As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Config
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade aplicáveis AWS Config, consulte os [AWS serviços em Escopo por Programa AWS de Conformidade](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS Config. Os tópicos a seguir mostram como configurar para atender AWS Config aos seus objetivos de segurança e conformidade.
**Topics**
+ [Proteção de dados em AWS Config](data-protection.md)
+ [Identity and Access Management para AWS Config](security-iam.md)
+ [Resposta a incidentes em AWS Config](incident-response.md)
+ [Validação de conformidade para AWS Config](config-compliance.md)
+ [Resiliência em AWS Config](disaster-recovery-resiliency.md)
+ [Segurança de infraestrutura em AWS Config](infrastructure-security.md)
+ [Prevenção do problema "confused deputy" entre serviços](cross-service-confused-deputy-prevention.md)
+ [Melhores práticas de segurança para AWS Config](security-best-practices.md)
# Proteção de dados em AWS Config
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com ou Serviços da AWS usa o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados em repouso
Os dados são criptografados em repouso usando criptografia transparente do lado do servidor. Isso ajuda a reduzir a carga e a complexidade operacionais necessárias para proteger dados confidenciais. Com a criptografia de dados em repouso, você pode criar aplicativos confidenciais que atendem a requisitos de conformidade e regulamentação de criptografia.
## Criptografia de dados em trânsito
Os dados coletados e acessados por nós AWS Config são exclusivamente por meio de um canal protegido pelo Transport Layer Security (TLS).
# Identity and Access Management para AWS Config
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS Config os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS Config funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas](security-iam-awsmanpol.md)
+ [Permissões do perfil do IAM](iamrole-permissions.md)
+ [Atualizar o perfil do IAM](update-iam-role.md)
+ [Permissões para o bucket do Amazon S3](s3-bucket-policy.md)
+ [Permissões para a chave do KMS](s3-kms-key-policy.md)
+ [Permissões para o tópico Amazon SNS](sns-topic-policy.md)
+ [Solução de problemas](security_iam_troubleshoot.md)
+ [Uso de perfis vinculadas ao serviço](using-service-linked-roles.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Config de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS Config funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS Config](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS Config funciona com o IAM
Antes de usar o IAM para gerenciar o acesso AWS Config, saiba com quais recursos do IAM estão disponíveis para uso AWS Config.
**Recursos do IAM que você pode usar com AWS Config**
| Recurso do IAM | AWS Config apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como AWS Config e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para AWS Config
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para AWS Config
Para ver exemplos de políticas AWS Config baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Config](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos dentro AWS Config
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações políticas para AWS Config
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de AWS Config ações, consulte [Ações definidas por AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions) na *Referência de Autorização de Serviço*.
As ações de política AWS Config usam o seguinte prefixo antes da ação:
```
config
```
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
```
"Action": [
"config:action1",
"config:action2"
]
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "config:Describe*"
```
Para ver exemplos de políticas AWS Config baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Config](security_iam_id-based-policy-examples.md)
## Recursos políticos para AWS Config
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de AWS Config recursos e seus ARNs, consulte [Recursos definidos por AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Para ver exemplos de políticas AWS Config baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Config](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para AWS Config
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de AWS Config condição, consulte [Chaves de condição AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Para ver exemplos de políticas AWS Config baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Config](security_iam_id-based-policy-examples.md)
## ACLs in AWS Config
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com AWS Config
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre a marcação de AWS Config recursos, consulte[Marcar os recursos do AWS Config](tagging.md).
## Usando credenciais temporárias com AWS Config
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para AWS Config
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para AWS Config
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de um perfil de serviço pode prejudicar a funcionalidade do AWS Config . Edite as funções de serviço somente quando AWS Config fornecer orientação para fazer isso.
## Funções vinculadas a serviços para AWS Config
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar funções AWS Config vinculadas a serviços, consulte. [Usando funções vinculadas ao serviço para AWS Config](using-service-linked-roles.md)
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para AWS Config
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do AWS Config . Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por AWS Config, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Config na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) *Autorização de Serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Inscreva-se para um Conta da AWS](#sign-up-for-aws)
+ [Criar um usuário com acesso administrativo](#create-an-admin)
+ [Utilizar o console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Acesso somente para leitura a AWS Config](#read-only-config-permission)
+ [Acesso total ao AWS Config](#full-config-permission)
+ [Controlando o acesso às AWS Config regras](#supported-resource-level-permissions)
+ [Controlar o acesso a dados agregados](#resource-level-permission)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Config recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Inscreva-se para um Conta da AWS
Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.
**Para se inscrever em um Conta da AWS**
1. Abra a [https://portal.aws.amazon.com/billing/inscrição.](https://portal.aws.amazon.com/billing/signup)
1. Siga as instruções online.
Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.
Quando você se inscreve em um Conta da AWS, um *Usuário raiz da conta da AWS*é criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar [tarefas que exigem acesso de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando [https://aws.amazon.com/e](https://aws.amazon.com/) escolhendo **Minha conta**.
## Criar um usuário com acesso administrativo
Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS Centro de Identidade do AWS IAM, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.
**Proteja seu Usuário raiz da conta da AWS**
1. Faça login [Console de gerenciamento da AWS](https://console.aws.amazon.com/)como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
Para obter ajuda ao fazer login usando o usuário-raiz, consulte [Fazer login como usuário-raiz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) no *Guia do usuário do Início de Sessão da AWS *.
1. Habilite a autenticação multifator (MFA) para o usuário-raiz.
Para obter instruções, consulte [Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) do *usuário do IAM*.
**Criar um usuário com acesso administrativo**
1. Habilita o Centro de Identidade do IAM.
Para obter instruções, consulte [Habilitar o Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.
Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte [Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) no *Guia Centro de Identidade do AWS IAM do usuário*.
**Iniciar sessão como o usuário com acesso administrativo**
+ Para fazer login com o seu usuário do Centro de Identidade do IAM, use o URL de login enviado ao seu endereço de e-mail quando o usuário do Centro de Identidade do IAM foi criado.
Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como [fazer login no portal de AWS acesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) no *Guia Início de Sessão da AWS do usuário*.
**Atribuir acesso a usuários adicionais**
1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.
Para obter instruções, consulte [Criar um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. Atribua usuários a um grupo e, em seguida, atribua o acesso de logon único ao grupo.
Para obter instruções, consulte [Adicionar grupos](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
## Usando o AWS Config console
Para acessar o AWS Config console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Config recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o AWS Config console, anexe também a política AWS Config `AWSConfigUserAccess` AWS gerenciada às entidades. Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Você deve dar aos usuários permissões para interagir com AWS Config. Para usuários que precisam de acesso total AWS Config, use a política de [acesso total ao AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) gerenciado.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Acesso somente para leitura a AWS Config
O exemplo a seguir mostra uma política AWS gerenciada `AWSConfigUserAccess` que concede acesso somente para leitura a. AWS Config
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
Nas declarações da política, o elemento `Effect` especifica se as ações são permitidas ou negadas. O elemento `Action` lista as ações específicas que o usuário tem permissão para realizar. O `Resource` elemento lista os AWS recursos nos quais o usuário tem permissão para realizar essas ações. Para políticas que controlam o acesso às AWS Config ações, o `Resource` elemento é sempre definido como`*`, um curinga que significa “todos os recursos”.
Os valores no `Action` elemento correspondem aos APIs que os serviços suportam. As ações são precedidas por `config:` para indicar que se referem a AWS Config ações. Você pode usar o caractere curinga `*` no elemento `Action`, como nos exemplos a seguir:
+ `"Action": ["config:*ConfigurationRecorder"]`
Isso permite todas as AWS Config ações que terminam com ConfigurationRecorder "" (`StartConfigurationRecorder`,`StopConfigurationRecorder`).
+ `"Action": ["config:*"]`
Isso permite todas as AWS Config ações, mas não ações para outros AWS serviços.
+ `"Action": ["*"]`
Isso permite todas as AWS ações. Essa permissão é adequada para um usuário que atua como AWS administrador da sua conta.
A política somente leitura não concede permissão de usuário a ações como `StartConfigurationRecorder`, `StopConfigurationRecorder` e `DeleteConfigurationRecorder`. Os usuários com essa política não têm permissão para iniciar, interromper ou excluir o gravador de configuração. Para ver a lista de AWS Config ações, consulte a [Referência AWS Config da API](https://docs.aws.amazon.com/config/latest/APIReference/).
## Acesso total ao AWS Config
O exemplo a seguir mostra uma política que concede acesso total AWS Config a. Ele concede aos usuários a permissão para realizar todas as AWS Config ações. Ela também permite que os usuários gerenciem arquivos em buckets do S3 e os tópicos do SNS na conta à qual o usuário está associado.
**Importante**
Essa política concede amplas permissões. Antes de conceder acesso total, comece com um conjunto mínimo de permissões e conceda permissões adicionais conforme necessário. Essa é uma prática mais recomendada do que começar com permissões que são muito permissivas e tentar restringi-las posteriormente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Permissões em nível de recurso suportadas para AWS Config ações da API Rule
As permissões em nível de recurso se referem à capacidade de especificar em quais recursos os usuários podem realizar ações. AWS Config oferece suporte a permissões em nível de recurso para determinadas ações da API de AWS Config regras. Isso significa que, para determinadas ações de AWS Config regras, você pode controlar as condições sob as quais os usuários podem usar essas ações. Essas condições podem ser ações que precisam ser concluídas ou recursos específicos que os usuários têm permissão para usar.
A tabela a seguir descreve as ações da API de AWS Config regras que atualmente oferecem suporte a permissões em nível de recurso. Também descreve os recursos suportados e seus ARNs para cada ação. Ao especificar um ARN, você pode usar o caractere curinga \$1 em seus caminhos; por exemplo, quando você não pode ou não deseja especificar o recurso exato. IDs
**Importante**
Se uma ação de API de AWS Config regra não estiver listada nessa tabela, ela não é compatível com permissões em nível de recurso. Se uma ação de AWS Config regra não oferecer suporte a permissões em nível de recurso, você poderá conceder aos usuários permissões para usar a ação, mas precisará especificar um \$1 para o elemento de recurso da sua declaração de política.
****
| Ação API | Recursos |
| --- | --- |
| DeleteConfigRule | Regra do Config arn: aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DeleteEvaluationResults | Regra do Config arn: aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DescribeComplianceByConfigRule | Regra do Config arn: aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DescribeConfigRuleEvaluationStatus | Regra do Config arn: aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| GetComplianceDetailsByConfigRule | Regra do Config arn: aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| PutConfigRule | Regra do Config arn: aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| StartConfigRulesEvaluation | Regra do Config arn: aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| PutRemediationConfigurations | Configuração de correção arn:aws:config ::configuração-remediação/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationConfigurations | Configuração de correção arn:aws:config ::configuração-remediação/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationConfiguration | Configuração de correção arn:aws:config ::configuração-remediação/ *region:accountId* *config rule name/remediation configuration id* |
| PutRemediationExceptions | Configuração de correção arn:aws:config ::configuração-remediação/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationExceptions | Configuração de correção arn:aws:config ::configuração-remediação/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationExceptions | Configuração de correção arn:aws:config ::configuração-remediação/ *region:accountId* *config rule name/remediation configuration id* |
Por exemplo, você deseja permitir acesso de leitura e negar acesso de gravação para regras específicas a determinados usuários.
Na primeira política, você permite que a AWS Config regra leia ações, como `DescribeConfigRuleEvaluationStatus` nas regras especificadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID",
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
]
}
]
}
```
------
Na segunda política, você nega que a AWS Config regra escreva ações na regra específica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
}
]
}
```
------
Com permissões em nível de recurso, você pode permitir o acesso de leitura e negar o acesso de gravação para realizar ações específicas nas ações da API de AWS Config regras.
## Permissões no nível do recurso compatível para agregação de dados de várias contas e regiões
Você pode usar permissões no nível do recurso para controlar a capacidade do usuário de realizar ações específicas de agregação de dados em várias contas e várias regiões. As seguintes permissões em nível de recurso AWS Config `Aggregator` APIs oferecem suporte:
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
Por exemplo, você pode restringir o acesso aos dados de recursos para usuários específicos criando dois agregadores, `AccessibleAggregator` e `InAccessibleAggregator`, e anexando uma política do IAM que permita o acesso a `AccessibleAggregator`, mas negue o acesso a `InAccessibleAggregator`.
