transferência de dados entre regiões e os recursos habilitados por ela, use o procedimento a seguir para preencher o formulário de solicitação de exclusão no console:
1. Abra o console do App Studio em [https://console.aws.amazon.com/appstudio/](https://console.aws.amazon.com/appstudio/).
1. Escolha **Optar por não transferir dados**.
1. Insira o ID AWS da sua conta e forneça seu endereço de e-mail.
1. Selecione **Enviar**.
1. Depois de enviada, sua solicitação para cancelar a transferência de dados entre regiões será processada, o que pode levar até 60 dias.