Este é o Guia do desenvolvedor do AWS CDK v2. O CDK v1 antigo entrou em manutenção em 1º de junho de 2022 e encerrou o suporte em 1º de junho de 2023.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança para o AWS Cloud Development Kit (AWS CDK)
A segurança da nuvem na Amazon Web Services (AWS) é a nossa maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança. A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como a Segurança da nuvem e a Segurança na nuvem.
**Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa todos os serviços oferecidos na AWS nuvem e fornecer serviços que você possa usar com segurança. Nossa responsabilidade de segurança é a maior prioridade em AWS, e a eficácia de nossa segurança é regularmente testada e verificada por auditores terceirizados como parte dos [Programas de AWS Conformidade](https://aws.amazon.com/compliance/programs/).
**Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você está usando e por outros fatores, incluindo a sensibilidade de seus dados, os requisitos da sua organização e as leis e regulamentos aplicáveis.
O AWS CDK segue o [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) por meio dos serviços específicos da Amazon Web Services (AWS) que ele suporta. Para AWS obter informações sobre segurança do [AWS serviço, consulte a página de documentação de segurança](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) do serviço e os [AWS serviços que estão no escopo dos esforços de AWS conformidade do programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
# Gerenciamento de identidade e acesso para o AWS Cloud Development Kit (AWS CDK)
AWS O Identity and Access Management (IAM) é AWS um serviço que ajuda o administrador a controlar com segurança o acesso aos recursos. AWS Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS os recursos. O IAM é um AWS serviço que você pode usar sem custo adicional.
## Público
A forma como você usa o AWS Identity and Access Management (IAM) difere, dependendo do trabalho que você faz. AWS
**Usuário do serviço** — Se você usa AWS serviços para realizar seu trabalho, seu administrador fornecerá as credenciais e as permissões de que você precisa. À medida que você usa mais AWS recursos para fazer seu trabalho, talvez precise de permissões adicionais. Entender como o acesso é gerenciado pode ajudar a solicitar as permissões corretas ao administrador.
**Administrador de serviços** — Se você é responsável pelos AWS recursos da sua empresa, provavelmente tem acesso total aos AWS recursos. É seu trabalho determinar quais AWS serviços e recursos seus usuários devem acessar. Envie as solicitações ao administrador do IAM para alterar as permissões dos usuários de serviço. Revise as informações nesta página para compreender os conceitos básicos do IAM.
**Administrador do IAM** — Se você for administrador do IAM, talvez queira saber detalhes sobre como criar políticas para gerenciar o acesso aos AWS serviços.
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar *autenticado* (conectado AWS) como usuário raiz da AWS conta, como usuário do IAM ou assumindo uma função do IAM.
Você pode entrar AWS como uma identidade federada usando credenciais fornecidas por meio de uma fonte de identidade. AWS Os usuários do IAM Identity Center (IAM Identity Center), a autenticação de login único da sua empresa e suas credenciais do Google ou do Facebook são exemplos de identidades federadas. Quando você faz login como identidade federada, o administrador já configurou anteriormente a federação de identidades usando perfis do IAM. Ao acessar AWS usando a federação, você está assumindo indiretamente uma função.
Dependendo do tipo de usuário que você é, você pode entrar no AWS Management Console ou no portal de AWS acesso. Para obter mais informações sobre como fazer login AWS, consulte [Como fazer login na sua AWS conta](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no Guia do *usuário AWS de login*.
Para acessar AWS programaticamente, AWS fornece o AWS CDK, os kits de desenvolvimento de software (SDKs) e uma interface de linha de comando (CLI) para assinar criptograficamente suas solicitações usando suas credenciais. Se você não usa AWS ferramentas, você mesmo deve assinar as solicitações. Para obter mais informações sobre como usar o método recomendado para você mesmo assinar solicitações, consulte [Processo de assinatura do Signature versão 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) na *Referência AWS geral*.