**Política do IAM para AccessibleAggregator**
Nessa política, você permite o acesso às ações agregadoras compatíveis com o nome do recurso da Amazon (ARN) do AWS Config especificado. Neste exemplo, o AWS Config ARN é. `arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**Política do IAM para InAccessibleAggregator**
Nessa política, você nega o acesso às ações compatíveis de agregação para o ARN do AWS Config especificado. Neste exemplo, o AWS Config ARN é. `arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Se um usuário do grupo de desenvolvedores tentar realizar qualquer uma dessas ações no ARN do AWS Config especificado, esse usuário receberá uma exceção de acesso negado.
**Verificar as permissões de acesso do usuário**
Para exibir os agregadores criados, execute o seguinte comando da AWS CLI :
```
aws configservice describe-configuration-aggregators
```
Quando o comando for concluído com sucesso, você poderá ver os detalhes de todos os agregadores associados à sua conta. Neste exemplo, eles são `AccessibleAggregator` e`InAccessibleAggregator`:
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**nota**
Para `account-aggregation-sources` inserir uma lista separada por vírgulas da AWS conta IDs para a qual você deseja agregar dados. Coloque a conta IDs entre colchetes e não se esqueça de evitar aspas (por exemplo,`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
Anexe a seguinte política do IAM para negar o acesso a `InAccessibleAggregator` ou ao agregador ao qual você deseja negar o acesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Em seguida, confirme que a política do IAM funciona para restringir o acesso a regras para um agregador específico:
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion
```
O comando deve retornar uma exceção de acesso negado:
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
```
# AWS políticas gerenciadas para AWS Config
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSConfigServiceRolePolicy
AWS Config usa a função vinculada ao serviço nomeada **AWSServiceRoleForConfig**para chamar outros AWS serviços em seu nome. Quando você usa o Console de gerenciamento da AWS para configurar AWS Config, essa SLR é criada automaticamente AWS Config se você selecionar a opção de usar a AWS Config SLR em vez de sua própria função de serviço AWS Identity and Access Management (IAM).
O SLR **AWSServiceRoleForConfig** contém a política gerenciada `AWSConfigServiceRolePolicy`. Essa política gerenciada contém permissões somente leitura e somente gravação para recursos e permissões somente leitura para AWS Config recursos em outros serviços que oferecem suporte. AWS Config A política fornece acesso abrangente para monitorar e registrar alterações de configuração em toda a sua AWS infraestrutura, incluindo permissões para mais de 100 AWS serviços, como computação, armazenamento, rede, segurança, análise e serviços de aprendizado de máquina.
A política inclui permissões para as seguintes categorias de serviços:
+ `access-analyzer`— permite que os diretores analisem os padrões de acesso e recuperem as descobertas de segurança.
+ `account`— Permite que os diretores recuperem as informações de contato da conta.
+ `acm`e `acm-pca` — Permite que os diretores gerenciem SSL/TLS certificados e autoridades de certificação privadas.
+ `airflow`— Permite que os diretores monitorem ambientes gerenciados do Apache Airflow.
+ `amplify`e `amplifyuibuilder` — Permite que os diretores monitorem aplicativos web e componentes de interface do usuário.
+ `aoss`— Permite que os diretores monitorem coleções OpenSearch sem servidor e configurações de segurança.
+ `app-integrations`— Permite que os diretores monitorem as configurações de integração de aplicativos.
+ `appconfig`— permite que os diretores monitorem as implantações de configuração de aplicativos.
+ `appflow`— Permite que os diretores monitorem as configurações de fluxo de dados entre os aplicativos.
+ `application-autoscaling`e `application-signals` — permite que os diretores monitorem políticas de auto-scaling e métricas de desempenho de aplicativos.
+ `appmesh`— Permite que os diretores monitorem as configurações do service mesh.
+ `apprunner`— permite que os diretores monitorem aplicativos e serviços da web em contêineres.
+ `appstream`— Permite que os diretores monitorem as configurações de streaming de aplicativos.
+ `appsync`— Permite que os diretores monitorem as configurações da API GraphQL.
+ `aps`— Permite que os diretores monitorem as configurações de monitoramento do Prometheus.
+ `apptest`— Permite que os diretores monitorem as configurações de testes de aplicativos.
+ `arc-zonal-shift`— Permite que os diretores monitorem as configurações de turnos zonais quanto à disponibilidade.
+ `athena`— Permite que os diretores monitorem as configurações do mecanismo de consulta e os catálogos de dados.
+ `auditmanager`— Permite que os diretores monitorem as avaliações de auditoria e conformidade.
+ `autoscaling`e `autoscaling-plans` — Permite que os diretores monitorem grupos e planos de escalonamento automático.
+ `b2bi`— Permite que os diretores monitorem as configurações de business-to-business integração.
+ `backup`e `backup-gateway` — permite que os diretores monitorem as políticas de backup e as configurações de gateway.
+ `batch`— permite que os diretores monitorem ambientes de computação em lote e filas de trabalhos.
+ `bcm-data-exports`— Permite que os diretores monitorem as exportações de dados de faturamento e gerenciamento de custos.
+ `bedrock`e `bedrock-agentcore` — Permite que os diretores monitorem os modelos básicos e as configurações dos agentes de IA.
+ `billingconductor`— Permite que os diretores monitorem as configurações do grupo de cobrança.
+ `budgets`— Permite que os diretores monitorem as configurações e ações orçamentárias.
+ `cassandra`— Permite que os diretores consultem as configurações gerenciadas do banco de dados Cassandra.
+ `ce`— permite que os diretores monitorem as configurações de relatórios de custo e uso.
+ `cleanrooms`e `cleanrooms-ml` — permite que os diretores monitorem as configurações de colaboração de dados e aprendizado de máquina.
+ `cloud9`— Permite que os diretores monitorem as configurações do ambiente de desenvolvimento em nuvem.
+ `cloudformation`— Permite que os diretores monitorem a infraestrutura como configurações de pilha de código.
+ `cloudfront`— permite que os diretores monitorem as configurações da rede de distribuição de conteúdo.
+ `cloudtrail`— Permite que os diretores monitorem o registro da API e as configurações da trilha de auditoria.
+ `cloudwatch`— Permite que os diretores monitorem métricas, alarmes e configurações do painel.
+ `codeartifact`— Permite que os diretores monitorem as configurações do repositório de pacotes de software.
+ `codebuild`— Permite que os diretores monitorem as configurações do projeto de construção.
+ `codecommit`— Permite que os diretores monitorem as configurações do repositório de código-fonte.
+ `codeconnections`— Permite que os diretores monitorem conexões de origem de terceiros.
+ `codedeploy`— Permite que os diretores monitorem as configurações de implantação de aplicativos.
+ `codeguru-profiler`e `codeguru-reviewer` — Permite que os diretores monitorem a análise de código e as configurações de criação de perfil.
+ `codepipeline`— permite que os diretores monitorem a integração contínua e as configurações do pipeline de implantação.
+ `codestar-connections`— Permite que os diretores monitorem as conexões das ferramentas do desenvolvedor.
+ `cognito-identity`e `cognito-idp` — Permite que os diretores monitorem as configurações de identidades e grupos de usuários.
+ `comprehend`— Permite que os diretores monitorem as configurações de processamento de linguagem natural.
+ `config`— permite que os diretores gerenciem o registro da configuração e o monitoramento da conformidade.
+ `connect`— Permite que os diretores monitorem as configurações do contact center.
Para obter mais informações sobre os tipos de recursos compatíveis, consulte [Tipos de recursos suportados para AWS Config](resource-config-reference.md) [Usando funções vinculadas ao serviço para AWS Config](using-service-linked-roles.md) e.
Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSConfigServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigServiceRolePolicy.html) no *AWS Managed Policy Reference Guide*.
**Recomendado: use a função vinculada ao serviço**
É recomendável usar um perfil vinculado ao serviço, a menos que você tenha um caso de uso específico. Uma função vinculada ao serviço adiciona todas as permissões necessárias para o AWS Config ser executado conforme o esperado. Alguns recursos, como gravadores de configuração vinculados ao serviço, exigem que você use um perfil vinculado ao serviço.
## AWS política gerenciada: AWS\$1ConfigRole
Para registrar suas configurações AWS de recursos, AWS Config são necessárias permissões do IAM para obter os detalhes de configuração sobre seus recursos. Se você deseja criar um perfil do IAM para o AWS Config, use a política gerenciada `AWS_ConfigRole` e anexe-a ao seu perfil do IAM.
Essa política do IAM é atualizada sempre que AWS Config adiciona suporte para um tipo de AWS recurso. Isso significa que AWS Config continuará a ter as permissões necessárias para registrar dados de configuração dos tipos de recursos suportados, desde que a **AWS\$1Cfunção ConfigRole** tenha essa política gerenciada anexada. A política fornece acesso abrangente para monitorar e registrar alterações de configuração em toda a sua AWS infraestrutura, incluindo permissões para mais de 100 AWS serviços, como computação, armazenamento, rede, segurança, análise e serviços de aprendizado de máquina. Para obter mais informações, consulte [Tipos de recursos suportados para AWS Config](resource-config-reference.md) e [Permissões para a função do IAM atribuída a AWS Config](iamrole-permissions.md).
Para ver mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWS\$1CInfigRole no Guia](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS_ConfigRole.html) de referência de *políticas AWS gerenciadas*.
## AWS política gerenciada: AWSConfigUserAccess
Essa política do IAM fornece acesso ao uso AWS Config, incluindo a pesquisa por tags nos recursos e a leitura de todas as tags. Isso não fornece permissão para configuração AWS Config, o que requer privilégios administrativos.
Veja esta política: [AWSConfigUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigUserAccess.html).
## AWS política gerenciada: ConfigConformsServiceRolePolicy
Para implantar e gerenciar pacotes de conformidade, AWS Config são necessárias permissões do IAM e determinadas permissões de outros serviços. AWS Eles permitem que você implante e gerencie pacotes de conformidade com todas as funcionalidades e são atualizados sempre que AWS Config adicionam novas funcionalidades aos pacotes de conformidade. Consulte [Pacotes de conformidade](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) para obter mais informações sobre pacotes de conformidade.
Veja esta política: [ConfigConformsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ConfigConformsServiceRolePolicy.html).
## AWS política gerenciada: AWSConfigRulesExecutionRole
Para implantar regras AWS personalizadas do Lambda, AWS Config são necessárias permissões do IAM e determinadas permissões de outros AWS serviços. Eles permitem que AWS Lambda as funções acessem a AWS Config API e os snapshots de configuração que são AWS Config entregues periodicamente ao Amazon S3. Esse acesso é exigido por funções que avaliam as alterações de configuração das regras AWS personalizadas do Lambda e é atualizado sempre que novas funcionalidades são AWS Config adicionadas. Para obter mais informações sobre regras AWS personalizadas do Lambda, consulte [Criação de regras personalizadas do AWS Config Lambda](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html). Para obter mais informações sobre snapshots de configuração, consulte [Conceitos \$1 Snapshot de configuração](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot). Para obter mais informações sobre a entrega de snapshots de configuração, consulte [Gerenciar o canal de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html).
Veja esta política: [AWSConfigRulesExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRulesExecutionRole.html).
## AWS política gerenciada: AWSConfigMultiAccountSetupPolicy
Para implantar, atualizar e excluir de forma centralizada AWS Config regras e pacotes de conformidade nas contas dos membros de uma organização em AWS Organizations, AWS Config são necessárias permissões do IAM e certas permissões de outros serviços. AWS Essa política gerenciada é atualizada sempre que o AWS Config adiciona novas funcionalidades para a configuração de várias contas. Para obter mais informações, consulte [Gerenciando AWS Config regras em todas as contas em sua organização](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) e [Gerenciando pacotes de conformidade em todas as contas em](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) sua organização.
Veja esta política: [AWSConfigMultiAccountSetupPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigMultiAccountSetupPolicy.html).
## AWS política gerenciada: AWSConfigRoleForOrganizations
Para permitir AWS Config a chamada somente para leitura AWS Organizations APIs, AWS Config são necessárias permissões do IAM e determinadas permissões de outros AWS serviços. Essa política gerenciada é atualizada sempre que o AWS Config adiciona novas funcionalidades para a configuração de várias contas. Para obter mais informações, consulte [Gerenciando AWS Config regras em todas as contas em sua organização](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) e [Gerenciando pacotes de conformidade em todas as contas em](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) sua organização.
Veja esta política: [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html).
## AWS política gerenciada: AWSConfigRemediationServiceRolePolicy
Para permitir AWS Config a correção de `NON_COMPLIANT` recursos em seu nome, AWS Config são necessárias permissões do IAM e determinadas permissões de outros AWS serviços. Essa política gerenciada é atualizada sempre que AWS Config adiciona novas funcionalidades para remediação. Para obter mais informações sobre remediação, consulte [Correção de recursos não compatíveis com regras. AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) Para obter mais informações sobre as condições que iniciam os possíveis resultados da AWS Config avaliação, consulte [Conceitos \$1 AWS Config Regras](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#aws-config-rules).
Veja esta política: [AWSConfigRemediationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRemediationServiceRolePolicy.html).
## AWS Config atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Config desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página [Histórico do AWS Config documento](https://docs.aws.amazon.com/config/latest/developerguide/DocumentHistory.html).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Permissões adicionadas: escalonamento automático de aplicativos:DescribeScheduledActions, appsync:, cloudformation:GetApiAssociation, cloudformation:, cloudfront:DescribeStacks, cloudfront:GetStackPolicy, cloudfront:, cloudfront:GetTemplate, connect:, cur:GetKeyGroup, cur:, datazone:GetMonitoringSubscription, datazone:, datazone:ListKeyGroups, datazone:ListEvaluationFormVersions, datazone:DescribeReportDefinitions, datazone:ListTagsForResource, datazone::GetDomainUnit, zona de dados:, zona de dados:GetEnvironmentAction, zona de dados: GetEnvironmentBlueprintConfiguration GetEnvironmentProfile GetGroupProfile GetSubscriptionTarget GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, zona de dados:, zona de dados:ListEnvironmentProfiles, zona de dados:ListPolicyGrants, zona de dados:, zona de dados:ListProjectMemberships, docdb-elastic:, docdb-elastic:ListSubscriptionTargets, docdb-elastic:SearchGroupProfiles, docdb-elastic:, ec2:SearchUserProfiles, ec2:, ec2:GetCluster, fis:, detector de fraudes:ListClusters, detector de fraudes:, guardduty:ListTagsForResource, guardduty:GetRouteServerAssociations, guardduty: iotfleetwise:GetRouteServerPropagations, iotfleetwise:SearchTransitGatewayRoutes, iotsitewise:ListTagsForResource, iotsitewise:GetListElements, GetListsMetadata GetThreatEntitySet GetTrustedEntitySet ListThreatEntitySets ListTrustedEntitySets GetCampaign ListCampaigns DescribeComputationModel DescribeDataset iotsitewise:ListComputationModels, iotsitewise:, iotwireless:ListDatasets, iotwireless:, kendra:, logs:GetWirelessDeviceImportTask, logs:, mediaconnect:ListWirelessDeviceImportTasks, medialive:, medialive:ListDataSources, medialive:DescribeQueryDefinitions, medialive:GetIntegration, medialive:, medialive:ListIntegrations, medialive:, medialive:ListRouterOutputs, medialive:DescribeMultiplex, medialive:, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:, medialive:GetCloudWatchAlarmTemplateGroup, medialive:, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, gerente de rede:ListCloudWatchAlarmTemplateGroups, gerente de rede: ListCloudWatchAlarmTemplates ListEventBridgeRuleTemplateGroups ListEventBridgeRuleTemplates ListSdiSources ListSignalMaps GetConnectAttachment GetCoreNetwork GetCoreNetworkPolicy, gerenciador de rede:, gerenciador de rede:GetDirectConnectGatewayAttachment, gerenciador de rede:, gerenciador de rede:GetSiteToSiteVpnAttachment, notificações:, notificações:ListAttachments, notificações:, notificações:, espaços de refatoração: ListCoreNetworksGetEventRule, espaços de refator:ListEventRules, espaços de refatoração:ListManagedNotificationChannelAssociations, resource-explorer-2:ListNotificationHubs, route53resolver:ListOrganizationalUnits, route53resolver:, securityhub:GetApplication, securityhub: V2GetRoute, securityhub: V2, securityhub: ListRoutes V2, hub de segurança:, GetDefaultView GetOutpostResolver ListOutpostResolvers DescribeOrganizationConfiguration GetAggregator GetAutomationRule GetConfigurationPolicyAssociation hub de segurança:, hub de segurança: V2GetFindingAggregator, hub de segurança: ListAggregators V2, hub de segurança:, hub de segurança:, sms-voz:ListAutomationRules, sms-voz:, sms-voz:ListConfigurationPolicyAssociations, sms-voz:, sms-voz:ListFindingAggregators, sms-voz:, sms-voz:DescribeConfigurationSets, espaços de trabalho web:DescribeKeywords, espaços de trabalho web:. DescribeProtectConfigurations GetProtectConfigurationCountryRuleSet ListPoolOriginationIdentities ListTagsForResource GetTrustStore GetTrustStoreCertificate GetUserAccessLoggingSettings ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para registrar alterações de configuração em vários AWS serviços. | 17 de fevereiro de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Permissões adicionadas: escalonamento automático de aplicativos:DescribeScheduledActions, appsync:, cloudformation:GetApiAssociation, cloudformation:, cloudfront:DescribeStacks, cloudfront:GetStackPolicy, cloudfront:, cloudfront:GetTemplate, connect:, cur:GetKeyGroup, cur:, datazone:GetMonitoringSubscription, datazone:, datazone:ListKeyGroups, datazone:ListEvaluationFormVersions, datazone:DescribeReportDefinitions, datazone:ListTagsForResource, datazone::GetDomainUnit, zona de dados:, zona de dados:GetEnvironmentAction, zona de dados: GetEnvironmentBlueprintConfiguration GetEnvironmentProfile GetGroupProfile GetSubscriptionTarget GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, zona de dados:, zona de dados:ListEnvironmentProfiles, zona de dados:ListPolicyGrants, zona de dados:, zona de dados:ListProjectMemberships, docdb-elastic:, docdb-elastic:ListSubscriptionTargets, docdb-elastic:SearchGroupProfiles, docdb-elastic:, ec2:SearchUserProfiles, ec2:, ec2:GetCluster, fis:, detector de fraudes:ListClusters, detector de fraudes:, guardduty:ListTagsForResource, guardduty:GetRouteServerAssociations, guardduty: iotfleetwise:GetRouteServerPropagations, iotfleetwise:SearchTransitGatewayRoutes, iotsitewise:ListTagsForResource, iotsitewise:GetListElements, GetListsMetadata GetThreatEntitySet GetTrustedEntitySet ListThreatEntitySets ListTrustedEntitySets GetCampaign ListCampaigns DescribeComputationModel DescribeDataset iotsitewise:ListComputationModels, iotsitewise:, iotwireless:ListDatasets, iotwireless:, kendra:, logs:GetWirelessDeviceImportTask, logs:, mediaconnect:ListWirelessDeviceImportTasks, medialive:, medialive:ListDataSources, medialive:DescribeQueryDefinitions, medialive:GetIntegration, medialive:, medialive:ListIntegrations, medialive:, medialive:ListRouterOutputs, medialive:DescribeMultiplex, medialive:, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:, medialive:GetCloudWatchAlarmTemplateGroup, medialive:, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, gerente de rede:ListCloudWatchAlarmTemplateGroups, gerente de rede: ListCloudWatchAlarmTemplates ListEventBridgeRuleTemplateGroups ListEventBridgeRuleTemplates ListSdiSources ListSignalMaps GetConnectAttachment GetCoreNetwork GetCoreNetworkPolicy, gerenciador de rede:, gerenciador de rede:GetDirectConnectGatewayAttachment, gerenciador de rede:, gerenciador de rede:GetSiteToSiteVpnAttachment, notificações:, notificações:ListAttachments, notificações:, notificações:, espaços de refatoração: ListCoreNetworksGetEventRule, espaços de refator:ListEventRules, espaços de refatoração:ListManagedNotificationChannelAssociations, resource-explorer-2:ListNotificationHubs, route53resolver:ListOrganizationalUnits, route53resolver:, securityhub:GetApplication, securityhub: V2GetRoute, securityhub: V2, securityhub: ListRoutes V2, hub de segurança:, GetDefaultView GetOutpostResolver ListOutpostResolvers DescribeOrganizationConfiguration GetAggregator GetAutomationRule GetConfigurationPolicyAssociation hub de segurança:, hub de segurança: V2GetFindingAggregator, hub de segurança: ListAggregators V2, hub de segurança:, hub de segurança:, sms-voz:ListAutomationRules, sms-voz:, sms-voz:ListConfigurationPolicyAssociations, sms-voz:, sms-voz:ListFindingAggregators, sms-voz:, sms-voz:DescribeConfigurationSets, espaços de trabalho web:DescribeKeywords, espaços de trabalho web:. DescribeProtectConfigurations GetProtectConfigurationCountryRuleSet ListPoolOriginationIdentities ListTagsForResource GetTrustStore GetTrustStoreCertificate GetUserAccessLoggingSettings ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para registrar alterações de configuração em vários AWS serviços. | 17 de fevereiro de 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Política gerenciada atualizada com permissões abrangentes para registro de configuração de AWS recursos em mais de 100 AWS serviços, incluindo computação, armazenamento, rede, segurança, análise e serviços de aprendizado de máquina. | Essa política agora fornece documentação aprimorada das permissões de serviço e oferece suporte ao monitoramento abrangente em todos os AWS serviços que oferecem AWS Config suporte ao registro de configuração. | 27 de janeiro de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Política gerenciada atualizada com permissões abrangentes para registro de configuração de AWS recursos em mais de 100 AWS serviços, incluindo computação, armazenamento, rede, segurança, análise e serviços de aprendizado de máquina. | Essa política agora fornece documentação aprimorada das permissões de serviço e oferece suporte ao monitoramento abrangente em todos os AWS serviços que oferecem AWS Config suporte ao registro de configuração. | 27 de janeiro de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— adicione “s3tables: ListTagsForResource “, “s3tables: “, “s3tables:GetTableBucketMetricsConfiguration” GetTableBucketStorageClass | Essa política agora oferece suporte a permissões adicionais para S3Tables. | 9 de janeiro de 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— adicione “s3tables: ListTagsForResource “, “s3tables: “, “s3tables:GetTableBucketMetricsConfiguration” GetTableBucketStorageClass | Essa política agora oferece suporte a permissões adicionais para S3Tables. | 9 de janeiro de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— adicione “lightsail:GetActiveNames" “lightsail:" “s3:GetOperations” GetBucketAbac | Essa política agora oferece suporte a permissões adicionais para o Amazon Lightsail e o Amazon Simple Storage Service (Amazon S3). | 20 de novembro de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— adicione “lightsail:GetActiveNames" “lightsail:" “s3:GetOperations” GetBucketAbac | Essa política agora oferece suporte a permissões adicionais para o Amazon Lightsail e o Amazon Simple Storage Service (Amazon S3). | 20 de novembro de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Política gerenciada atualizada com permissões abrangentes para registro de configuração de AWS recursos em mais de 100 AWS serviços, incluindo computação, armazenamento, rede, segurança, análise e serviços de aprendizado de máquina. | Essa política agora fornece documentação aprimorada das permissões de serviço e oferece suporte ao monitoramento abrangente em todos os AWS serviços que oferecem AWS Config suporte ao registro de configuração. | 11 de novembro de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Política gerenciada atualizada com permissões abrangentes para registro de configuração de AWS recursos em vários serviços AWS Identity and Access Management, incluindo Amazon Elastic Compute Cloud, Amazon Simple Storage Service AWS Lambda, Amazon Relational Database Service e muitos outros. | Agora, essa política oferece suporte a permissões adicionais para registro e monitoramento abrangentes da configuração de AWS recursos em todos os AWS serviços compatíveis. | 10 de novembro de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— adicione “amplify:GetDomainAssociation" “amplify:" “amplify:" “appsync:" “appsync:ListDomainAssociations" “bedrock:" “bedrock:ListTagsForResource" “bedrock:" “cloudTrail:GetSourceApiAssociation" “cloudformation:" “codeartefact:ListSourceApiAssociations" “codeartefact:" “codeartefact:GetFlow" “codepipeline:" “codepipeline:ListAgentCollaborators" “codepipeline:" “codepipeline:ListFlows" “codepipeline:" “codepipeline:ListPrompts" “codepipeline:" “codepipeline:GetResourcePolicy" “codepipeline:" “codepipeline:DescribePublisher" “codepipeline:" “codepipeline:" “codepipeline:DescribePackageGroup" “codepipeline:" “codepipeline:" “codepipeline:ListAllowedRepositoriesForGroup" “codepipeline:" “codepipeline:" “codepipeline:ListPackageGroups" “pipeline:" “connect:" “connect:ListActionTypes" “prazo final:" “ec2:" “ec2:ListTagsForResource" “ec2: ListWebhooks DescribeTrafficDistributionGroup ListTrafficDistributionGroups ListFarms GetTransitGatewayRouteTablePropagations SearchLocalGatewayRoutes SearchTransitGatewayMulticastGroups” “entityresolution:GetMatchingWorkflow” “entityresolution:” “iotsitewise:ListMatchingWorkflows” “iotsitewise:ListAssetModelCompositeModels” “iotsitewise:” “iotsitewise:ListAssetModelProperties” “ivs:” “lambda:ListAssetProperties” “lambda:” “lambda:ListAssociatedAssets" “lambda:" “pipes:ListPublicKeys” “quicksight:” “quicksight:GetProvisionedConcurrencyConfig” “redshift-server less: GetRuntimeManagementConfig ““redshift:ListFunctionEventInvokeConfigs” “rolesanywhere:ListFunctionUrlConfigs” “rolesanywhere:DescribePipe” “sagemaker:ListPipes” “sagemaker:DescribeRefreshSchedule” “sagemaker:” “sagemaker: ListRefreshSchedules ListSnapshotCopyConfigurations GetResourcePolicy GetCrl ListCrls DescribeApp DescribeUserProfile ListApps"“sagemaker:" “sagemaker:ListModelPackages" “secretsmanager:" “securitylake:" “securitylake:ListUserProfiles" “service catalog:" “servicecatalog:GetResourcePolicy" “shield:" “shield:" “ssm-incidents:" “ssm-incidents:ListSubscribers" “ssm:" “ssm:" “ssm:ListTagsForResource" “ssm:" “ssm:" “ssm:" “ssm:DescribeServiceAction" “ssm:" “ssm:" “ssm:ListApplications" “ssm:" “ssm:" “ssm:" “ssm:ListAssociatedResources" “ssm:" “ssm:ListProtectionGroups" “ssm:" “ssm:ListTagsForResource" “ssm:" “ssm:" “ssm:" “ssm:GetReplicationSet" “ssm:" “ssm:" “m:" “ssm:" “ssm:ListReplicationSets" “ssm:" “wafv2:DescribeAssociation" “bedrock-agentcore:DescribePatchBaselines" “bedrock-agentcore:" “bedrock GetDefaultPatchBaseline GetPatchBaseline GetResourcePolicies ListAssociations ListResourceDataSync ListLoggingConfigurations ListCodeInterpreters GetCodeInterpreter -agentcore: ListBrowsers "“bedrock-agentcore:” “bedrock-agentcore:GetBrowser” “bedrock-agentcore:” “bedrock-agentcore:” “bedrock-agentcore:ListAgentRuntimes” GetAgentRuntime ListAgentRuntimeEndpoints GetAgentRuntimeEndpoint | Essa política agora oferece suporte a permissões adicionais para AWS Amplify, AWS AppSync, Amazon Bedrock, AWS CloudTrail, CloudFormation, AWS CodeArtifact AWS CodePipeline, Amazon Connect, AWS Deadline Cloud, Amazon EC2, AWS Entity Resolution,, Amazon IVS AWS IoT SiteWise, Amazon, Amazon Quick AWS Lambda EventBridge, Amazon Redshift, Amazon Redshift Serverless,, Amazon,, Amazon Security AWS Identity and Access Management Roles Anywhere Lake,,, SageMaker AWS Secrets Manager Amazon EC2 Systems Manager AWS Service Catalog, AWS Shield e. AWS WAFV2 | 1.º de outubro de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— adicione “amplify:GetDomainAssociation" “amplify:" “amplify:" “appsync:" “appsync:ListDomainAssociations" “bedrock:" “bedrock:ListTagsForResource" “bedrock:" “cloudTrail:GetSourceApiAssociation" “cloudformation:" “codeartefact:ListSourceApiAssociations" “codeartefact:" “codeartefact:GetFlow" “codepipeline:" “codepipeline:ListAgentCollaborators" “codepipeline:" “codepipeline:ListFlows" “codepipeline:" “codepipeline:ListPrompts" “codepipeline:" “codepipeline:GetResourcePolicy" “codepipeline:" “codepipeline:DescribePublisher" “codepipeline:" “codepipeline:" “codepipeline:DescribePackageGroup" “codepipeline:" “codepipeline:" “codepipeline:ListAllowedRepositoriesForGroup" “codepipeline:" “codepipeline:" “codepipeline:ListPackageGroups" “pipeline:" “connect:" “connect:ListActionTypes" “prazo final:" “ec2:" “ec2:ListTagsForResource" “ec2: ListWebhooks DescribeTrafficDistributionGroup ListTrafficDistributionGroups ListFarms GetTransitGatewayRouteTablePropagations SearchLocalGatewayRoutes SearchTransitGatewayMulticastGroups” “entityresolution:GetMatchingWorkflow” “entityresolution:” “iotsitewise:ListMatchingWorkflows” “iotsitewise:ListAssetModelCompositeModels” “iotsitewise:” “iotsitewise:ListAssetModelProperties” “ivs:” “lambda:ListAssetProperties” “lambda:” “lambda:ListAssociatedAssets" “lambda:" “pipes:ListPublicKeys” “quicksight:” “quicksight:GetProvisionedConcurrencyConfig” “redshift-server less: GetRuntimeManagementConfig ““redshift:ListFunctionEventInvokeConfigs” “rolesanywhere:ListFunctionUrlConfigs” “rolesanywhere:DescribePipe” “sagemaker:ListPipes” “sagemaker:DescribeRefreshSchedule” “sagemaker:” “sagemaker: ListRefreshSchedules ListSnapshotCopyConfigurations GetResourcePolicy GetCrl ListCrls DescribeApp DescribeUserProfile ListApps"“sagemaker:" “sagemaker:ListModelPackages" “secretsmanager:" “securitylake:" “securitylake:ListUserProfiles" “service catalog:" “servicecatalog:GetResourcePolicy" “shield:" “shield:" “ssm-incidents:" “ssm-incidents:ListSubscribers" “ssm:" “ssm:" “ssm:ListTagsForResource" “ssm:" “ssm:" “ssm:" “ssm:DescribeServiceAction" “ssm:" “ssm:" “ssm:ListApplications" “ssm:" “ssm:" “ssm:" “ssm:ListAssociatedResources" “ssm:" “ssm:ListProtectionGroups" “ssm:" “ssm:ListTagsForResource" “ssm:" “ssm:" “ssm:" “ssm:GetReplicationSet" “ssm:" “ssm:" “m:" “ssm:" “ssm:ListReplicationSets" “ssm:" “wafv2:DescribeAssociation" “bedrock-agentcore:DescribePatchBaselines" “bedrock-agentcore:" “bedrock GetDefaultPatchBaseline GetPatchBaseline GetResourcePolicies ListAssociations ListResourceDataSync ListLoggingConfigurations ListCodeInterpreters GetCodeInterpreter -agentcore: ListBrowsers "“bedrock-agentcore:” “bedrock-agentcore:GetBrowser” “bedrock-agentcore:” “bedrock-agentcore:” “bedrock-agentcore:ListAgentRuntimes” GetAgentRuntime ListAgentRuntimeEndpoints GetAgentRuntimeEndpoint | Essa política agora oferece suporte a permissões adicionais para AWS Amplify, AWS AppSync, Amazon Bedrock, AWS CloudTrail, CloudFormation, AWS CodeArtifact AWS CodePipeline, Amazon Connect, AWS Deadline Cloud, Amazon EC2, AWS Entity Resolution,, Amazon IVS AWS IoT SiteWise, Amazon, Amazon Quick AWS Lambda EventBridge, Amazon Redshift, Amazon Redshift Serverless,, Amazon,, Amazon Security AWS Identity and Access Management Roles Anywhere Lake,,, SageMaker AWS Secrets Manager Amazon EC2 Systems Manager AWS Service Catalog, AWS Shield e. AWS WAFV2 | 1.º de outubro de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Adicione "arc-zonal-shift: GetAutoshiftObserverNotificationStatus “, “bedrock: “, “cloudtrail: “, “codeartefact: GetModelInvocationLoggingConfiguration “, “codeartefact: “, “deadline: GetEventConfiguration “, “deadline: “, “deadline: “, “deadline: DescribeDomain “, “kafkaconnect: “, “kafkaconnect: GetDomainPermissionsPolicy “, “kafkaconnect: “, “kafkaconnect: GetFleet “, “kafkaconnect: GetQueueFleetAssociation “, “kafkaconnect: “, “kafkaconnect: ListFleets “, “kafkaconnect: ListQueueFleetAssociations “, “kafkaconnect: “, ListTagsForResource “kafkaconnect: “, “kafkaconnect: DescribeDataMigrations “, “kafkaconnect: “, “kafkaconnect: ListMigrationProjects “, “kafkaconnect: GetDataCatalogEncryptionSettings “, “kafkaconnect: “, “kafkaconnect: DescribeCustomPlugin “, “kafkaconnect: “, afkaconnect: “, “kafkaconnect: DescribeWorkerConfiguration “, “kafkaconnect: “, “lakeformation: ListCustomPlugins “, “medialive: “, “medialive: ListTagsForResource ListWorkerConfigurations DescribeLakeFormationIdentityCenterConfiguration DescribeMultiplexProgram ListMultiplexPrograms“, “mediapackagev2: “, “mediapackagev2: GetChannelGroup “, “rds: “, “rolesanywhere: “, “rolesanywhere: “, “rolesanywhere: ListChannelGroups “, “rolesanywhere: “, “rolesanywhere: DescribeEngineDefaultParameters “, “s3: “, “s3: GetProfile “, “secretsmanager: “, “securitylake: GetTrustAnchor “, “securitylake: “, “securitylake: ListProfiles “, “securitylake: “, “securitylake: ListTagsForResource “, “securitylake: “, “securitylake: ListTrustAnchors “, “securitylake: “, “securitylake: GetAccessGrant “, “securitylake: “, “securitylake: ListAccessGrants “, “securitylake: “, “securitylake: DescribeSecret “, “securitylake: “, “securitylake: ListDataLakeExceptions “, “catálogo de serviços: “, “catálogo de serviços: “, “catálogo de serviços: ListDataLakes “, “catálogo de serviços: “, “ses: “,” ListLogSources GetAttributeGroup ListAttributeGroups ListServiceActions ListServiceActionsForProvisioningArtifact GetTrafficPolicy ListTagsForResource usa: ListTrafficPolicies “, “xray: GetGroup “, “xray: “, GetGroups “xray: “, GetSamplingRules “xray: “, “xray:ListResourcePolicies” ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para AWS ARC - Zonal Shift Amazon Bedrock,, AWS CloudTrail, AWS CodeArtifact, AWS Deadline Cloud, AWS Database Migration Service AWS Glue AWS Identity and Access Management, Amazon Managed Streaming for Apache Kafka AWS Lake Formation, Amazon AWS Elemental MediaLive Logs,,, CloudWatch Amazon AWS Elemental MediaPackage Relational Database Service, Amazon Simple Storage Service AWS Secrets Manager, Amazon Security Lake AWS Service Catalog, Amazon Simple Email Service e. AWS X-Ray | 28 de julho de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adicione “arc-zonal-shift: “, GetAutoshiftObserverNotificationStatus “bedrock: “, “cloudtrail: GetModelInvocationLoggingConfiguration “, “codeartefact: GetEventConfiguration “, “codeartefact: “, “deadline: DescribeDomain “, “deadline: “, “deadline: “, “deadline: GetDomainPermissionsPolicy “, “deadline: GetFleet “, “deadline: “, “dms: GetQueueFleetAssociation “, “dms: ListFleets “, “glue: “, “iam: ListQueueFleetAssociations “, “kafkaconnect: ListTagsForResource “, “kafkaconnect: DescribeDataMigrations “, “kafkaconnect: ListMigrationProjects “, “kafkaconnect: GetDataCatalogEncryptionSettings “, “kafkaconnect: ListPolicies “, “kafkaconnect: “, “kafkaconnect: DescribeCustomPlugin “, “kafkaconnect: DescribeWorkerConfiguration “, “kafkaconnect: “, “lakeformation: ListCustomPlugins “, “logs: “, “logs: ListTagsForResource “, “medialive: ListWorkerConfigurations DescribeLakeFormationIdentityCenterConfiguration DescribeIndexPolicies ListTagsForResource DescribeMultiplexProgram“, “medialive: ListMultiplexPrograms “, “mediapackagev2: “, “mediapackagev2: GetChannelGroup “, “rds: ListChannelGroups “, “rolesanywhere: “, “rolesanywhere: DescribeEngineDefaultParameters “, “rolesanywhere: GetProfile “, “rolesanywhere: GetTrustAnchor “, “rolesanywhere: “, “s3: ListProfiles “, “secretsmanager: ListTagsForResource “, “securitylake: “, ListTrustAnchors “securitylake: “, GetAccessGrant “securitylake: “, “catálogo de serviços: ListAccessGrants “, “catálogo de serviços: DescribeSecret “, “catálogo de serviços: “, ListDataLakeExceptions “catálogo de serviços: “, “ses: ListDataLakes ListLogSources GetAttributeGroup ListAttributeGroups ListServiceActions ListServiceActionsForProvisioningArtifact GetTrafficPolicy “, “ses: “, “ses: ListTagsForResource “, “xray: “, “xray: ListTrafficPolicies “, “xray: “, “xray: GetGroup “, “xray: “, “arn:aws:apigateway: ::/account”, GetGroups “arn:aws:apigateway: GetSamplingRules ::/usageplansListResourcePolicies”, “arn:aws:apigateway: ::/usageplan: ::/usageplan”, ListTagsForResource “arn:aws:apigateway: ::/usageplan fãs/”. | Essa política agora oferece suporte a permissões adicionais para AWS ARC - Zonal Shift Amazon Bedrock,, AWS CloudTrail, AWS CodeArtifact, AWS Deadline Cloud, AWS Database Migration Service AWS Glue AWS Identity and Access Management, Amazon Managed Streaming for Apache Kafka AWS Lake Formation, Amazon AWS Elemental MediaLive Logs,,, CloudWatch Amazon AWS Elemental MediaPackage Relational Database Service, Amazon Simple Storage Service, Amazon Security Lake AWS Secrets Manager AWS Service Catalog, Amazon Simple Email Service e Amazon API Gateway. AWS X-Ray | 28 de julho de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Adicione “backup-gateway: GetHypervisor “, “backup-gateway: ListHypervisors “,"bcm-data-exports: GetExport “,"bcm-data-exports: ListExports “,"bcm-data-exports: ListTagsForResource “, “alicerce: “, GetAgentActionGroup “alicerce: GetAgentKnowledgeBase “, “alicerce: GetDataSource “, “alicerce: GetFlowAlias “, “alicerce: “, ListAgentActionGroups “alicerce: ListAgentKnowledgeBases “, “formação na nuvem: ListDataSources “, “formação na nuvem: ListFlowAliases “, “formação na nuvem: ListFlowVersions “,” GetAgent GetFlowVersion BatchDescribeTypeConfigurations DescribeStackInstance DescribeStackSet ListStackInstances cloudformation: ListStackSets “, “cloudfront: “, “cloudfront: “, “cloudfront: GetPublicKey “, “cloudfront: “, “resolução da entidade: “, “resolução da entidade: GetRealtimeLogConfig “, “resolução da entidade: “, “resolução da entidade: ListPublicKeys “, “resolução da entidade: “, “iotdeviceadvisor: “, “lambda: ListRealtimeLogConfigs “, lambda: “, lambda: “, lambda: GetIdMappingWorkflow “, lambda: “, lambda: “, lambda: “, lambda: GetSchemaMapping “, lambda: “, lambda: “, lambda: ListIdMappingWorkflows “, lambda: “, lambda: “, lambda: ListSchemaMappings “, lambda: “, lambda: “, lambda: “, lambda: ListTagsForResource “, lambda: “, lambda: “, lambda: “, lambda: GetSuiteDefinition “, lambda da: “, “mediapackagev2: “, “mediapackagev2: ListSuiteDefinitions “, “networkmanager: “, “networkmanager: GetEventSourceMapping “,": “,” ListEventSourceMappings GetChannel ListChannels GetTransitGatewayPeering ListPeerings pca-connector-ad GetDirectoryRegistration pca-connector-ad: ListDirectoryRegistrations “,"pca-connector-ad: ListTagsForResource “, “rds:Descreva DBShard grupos”, “rds: “, DescribeIntegrations “redshift: “, “s3tables: DescribeIntegrations “, “s3tables: GetTableBucket “, “s3tables: GetTableBucketEncryption “, “s3tables: “, GetTableBucketMaintenanceConfiguration “ssm-quicksetup:” ListTableBuckets GetConfigurationManager ListConfigurationManagers | Essa política agora oferece suporte a permissões adicionais para AWS Backup gateway, Gerenciamento de Faturamento e Custos da AWS, Amazon Bedrock,, AWS CloudFormation,, CloudFront,, AWS Entity Resolution, AWS IoT Core Device Advisor AWS Lambda AWS Network Manager Autoridade de Certificação Privada da AWS, Amazon Relational Database Service, Amazon Redshift, Amazon S3 Tables,. Configuração rápida do AWS Systems Manager | 18 de junho de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Adicione “backup-gateway: GetHypervisor “, “backup-gateway: ListHypervisors “,"bcm-data-exports: GetExport “,"bcm-data-exports: ListExports “,"bcm-data-exports: ListTagsForResource “, “alicerce: “, GetAgentActionGroup “alicerce: GetAgentKnowledgeBase “, “alicerce: GetDataSource “, “alicerce: GetFlowAlias “, “alicerce: “, ListAgentActionGroups “alicerce: ListAgentKnowledgeBases “, “formação na nuvem: ListDataSources “, “formação na nuvem: ListFlowAliases “, “formação na nuvem: ListFlowVersions “,” GetAgent GetFlowVersion BatchDescribeTypeConfigurations DescribeStackInstance DescribeStackSet ListStackInstances cloudformation: ListStackSets “, “cloudfront: “, “cloudfront: “, “cloudfront: GetPublicKey “, “cloudfront: “, “resolução da entidade: “, “resolução da entidade: GetRealtimeLogConfig “, “resolução da entidade: “, “resolução da entidade: ListPublicKeys “, “resolução da entidade: “, “iotdeviceadvisor: ListRealtimeLogConfigs “, “lambda: “, lambda: “, lambda: GetIdMappingWorkflow “, lambda: “, lambda: “, lambda: “, lambda: GetSchemaMapping “, lambda: “, lambda: “, lambda: ListIdMappingWorkflows “, lambda: “, lambda: “, lambda: ListSchemaMappings “, lambda: “, lambda: “, lambda: “, lambda: ListTagsForResource “, lambda: “, lambda: “, lambda: “, lambda: GetSuiteDefinition “, lambda: “, lambda da: “, “gerenciador de rede: ListSuiteDefinitions “, “gerenciador de rede: “,": “,": GetEventSourceMapping “,": “, “rds: ListEventSourceMappings GetTransitGatewayPeering ListPeerings pca-connector-ad GetDirectoryRegistration pca-connector-ad ListDirectoryRegistrations pca-connector-ad ListTagsForResource Descreva DBShard os grupos”, “rds: DescribeIntegrations “, “redshift: “, DescribeIntegrations “s3tables: “, “s3tables: GetTableBucket “, “s3tables: “, GetTableBucketEncryption “s3tables: “, “GetTableBucketMaintenanceConfigurationssm-quicksetup: “, “ssm-quicksetup:ListTableBuckets” GetConfigurationManager ListConfigurationManagers | Essa política agora oferece suporte a permissões adicionais para AWS Backup gateway, Gerenciamento de Faturamento e Custos da AWS, Amazon Bedrock,, AWS CloudFormation,, CloudFront,, AWS Entity Resolution, AWS IoT Core Device Advisor AWS Lambda AWS Network Manager Autoridade de Certificação Privada da AWS, Amazon Relational Database Service, Amazon Redshift, Amazon S3 Tables,. Configuração rápida do AWS Systems Manager | 18 de junho de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Agora esta política oferece suporte a permissões adicionais para o Amazon Bedrock. | 27 de maio de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Agora esta política oferece suporte a permissões adicionais para o Amazon Bedrock. | 27 de maio de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Essa política agora oferece suporte a permissões adicionais para AWS B2B Data Interchange Amazon Bedrock,, AWS Clean Rooms, Conexões de código da AWS, AWS Database Migration Service (AWS DMS) AWS Direct Connect, Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3) SageMaker , AWS Security Hub CSPM Amazon AI, e, Contacts AWS Systems Manager Incident Manager, AWS Systems Manager Incident Manager e. AWS Systems Manager | 08 de abril de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Essa política agora oferece suporte a permissões adicionais para AWS B2B Data Interchange Amazon Bedrock,, AWS Clean Rooms, Conexões de código da AWS, AWS Database Migration Service (AWS DMS) AWS Direct Connect, Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3) SageMaker , AWS Security Hub CSPM Amazon AI, e, Contacts AWS Systems Manager Incident Manager, AWS Systems Manager Incident Manager e. AWS Systems Manager Agora esta política também oferece permissão para acessar todos os nomes de domínio do Amazon API Gateway ao incluir o padrão de recurso “`arn:aws:apigateway:::/domainnames/`”. | 08 de abril de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "ec2:GetAllowedImagesSettings" | Agora esta política oferece suporte a permissões adicionais para o Amazon Elastic Compute Cloud (Amazon EC2). | 4 de março de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "ec2:GetAllowedImagesSettings" | Agora esta política oferece suporte a permissões adicionais para o Amazon Elastic Compute Cloud (Amazon EC2). | 4 de março de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Essa política agora oferece suporte a permissões adicionais para AWS Clean Rooms Amazon Comprehend, Amazon Elastic Compute Cloud (Amazon AWS HealthOmics EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Simple Email Service (Amazon SES). | 16 de janeiro de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Essa política agora oferece suporte a permissões adicionais para AWS Clean Rooms Amazon Comprehend, Amazon Elastic Compute Cloud (Amazon AWS HealthOmics EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Simple Email Service (Amazon SES). | 16 de janeiro de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "organizations:ListAWSServiceAccessForOrganization" | Agora esta política oferece suporte a permissões adicionais para o AWS Organizations. | 18 de dezembro de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Essa política agora oferece suporte a permissões adicionais para AWS AppConfig AWS CloudTrail, Amazon Connect, Amazon DataZone, Amazon DevOps Guru, Identity Store AWS Glue,,, AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Interactive Video Service (Amazon IVS), Amazon CloudWatch Logs, Amazon Observability Access Manager, Amazon AWS Payment Cryptography Relational Database Service ( CloudWatch Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3), Amazon Scheduler e Amazon VPC Lattice. EventBridge AWS Systems Manager | 7 de novembro de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Essa política agora oferece suporte a permissões adicionais para AWS AppConfig AWS CloudTrail, Amazon Connect, Amazon DataZone, Amazon DevOps Guru, Identity Store AWS Glue,,, AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Interactive Video Service (Amazon IVS), Amazon CloudWatch Logs, Amazon Observability Access Manager, Amazon AWS Payment Cryptography Relational Database Service ( CloudWatch Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3), Amazon Scheduler e Amazon VPC Lattice. EventBridge AWS Systems Manager | 7 de novembro de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Essa política agora oferece suporte a permissões adicionais para Amazon OpenSearch Service Severless, Amazon AppStream,, AWS Backup, AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon AWS Elemental MediaConnect IVS),,, AWS Elemental MediaTailor, AWS HealthOmics e Amazon Scheduler. EventBridge | 16 de setembro de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Essa política agora oferece suporte a permissões adicionais para Amazon OpenSearch Service Severless, Amazon AppStream,, AWS Backup, AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon AWS Elemental MediaConnect IVS),,, AWS Elemental MediaTailor, AWS HealthOmics e Amazon Scheduler. EventBridge | 16 de setembro de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Essa política agora oferece suporte a permissões adicionais para Amazon Elastic File System (Amazon EFS), Amazon Redshift e. AWS Systems Manager para SAP | 17 de junho de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Essa política agora oferece suporte a permissões adicionais para Amazon Elastic File System (Amazon EFS), Amazon Redshift e. AWS Systems Manager para SAP | 17 de junho de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Essa política agora suporta permissões adicionais para o Amazon Managed Service para Prometheus, CloudWatch Amazon, Amazon Cognito, Amazon, ElastiCache Amazon, (IAM) AWS Identity and Access Management ,,, FSx AWS Glue Amazon Redshift Serverless AWS Lambda AWS RAM SageMaker , Amazon AI e Amazon Simple Notification Service (Amazon SNS). | 22 de fevereiro de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Essa política agora suporta permissões adicionais para o Amazon Managed Service para Prometheus, CloudWatch Amazon, Amazon Cognito, Amazon, ElastiCache Amazon, (IAM) AWS Identity and Access Management ,,, FSx AWS Glue Amazon Redshift Serverless AWS Lambda AWS RAM SageMaker , Amazon AI e Amazon Simple Notification Service (Amazon SNS). | 22 de fevereiro de 2024 |
| [AWSConfigUserAccess](#security-iam-awsmanpol-AWSConfigUserAccess)— AWS Config começa a rastrear as alterações dessa política AWS gerenciada | Essa política fornece acesso ao uso AWS Config, incluindo a pesquisa por tags nos recursos e a leitura de todas as tags. Isso não fornece permissão para configuração AWS Config, o que requer privilégios administrativos. | 22 de fevereiro de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Essa política agora oferece suporte a permissões adicionais para AWS AppConfig Amazon Managed Service for Prometheus AWS Database Migration Service ,AWS DMS(), () IAM,AWS Identity and Access Management Amazon Managed Streaming for Apache Kafka (Amazon MSK CloudWatch ), Amazon Logs e Amazon Simple Storage Service ( AWS Organizations Amazon S3). | 5 de dezembro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Essa política agora oferece suporte a permissões adicionais para AWS AppConfig Amazon Managed Service for Prometheus AWS Database Migration Service ,AWS DMS(), () IAM,AWS Identity and Access Management Amazon Managed Streaming for Apache Kafka (Amazon MSK CloudWatch ), Amazon Logs e Amazon Simple Storage Service ( AWS Organizations Amazon S3). | 5 de dezembro de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Essa política agora oferece suporte a permissões adicionais para Amazon Cognito, Amazon Connect, Amazon EMR,, AWS Ground Station, AWS Mainframe Modernization Amazon MemoryDB, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 e. AWS Service Catalog AWS Transfer Family | 17 de novembro de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Essa política agora adiciona identificadores de segurança (SID) para `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` e `AWSConfigSLRApiGatewayStatementID`. | 17 de novembro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Essa política agora oferece suporte a permissões adicionais para Amazon Cognito, Amazon Connect, Amazon EMR,, AWS Ground Station, AWS Mainframe Modernization Amazon