Independente do método de autenticação usado, também pode ser necessário fornecer informações adicionais de segurança. Por exemplo, AWS recomenda que você use a autenticação multifator (MFA) para aumentar a segurança da sua conta. *Para saber mais, consulte [Autenticação multifator](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) no *Guia do usuário AWS do IAM Identity Center* e [Uso da autenticação multifator (MFA) AWS no](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) Guia do usuário do IAM.*
### AWS usuário raiz da conta
Ao criar uma AWS conta, você começa com uma identidade de login que tem acesso completo a todos os AWS serviços e recursos da conta. Essa identidade é chamada de *usuário raiz* da AWS conta e é acessada fazendo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário-raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do Usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que usuários humanos, incluindo usuários que precisam de acesso de administrador, usem a federação com um provedor de identidade para acessar AWS os serviços usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório de usuários corporativo, de um provedor de identidade da web, do AWS Directory Service, do diretório do Identity Center ou de qualquer usuário que acesse AWS serviços usando credenciais fornecidas por meio de uma fonte de identidade. Quando identidades federadas acessam AWS contas, elas assumem funções, e as funções fornecem credenciais temporárias.
Para o gerenciamento centralizado do acesso, recomendamos que você use o AWS IAM Identity Center. Você pode criar usuários e grupos no IAM Identity Center ou pode se conectar e sincronizar com um conjunto de usuários e grupos em sua própria fonte de identidade para uso em todas as suas AWS contas e aplicativos. Para obter informações sobre o IAM Identity Center, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário AWS do IAM Identity Center*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade em sua AWS conta que tem permissões específicas para uma única pessoa ou aplicativo. Sempre que possível, é recomendável contar com credenciais temporárias em vez de criar usuários do IAM com credenciais de longo prazo, como senhas e chaves de acesso. No entanto, se você tiver casos de uso específicos que exijam credenciais de longo prazo com usuários do IAM, é recomendável alternar as chaves de acesso. Para obter mais informações, consulte [Alternar as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) no *Guia do Usuário do IAM*.
Um [grupo do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) é uma identidade que especifica uma coleção de usuários do IAM. Não é possível fazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você pode ter um grupo chamado *IAMAdmins*e conceder a esse grupo permissões para administrar recursos do IAM.
Usuários são diferentes de perfis. Um usuário é exclusivamente associado a uma pessoa ou a uma aplicação, mas um perfil pode ser assumido por qualquer pessoa que precisar dele. Os usuários têm credenciais permanentes de longo prazo, mas os perfis fornecem credenciais temporárias. Para saber mais, consulte [Casos de uso para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade dentro da sua AWS conta que tem permissões específicas. Ele se assemelha a um usuário do IAM, entretanto, não está associado a uma pessoa específica. Você pode assumir temporariamente uma função do IAM no AWS Management Console [trocando as funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Você pode assumir uma função chamando uma operação de AWS CLI ou AWS API ou usando uma URL personalizada. Para obter mais informações sobre métodos para o uso de perfis, consulte [Utilizar perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) no *Guia do usuário do IAM*.
Perfis do IAM com credenciais temporárias são úteis nas situações a seguir:
+ **Acesso de usuário federado**: para atribuir permissões a identidades federadas, é possível criar um perfil e definir permissões para ele. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas por ele. Para ter mais informações sobre perfis para federação, consulte [Criar um perfil para um provedor de identidade de terceiros (federação)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do usuário do IAM*. Se usar o Centro de Identidade do IAM, configure um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o Centro de Identidade do IAM correlaciona o conjunto de permissões a um perfil no IAM. Para obter informações sobre conjuntos de permissões, consulte [Conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do usuário AWS do IAM Identity Center*.
+ **Permissões temporárias para usuários do IAM**: um usuário ou um perfil do IAM pode presumir um perfil do IAM para obter temporariamente permissões diferentes para uma tarefa específica.
+ **Acesso entre contas**: é possível usar um perfil do IAM para permitir que alguém (uma entidade principal confiável) em outra conta acesse recursos em sua conta. Os perfis são a principal forma de conceder acesso entre contas. No entanto, com alguns AWS serviços, você pode anexar uma política diretamente a um recurso (em vez de usar uma função como proxy). Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Como os perfis do IAM diferem das políticas baseadas em recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) no *Guia do usuário do IAM*.