MemoryDB, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 e. AWS Service Catalog AWS Transfer Family | 17 de novembro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Essa política agora adiciona identificadores de segurança (SID) para `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` e `AWSConfigSLRApiGatewayStatementID`. | 17 de novembro de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Essa política agora oferece suporte a permissões adicionais para CA Privada da AWS, AWS App Mesh, Amazon Connect, Amazon Elastic Container Service (Amazon ECS), Amazon Evidently, CloudWatch Amazon Managed Grafana, Amazon GuardDuty, Amazon AWS IoT Inspector,,, Amazon Managed Streaming for Apache Kafka (Amazon MSK) AWS IoT TwinMaker,,,, e Amazon AI. AWS Lambda AWS Network Manager AWS Organizations SageMaker | 4 de outubro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Essa política agora oferece suporte a permissões adicionais para CA Privada da AWS, AWS App Mesh, Amazon Connect, Amazon Elastic Container Service (Amazon ECS), Amazon Evidently, CloudWatch Amazon Managed Grafana, Amazon GuardDuty, Amazon AWS IoT Inspector,,, Amazon Managed Streaming for Apache Kafka (Amazon MSK) AWS IoT TwinMaker,,,, e Amazon AI. AWS Lambda AWS Network Manager AWS Organizations SageMaker | 4 de outubro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): remoção de "ssm:GetParameter" | Essa política agora remove as permissões para AWS Systems Manager (Systems Manager). | 6 de setembro de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "appmesh:DescribeGatewayRoute","appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", and "sns:GetDataProtectionPolicy" | Essa política agora suporta permissões adicionais para AWS App Mesh,, Amazon AWS CloudFormation, Amazon Connect CloudFront AWS CodeArtifact AWS CodeBuild, Amazon, AWS Identity and Access Management (IAM) AWS Glue GuardDuty, Amazon Inspector,,,,, Amazon Managed Streaming for Apache Kafka AWS IoT TwinMaker, AWS IoT Wireless Amazon AWS Elemental MediaConnect AWS Network Manager Macie,,,,,,, Amazon Route 53 AWS Organizations Explorador de recursos da AWS, Amazon Simple Storage Service (Amazon S3) e Amazon Simple Notification Serviço (Amazon SNS). AWS IoT | 28 de julho de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "appmesh:DescribeGatewayRoute", "appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "sns:GetDataProtectionPolicy", "ssm:DescribeParameters", "ssm:GetParameter", and "ssm:ListTagsForResource" | Esta política agora oferece suporte a permissões adicionais para AWS App Mesh Amazon WorkSpaces Applications, AWS CloudFormation, Amazon, CloudFront, AWS CodeArtifact AWS CodeBuild, Amazon Connect, Amazon AWS Glue, AWS Identity and Access Management (IAM) GuardDuty, Amazon Inspector,,,, Amazon Managed Streaming for Apache Kafka AWS IoT TwinMaker, AWS IoT Wireless Amazon AWS Elemental MediaConnect AWS Network Manager Macie,,,,,,, Amazon Route 53 AWS Organizations Explorador de recursos da AWS, Amazon Simple Storage Service (Amazon S3), Amazon Simple Notification Service (Amazon SNS) e Amazon EC2 Systems Manager (SSM). AWS IoT | 28 de julho de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", “dynamodb:DescribeTableReplicaAutoScaling" "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases" "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Essa política agora oferece suporte a permissões adicionais para Amazon Connect AWS Amplify AWS App Mesh, Amazon Managed Service for Prometheus, Amazon Athena,,,,, Amazon, Amazon AWS Directory Service DynamoDB AWS Batch AWS CloudFormation AWS CloudTrail AWS CodeArtifact, Amazon Elastic Compute Cloud (Amazon EC2) CodeGuru, Amazon CloudWatch Evidently, Amazon Forecast,,, (IAM), Amazon Managed Streaming for Apache Kafka Streaming for Apache Kafka (Amazon MSK AWS IoT Greengrass) AWS Ground Station, AWS Identity and Access Management Amazon Lightsail, Amazon Logs,, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) AWS Organizations CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor), Amazon Personalize, Amazon Quick, AWS Migration Hub Refactor Spaces Amazon Simple Storage Service (Amazon S3), Amazon AI,. SageMaker AWS Transfer Family | 13 de junho de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases", "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Essa política agora oferece suporte a permissões adicionais para Amazon Connect AWS Amplify AWS App Mesh, Amazon Managed Service for Prometheus, Amazon Athena,,,,, Amazon, Amazon AWS Directory Service DynamoDB AWS Batch AWS CloudFormation AWS CloudTrail AWS CodeArtifact CodeGuru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon CloudWatch Evidently, Amazon Forecast,,, (IAM), Amazon Managed Streaming for Apache Kafka Streaming for Apache Kafka (Amazon MSK AWS IoT Greengrass) AWS Ground Station, AWS Identity and Access Management Amazon Lightsail, Amazon Logs,, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) AWS Organizations CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor, Amazon Personalize, Amazon Quick, AWS Migration Hub Refactor Spaces Amazon Simple Storage Service (Amazon S3), Amazon AI,. SageMaker AWS Transfer Family | 13 de junho de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, GetInstanceTypesFromInstanceRequirement ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Agora, essa política oferece suporte a permissões adicionais para Amazon Managed Workflows para AWS Amplify AWS App Mesh, AWS App Runner, Amazon CloudFront AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon AI, SageMaker Amazon AWS Migration Hub Pinpoint AWS Transfer Family, AWS Resilience Hub, Amazon, Directory Service e. CloudWatch AWS AWS WAF | 13 de abril de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, ec2:GetInstanceTypesFromInstanceRequirement, ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Agora, essa política oferece suporte a permissões adicionais para Amazon Managed Workflows para AWS Amplify AWS App Mesh, AWS App Runner, Amazon CloudFront AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon AI, SageMaker Amazon AWS Migration Hub Pinpoint AWS Transfer Family, AWS Resilience Hub, Amazon, Directory Service e. CloudWatch AWS AWS WAF | 13 de abril de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudfront:GetResponseHeadersPolicy, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows for Amazon AppFlow AWS App Runner, Amazon WorkSpaces Applications, Amazon CloudFront,, CloudWatch, AWS CodeArtifact, Amazon CloudWatch Evidently AWS CodeCommit AWS Device Farm, Amazon Forecast,, AWS Identity and Access Management (IAM) AWS Ground Station, Amazon MemoryDB, AWS IoT Amazon Pinpoint,,, Amazon AWS Network Manager Relational AWS Panorama Database Service (Amazon RDS), Amazon Redshift e Amazon AI. SageMaker | 30 de março de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudformation:ListTypes, cloudfront:GetResponseHeadersPolicy, cloudfront:ListDistributions, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, ec2:DescribeTrafficMirrorFilters, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Essa política agora suporta permissões adicionais para Amazon Managed Workflows for Amazon, Amazon WorkSpaces Applications AppFlow, Amazon AWS App Runner, Amazon,,, AWS CloudFormation CloudFront, Amazon Elastic Compute Cloud (Amazon EC2) CloudWatch AWS CodeArtifact AWS CodeCommit AWS Device Farm, Amazon Evidently, Amazon Forecast,, (IAM),, CloudWatch Amazon MemoryDB, Amazon Pinpoint,,, AWS Ground Station Amazon AWS Identity and Access Management Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service AWS IoT) Amazon RDS) AWS Network Manager AWS Panorama, Amazon Redshift e Amazon AI. SageMaker | 30 de março de 2023 |
| [AWSConfigRulesExecutionRole](#security-iam-awsmanpol-AWSConfigRulesExecutionRole)— AWS Config começa a rastrear as alterações dessa política AWS gerenciada | Essa política permite que AWS Lambda as funções acessem a AWS Config API e os snapshots de configuração que são AWS Config entregues periodicamente ao Amazon S3. Esse acesso é exigido por funções que avaliam as alterações de configuração das regras AWS personalizadas do Lambda. | 7 de março de 2023 |
| [AWSConfigRoleForOrganizations](#security-iam-awsmanpol-AWSConfigRoleForOrganizations)— AWS Config começa a rastrear as alterações dessa política AWS gerenciada | Essa política permite AWS Config fazer chamadas somente para leitura AWS Organizations APIs. | 7 de março de 2023 |
| [AWSConfigRemediationServiceRolePolicy](#security-iam-awsmanpol-AWSConfigRemediationServiceRolePolicy)— AWS Config começa a rastrear as alterações dessa política AWS gerenciada | Essa política permite AWS Config remediar `NON_COMPLIANT` recursos em seu nome. | 7 de março de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de auditmanager:GetAccountStatus | Esta política agora concede permissão para retornar o status de registro de uma conta no AWS Audit Manager. | 3 de março de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de auditmanager:GetAccountStatus | Esta política agora concede permissão para retornar o status de registro de uma conta no AWS Audit Manager. | 3 de março de 2023 |
| [AWSConfigMultiAccountSetupPolicy](#security-iam-awsmanpol-AWSConfigMultiAccountSetupPolicy)— AWS Config começa a rastrear as alterações dessa política AWS gerenciada | Essa política permite AWS Config chamar AWS serviços e implantar AWS Config recursos em uma organização com AWS Organizations. | 27 de fevereiro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows para Apache Airflow, Amazon Applications AWS IoT, WorkSpaces Amazon AWS HealthLake Reviewer, CodeGuru Amazon Kinesis Video Streams, Amazon Application Recovery Controller ( AWS Device Farm ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e AWS Identity and Access Management Amazon Logs. GuardDuty CloudWatch | 1° de fevereiro de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows para Apache Airflow, Amazon Applications AWS IoT, WorkSpaces Amazon AWS HealthLake Reviewer, CodeGuru Amazon Kinesis Video Streams, Amazon Application Recovery Controller ( AWS Device Farm ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e AWS Identity and Access Management Amazon Logs. GuardDuty CloudWatch | 1° de fevereiro de 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): atualização de config:DescribeConfigRules | Como uma prática recomendada de segurança, essa política agora remove uma ampla permissão em nível de recurso para `config:DescribeConfigRules`. | 12 de janeiro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para o Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2) AWS Directory Service,,, Amazon Lightsail,,, Amazon Quick AWS Glue AWS IoT AWS Resource Access Manager, Amazon Application Recovery Controller (ARC) AWS Elemental MediaPackage AWS Network Manager, Amazon Simple Storage Service (Amazon S3) e Amazon Timen Amazon Timestream. | 15 de dezembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para o Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2) AWS Directory Service,,, Amazon Lightsail,,, Amazon Quick AWS Glue AWS IoT AWS Resource Access Manager, Amazon Application Recovery Controller (ARC) AWS Elemental MediaPackage AWS Network Manager, Amazon Simple Storage Service (Amazon S3) e Amazon Timen Amazon Timestream. | 15 de dezembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de cloudformation:ListStackResources and cloudformation:ListStacks | Essa política agora concede permissão para retornar descrições de todos os recursos de uma AWS CloudFormation pilha especificada e retornar as informações resumidas das pilhas cujo status corresponda ao especificado. StackStatusFilter | 7 de novembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de cloudformation:ListStackResources and cloudformation:ListStacks | Essa política agora concede permissão para retornar descrições de todos os recursos de uma AWS CloudFormation pilha especificada e retornar as informações resumidas das pilhas cujo status corresponda ao especificado. StackStatusFilter | 7 de novembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows for Apache Airflow AWS Certificate Manager,,, AWS AppConfig Amazon Keyspaces, Amazon AWS Amplify, Amazon CloudWatch Connect, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Detector Fraud, Amazon, Amazon Servers EventBridge, AWS Fault Injection Service Amazon Location Service, Amazon Lex GameLift , FSx Amazon Lightsail, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database AWS IoT Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 de outubro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows for Apache Airflow AWS Certificate Manager,,, AWS AppConfig Amazon Keyspaces, Amazon AWS Amplify, Amazon CloudWatch Connect, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Detector Fraud, Amazon, Amazon Servers EventBridge, AWS Fault Injection Service Amazon Location Service, Amazon Lex GameLift , FSx Amazon Lightsail, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database AWS IoT Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 de outubro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de Glue::GetTable | Essa política agora concede permissão para recuperar a definição de AWS Glue tabela em um catálogo de dados para uma tabela especificada. | 14 de setembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de Glue::GetTable | Essa política agora concede permissão para recuperar a definição de AWS Glue tabela em um catálogo de dados para uma tabela especificada. | 14 de setembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas, Amazon Fraud Detector, Amazon Servers EventBridge, EventBridge Amazon Interactive Video Service (Amazon IVS) Amazon FinSpace, Amazon Managed Service para Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation AWS License Manager, AWS Resilience Hub, AWS Signer, AWS Transfer Family e. | 7 de setembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas, Amazon Fraud Detector, Amazon Servers EventBridge, EventBridge Amazon Interactive Video Service (Amazon IVS) Amazon FinSpace, Amazon Managed Service para Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager, AWS Resilience Hub, AWS Signer, e AWS Transfer Family | 7 de setembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows para Apache Airflow, Amazon Applications AWS IoT, WorkSpaces Amazon AWS HealthLake Reviewer, CodeGuru Amazon Kinesis Video Streams, Amazon Application Recovery Controller ( AWS Device Farm ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e AWS Identity and Access Management Amazon Logs. GuardDuty CloudWatch | 1° de fevereiro de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows para Apache Airflow, Amazon Applications AWS IoT, WorkSpaces Amazon AWS HealthLake Reviewer, CodeGuru Amazon Kinesis Video Streams, Amazon Application Recovery Controller ( AWS Device Farm ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e AWS Identity and Access Management Amazon Logs. GuardDuty CloudWatch | 1° de fevereiro de 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): atualização de config:DescribeConfigRules | Como uma prática recomendada de segurança, essa política agora remove uma ampla permissão em nível de recurso para `config:DescribeConfigRules`. | 12 de janeiro de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para o Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2) AWS Directory Service,,, Amazon Lightsail,,, Amazon Quick AWS Glue AWS IoT AWS Resource Access Manager, Amazon Application Recovery Controller (ARC) AWS Elemental MediaPackage AWS Network Manager, Amazon Simple Storage Service (Amazon S3) e Amazon Timen Amazon Timestream. | 15 de dezembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para o Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2) AWS Directory Service,,, Amazon Lightsail,,, Amazon Quick AWS Glue AWS IoT AWS Resource Access Manager, Amazon Application Recovery Controller (ARC) AWS Elemental MediaPackage AWS Network Manager, Amazon Simple Storage Service (Amazon S3) e Amazon Timen Amazon Timestream. | 15 de dezembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de cloudformation:ListStackResources and cloudformation:ListStacks | Essa política agora concede permissão para retornar descrições de todos os recursos de uma AWS CloudFormation pilha especificada e retornar as informações resumidas das pilhas cujo status corresponda ao especificado. StackStatusFilter | 7 de novembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de cloudformation:ListStackResources and cloudformation:ListStacks | Essa política agora concede permissão para retornar descrições de todos os recursos de uma AWS CloudFormation pilha especificada e retornar as informações resumidas das pilhas cujo status corresponda ao especificado. StackStatusFilter | 7 de novembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows for Apache Airflow AWS Certificate Manager,,, AWS AppConfig Amazon Keyspaces, Amazon AWS Amplify, Amazon CloudWatch Connect, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Detector Fraud, Amazon, Amazon Servers EventBridge, AWS Fault Injection Service Amazon Location Service, Amazon Lex GameLift , FSx Amazon Lightsail, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database AWS IoT Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 de outubro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Essa política agora oferece suporte a permissões adicionais para Amazon Managed Workflows for Apache Airflow AWS Certificate Manager,,, AWS AppConfig Amazon Keyspaces, Amazon AWS Amplify, Amazon CloudWatch Connect, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Detector Fraud, Amazon, Amazon Servers EventBridge, AWS Fault Injection Service Amazon Location Service, Amazon Lex GameLift , FSx Amazon Lightsail, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database AWS IoT Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition AWS Resource Groups, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 de outubro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de Glue::GetTable | Essa política agora concede permissão para recuperar a definição de AWS Glue tabela em um catálogo de dados para uma tabela especificada. | 14 de setembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de Glue::GetTable | Essa política agora concede permissão para recuperar a definição de AWS Glue tabela em um catálogo de dados para uma tabela especificada. | 14 de setembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas, Amazon Fraud Detector, Amazon Servers EventBridge, EventBridge Amazon Interactive Video Service (Amazon IVS) Amazon FinSpace, Amazon Managed Service para Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation AWS License Manager, AWS Resilience Hub, AWS Signer, AWS Transfer Family e. | 7 de setembro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Essa política agora oferece suporte a permissões adicionais para Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas, Amazon Fraud Detector, Amazon Servers EventBridge, EventBridge Amazon Interactive Video Service (Amazon IVS) Amazon FinSpace, Amazon Managed Service para Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager, AWS Resilience Hub, AWS Signer, e AWS Transfer Family | 7 de setembro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Essa política agora concede permissão para retornar uma lista de AWS DataSync agentes, locais de DataSync origem e destino e DataSync tarefas em um Conta da AWS; listar informações resumidas sobre os AWS Cloud Map namespaces e serviços associados a um ou mais namespaces especificados em um Conta da AWS; e listar todas as listas de contatos do Amazon Simple Email Service (Amazon SES) disponíveis em. Conta da AWS | 22 de agosto de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Essa política agora concede permissão para retornar uma lista de AWS DataSync agentes, locais de DataSync origem e destino e DataSync tarefas em um Conta da AWS; listar informações resumidas sobre os AWS Cloud Map namespaces e serviços associados a um ou mais namespaces especificados em um Conta da AWS; e listar todas as listas de contatos do Amazon Simple Email Service (Amazon SES) disponíveis em. Conta da AWS | 22 de agosto de 2022 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): adição de cloudwatch:PutMetricData | Essa política agora concede permissão para publicar pontos de dados métricos na Amazon CloudWatch. | 25 de julho de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Essa política agora oferece suporte a permissões adicionais para Amazon Elastic Container Service (Amazon ECS), Amazon, ElastiCache Amazon, EventBridge FSx Amazon Managed Service para Apache Flink, Amazon Location Service, Amazon Managed Streaming para Apache Kafka, Amazon Quick, Amazon Rekognition, Amazon Simple Storage Service ( AWS RoboMaker Amazon S3), Amazon Simple Email AWS Amplify Service AWS AppConfig( AWS AppSync Amazon AWS Glue SES Centro de Identidade do AWS IAM ),,,,,,,, (IAM Identity Center), EC2 Image Builder e AWS Billing Conductor AWS DataSync Elastic Load Balancing. AWS Firewall Manager | 15 de julho de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Essa política agora oferece suporte a permissões adicionais para Amazon Elastic Container Service (Amazon ECS), Amazon, ElastiCache Amazon, EventBridge FSx Amazon Managed Service para Apache Flink, Amazon Location Service, Amazon Managed Streaming para Apache Kafka, Amazon Quick, Amazon Rekognition, Amazon Simple Storage Service ( AWS RoboMaker Amazon S3), Amazon Simple Email AWS Amplify Service AWS AppConfig( AWS AppSync Amazon AWS Glue SES Centro de Identidade do AWS IAM ),,,,,,,, (IAM Identity Center), EC2 Image Builder e AWS Billing Conductor AWS DataSync Elastic Load Balancing. AWS Firewall Manager | 15 de julho de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Essa política agora concede permissão para obter um catálogo de dados específico do Amazon Athena, listar os catálogos de dados do Athena em um e listar as tags associadas a um Conta da AWS grupo de trabalho ou recurso do catálogo de dados do Athena; para obter uma lista dos gráficos de comportamento do Amazon Detective e as tags de um gráfico de comportamento do Detective; obter uma lista de metadados de recursos para uma determinada lista de nomes de endpoints de desenvolvimento, obter informações sobre um determinado endpoint AWS Glue de desenvolvimento, obtenha todos os endpoints de desenvolvimento em um, recupere uma segurança AWS Glue especificada AWS Glue Conta da AWS AWS Glue configuração, obtenha todas as configurações de AWS Glue segurança, obtenha uma lista de tags associadas a um AWS Glue recurso, obtenha informações sobre um AWS Glue grupo de trabalho com o nome especificado, recupere os nomes de todos os recursos do AWS Glue rastreador em uma AWS conta, obtenha os nomes de todos os recursos em uma, liste os nomes de todos os AWS Glue `DevEndpoint` recursos de AWS Glue trabalho em uma Conta da AWS, obtenha detalhes sobre contas de AWS Glue membros Conta da AWS, liste nomes de AWS Glue fluxos de trabalho criados em uma conta e liste grupos de trabalho disponíveis para uma conta; AWS Glue para recuperar detalhes sobre um GuardDuty filtro da Amazon, recuperar um GuardDuty IPSet, recuperar contas de GuardDuty membros GuardDutyThreatIntelSet, obter uma lista de GuardDuty filtros, obter o do GuardDuty serviço, recuperar as tags IPSets do Serviço e obter o do GuardDuty serviço; para obter o status atual e as definições ThreatIntelSets de configuração de uma conta do Amazon Macie; para recuperar o recurso e as associações principais para AWS Resource Access Manager ()AWS RAM compartilhamentos de recursos e recuperar detalhes sobre recursos GuardDuty AWS RAM compartilhamentos; para obter informações sobre um conjunto de configurações existente do Amazon Simple Email Service (Amazon SES), obter uma lista de destinos de eventos associados a um conjunto de configurações do Amazon SES e listar todos os conjuntos de configurações associados a uma conta do Amazon SES; e para obter uma lista dos atributos do diretório do Identity Center, obtenha os detalhes de Centro de Identidade do AWS IAM um conjunto de permissões, obtenha a política gerenciada do IAM que está anexada a uma permissão específica do IAM Identity Center defina, obtenha as permissões definidas para uma instância do IAM Identity Center e obtenha tags para o IAM Identity Recursos do centro. | 31 de maio de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Essa política agora concede permissão para obter um catálogo de dados específico do Amazon Athena, listar os catálogos de dados do Athena em um e listar as tags associadas a um Conta da AWS grupo de trabalho ou recurso do catálogo de dados do Athena; para obter uma lista dos gráficos de comportamento do Amazon Detective e as tags de um gráfico de comportamento do Detective; obter uma lista de metadados de recursos para uma determinada lista de nomes de endpoints de desenvolvimento, obter informações sobre um determinado endpoint AWS Glue de desenvolvimento, obtenha todos os endpoints de desenvolvimento em um, recupere uma segurança AWS Glue