+ **Acesso entre serviços** — Alguns AWS serviços usam recursos em outros AWS serviços. Por exemplo, quando você faz uma chamada em um serviço, é comum que esse serviço execute aplicações no Amazon EC2 ou armazene objetos no Amazon S3. Um serviço pode fazer isso usando as permissões da entidade principal de chamada, usando um perfil de serviço ou um perfil vinculado ao serviço.
+ **Perfil de serviço**: um perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte [Criar uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
+ **Função vinculada a serviços — Uma função** vinculada a serviços é um tipo de função de serviço vinculada a um serviço. AWS O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua AWS conta e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
+ **Aplicativos em execução no Amazon EC2** — Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e fazendo solicitações de CLI AWS ou API. AWS É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir uma AWS função a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém o perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte [Utilizar um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) no *Guia do usuário do IAM*.
Para saber se deseja usar perfis do IAM, consulte [Quando criar um perfil do IAM (em vez de um usuário)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) no *Guia do usuário do IAM*.
# Validação de conformidade para o AWS Cloud Development Kit (AWS CDK)
O AWS CDK segue o [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) por meio dos serviços específicos da Amazon Web Services (AWS) que ele suporta. Para AWS obter informações sobre segurança do [AWS serviço, consulte a página de documentação de segurança](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) do serviço e os [AWS serviços que estão no escopo dos esforços de AWS conformidade do programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
A segurança e a conformidade dos AWS serviços são avaliadas por auditores terceirizados como parte de vários programas de AWS conformidade. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros. AWS fornece uma lista frequentemente atualizada de AWS serviços no escopo de programas de conformidade específicos em [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
Relatórios de auditoria de terceiros estão disponíveis para você baixar usando o AWS Artifact. Para obter mais informações, consulte [Baixando relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Para obter mais informações sobre programas de AWS conformidade, consulte [Programas de AWS conformidade](https://aws.amazon.com/compliance/programs/).
Sua responsabilidade de conformidade ao usar o AWS CDK para acessar um AWS serviço é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua organização e pelas leis e regulamentações aplicáveis. Se o uso de um AWS serviço estiver sujeito à conformidade com padrões como HIPAA, PCI ou FedRAMP, fornece recursos para ajudar a: AWS
+ Guias de [início rápido sobre segurança e conformidade — guias](https://aws.amazon.com/quickstart/?quickstart-all.sort-by=item.additionalFields.updateDate&quickstart-all.sort-order=desc&awsf.quickstart-homepage-filter=categories%23security-identity-compliance) de implantação que discutem considerações arquitetônicas e fornecem etapas para a implantação de ambientes básicos focados na segurança e na conformidade em. AWS
+ [AWS Recursos de conformidade](https://aws.amazon.com/compliance/resources/) — Uma coleção de pastas de trabalho e guias que podem ser aplicados ao seu setor e localização.
+ [AWS Config](https://aws.amazon.com/config/) — um serviço que avalia o quão bem suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes do setor e os regulamentos.
+ [AWS Security Hub](https://aws.amazon.com/security-hub/) — Uma visão abrangente do seu estado de segurança interno AWS que ajuda você a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
# Resiliência para o AWS Cloud Development Kit (AWS CDK)
A infraestrutura global da Amazon Web Services (AWS) é construída em torno de AWS regiões e zonas de disponibilidade.
AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância.
Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
O AWS CDK segue o [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) por meio dos serviços específicos da Amazon Web Services (AWS) que ele suporta. Para AWS obter informações sobre segurança do [AWS serviço, consulte a página de documentação de segurança](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) do serviço e os [AWS serviços que estão no escopo dos esforços de AWS conformidade do programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
# Segurança de infraestrutura para o AWS Cloud Development Kit (AWS CDK)
O AWS CDK segue o [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) por meio dos serviços específicos da Amazon Web Services (AWS) que ele suporta. Para AWS obter informações sobre segurança do [AWS serviço, consulte a página de documentação de segurança](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) do serviço e os [AWS serviços que estão no escopo dos esforços de AWS conformidade do programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).