especificada AWS Glue Conta da AWS AWS Glue configuração, obtenha todas as configurações de AWS Glue segurança, obtenha uma lista de tags associadas a um AWS Glue recurso, obtenha informações sobre um AWS Glue grupo de trabalho com o nome especificado, recupere os nomes de todos os recursos do AWS Glue rastreador em uma AWS conta, obtenha os nomes de todos os recursos em uma, liste os nomes de todos os AWS Glue `DevEndpoint` recursos de AWS Glue trabalho em uma Conta da AWS, obtenha detalhes sobre contas de AWS Glue membros Conta da AWS, liste nomes de AWS Glue fluxos de trabalho criados em uma conta e liste grupos de trabalho disponíveis para uma conta; AWS Glue para recuperar detalhes sobre um GuardDuty filtro da Amazon, recuperar um GuardDuty IPSet, recuperar contas de GuardDuty membros GuardDutyThreatIntelSet, obter uma lista de GuardDuty filtros, obter o do GuardDuty serviço, recuperar as tags IPSets do Serviço e obter o do GuardDuty serviço; para obter o status atual e as definições ThreatIntelSets de configuração de uma conta do Amazon Macie; para recuperar o recurso e as associações principais para AWS Resource Access Manager ()AWS RAM compartilhamentos de recursos e recuperar detalhes sobre recursos GuardDuty AWS RAM compartilhamentos; para obter informações sobre um conjunto de configurações existente do Amazon Simple Email Service (Amazon SES), obter uma lista de destinos de eventos associados a um conjunto de configurações do Amazon SES e listar todos os conjuntos de configurações associados a uma conta do Amazon SES; e para obter uma lista dos atributos do diretório do Identity Center, obtenha os detalhes de Centro de Identidade do AWS IAM um conjunto de permissões, obtenha a política gerenciada do IAM que está anexada a uma permissão específica do IAM Identity Center defina, obtenha as permissões definidas para uma instância do IAM Identity Center e obtenha tags para o IAM Identity Recursos do centro. | 31 de maio de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Essa política agora concede permissão para obter informações sobre todo ou um armazenamento de dados de AWS CloudTrail eventos (EDS) específico, obter informações sobre todo ou um AWS CloudFormation recurso específico, obter uma lista de um grupo de parâmetros ou grupo de sub-rede do DynamoDB Accelerator (DAX), obter informações AWS Database Migration Service sobre AWS DMS() tarefas de replicação para sua conta na região atual que está sendo acessada e obter uma lista de todas as políticas de um tipo específico. AWS Organizations | 7 de abril de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Essa política agora concede permissão para obter informações sobre todo ou um armazenamento de dados de AWS CloudTrail eventos (EDS) específico, obter informações sobre todo ou um AWS CloudFormation recurso específico, obter uma lista de um grupo de parâmetros ou grupo de sub-rede do DynamoDB Accelerator (DAX), obter informações AWS Database Migration Service sobre AWS DMS() tarefas de replicação para sua conta na região atual que está sendo acessada e obter uma lista de todas as políticas de um tipo específico. AWS Organizations | 7 de abril de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Essa política agora oferece suporte a permissões adicionais para AWS Backup, AWS Batch, DynamoDB Accelerator, Amazon DynamoDB, AWS Database Migration Service Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon,,,, Amazon Relational Database Service, V2 e Amazon. FSx GuardDuty AWS Key Management Service AWS OpsWorks AWS WAF WorkSpaces | 14 de março de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Essa política agora oferece suporte a permissões adicionais para AWS Backup, AWS Batch, DynamoDB Accelerator, Amazon DynamoDB, AWS Database Migration Service Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon,,,, Amazon Relational Database Service, V2 e Amazon. FSx GuardDuty AWS Key Management Service AWS OpsWorks AWS WAF WorkSpaces | 14 de março de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Essa política agora concede permissão para obter detalhes sobre os ambientes do Elastic Beanstalk e uma descrição das configurações do conjunto de configurações especificado do Elastic Beanstalk, obter um mapa das versões do Elasticsearch, descrever os grupos de opções disponíveis OpenSearch do Amazon RDS para um banco de dados e obter informações sobre uma configuração de implantação. CodeDeploy Agora, essa política também concede permissão para recuperar o contato alternativo especificado anexado a uma Conta da AWS, recuperar informações sobre uma AWS Organizations política, recuperar uma política de repositório do Amazon ECR, recuperar informações sobre uma regra arquivada AWS Config , recuperar uma lista de famílias de definição de tarefas do Amazon ECS, listar as unidades organizacionais raiz ou principal (OUs) da OU ou conta secundária especificada e listar as políticas anexadas à raiz, unidade organizacional ou conta de destino especificada. | 10 de fevereiro de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Essa política agora concede permissão para obter detalhes sobre os ambientes do Elastic Beanstalk e uma descrição das configurações do conjunto de configurações especificado do Elastic Beanstalk, obter um mapa das versões do Elasticsearch, descrever os grupos de opções disponíveis OpenSearch do Amazon RDS para um banco de dados e obter informações sobre uma configuração de implantação. CodeDeploy Agora, essa política também concede permissão para recuperar o contato alternativo especificado anexado a uma Conta da AWS, recuperar informações sobre uma AWS Organizations política, recuperar uma política de repositório do Amazon ECR, recuperar informações sobre uma regra arquivada AWS Config , recuperar uma lista de famílias de definição de tarefas do Amazon ECS, listar as unidades organizacionais raiz ou principal (OUs) da OU ou conta secundária especificada e listar as políticas anexadas à raiz, unidade organizacional ou conta de destino especificada. | 10 de fevereiro de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Essa política agora concede permissão para criar grupos e fluxos de CloudWatch log da Amazon e para gravar registros em fluxos de log criados. | 15 de dezembro de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Essa política agora concede permissão para criar grupos e fluxos de CloudWatch log da Amazon e para gravar registros em fluxos de log criados. | 15 de dezembro de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): adição de es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Essa política agora concede permissão para obter detalhes sobre um Amazon OpenSearch Service (OpenSearch Service) domain/domains e obter uma lista detalhada de parâmetros para um determinado grupo de parâmetros de banco de dados Amazon Relational Database Service (Amazon RDS). Essa política também concede permissão para obter detalhes sobre os ElastiCache snapshots da Amazon. | 8 de setembro de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): adição de es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Essa política agora concede permissão para obter detalhes sobre um Amazon OpenSearch Service (OpenSearch Service) domain/domains e obter uma lista detalhada de parâmetros para um determinado grupo de parâmetros de banco de dados Amazon Relational Database Service (Amazon RDS). Essa política também concede permissão para obter detalhes sobre os ElastiCache snapshots da Amazon. | 8 de setembro de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Adicionar logs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine e permissões adicionais para tipos AWS de recursos | Esta política agora concede permissão para listar as tags de um grupo de logs, listar as tags de uma máquina de estado e listar todas as máquinas de estado. Essa política agora concede permissão para obter detalhes sobre uma máquina de estado. Agora, essa política também oferece suporte a permissões adicionais para Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon FSx, Amazon Data Firehose, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon AI, Amazon Simple Notification Serviço,, e. SageMaker AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28 de julho de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Adicione l ogs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine e permissões adicionais para tipos AWS de recursos | Esta política agora concede permissão para listar as tags de um grupo de logs, listar as tags de uma máquina de estado e listar todas as máquinas de estado. Essa política agora concede permissão para obter detalhes sobre uma máquina de estado. Agora, essa política também oferece suporte a permissões adicionais para Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon FSx, Amazon Data Firehose, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon AI, Amazon Simple Notification Serviço,, e. SageMaker AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28 de julho de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Adicionar ssm:DescribeDocumentPermission e adicionar permissões adicionais para tipos de AWS recursos | Esta política agora concede permissão para visualizar as permissões de documentos e informações do AWS Systems Manager sobre o IAM Access Analyzer. Essa política agora oferece suporte a tipos de AWS recursos adicionais para Amazon Kinesis, Amazon, ElastiCache Amazon EMR, Amazon Route 53 e AWS Network Firewall Amazon Relational Database Service (Amazon RDS). Essas alterações de permissão permitem AWS Config invocar o recurso somente de leitura APIs necessário para oferecer suporte a esses tipos de recursos. Agora, essa política também oferece suporte à filtragem de funções do Lambda @Edge para [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config a regra gerenciada. | 8 de junho de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Adicionar ssm:DescribeDocumentPermission e adicionar permissões adicionais para tipos de AWS recursos | Esta política agora concede permissão para visualizar as permissões de documentos e informações do AWS Systems Manager sobre o IAM Access Analyzer. Essa política agora oferece suporte a tipos de AWS recursos adicionais para Amazon Kinesis, Amazon, ElastiCache Amazon EMR, Amazon Route 53 e AWS Network Firewall Amazon Relational Database Service (Amazon RDS). Essas alterações de permissão permitem AWS Config invocar o recurso somente de leitura APIs necessário para oferecer suporte a esses tipos de recursos. Agora, essa política também oferece suporte à filtragem de funções do Lambda @Edge para [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config a regra gerenciada. | 8 de junho de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Adicione apigateway:GET permissão para fazer chamadas GET somente para leitura para o API Gateway e s3:GetAccessPointPolicy permissão e s3:GetAccessPointPolicyStatus permissão para invocar o Amazon S3 somente para leitura APIs | Essa política agora concede permissões que permitem fazer chamadas GET somente AWS Config para leitura para o API Gateway para dar suporte a uma AWS Config regra para o API Gateway. A política também adiciona permissões que permitem AWS Config invocar o Amazon Simple Storage Service (Amazon S3) somente para leitura APIs, que são necessárias para suportar o novo tipo de recurso. `AWS::S3::AccessPoint` | 10 de maio de 2021 |
| [AWS\$1CInfigRole](#security-iam-awsmanpol-AWS_ConfigRole) — Adicione apigateway:GET permissão para fazer chamadas GET somente para leitura para o API Gateway e s3:GetAccessPointPolicy permissão e s3:GetAccessPointPolicyStatus permissão para invocar o Amazon S3 somente para leitura APIs | Essa política agora concede permissões que permitem fazer chamadas GET somente AWS Config para leitura para o API Gateway para dar suporte a um AWS Config para o API Gateway. A política também adiciona permissões que permitem AWS Config invocar o Amazon Simple Storage Service (Amazon S3) somente para leitura APIs, que são necessárias para suportar o novo tipo de recurso. `AWS::S3::AccessPoint` | 10 de maio de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Adicionar ssm:ListDocuments permissão e permissões adicionais para tipos AWS de recursos | Esta política agora concede permissão para exibir informações sobre documentos especificados do AWS Systems Manager . Agora AWS Backup, essa política também oferece suporte a tipos de AWS recursos adicionais para Amazon Elastic File System ElastiCache, Amazon, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis SageMaker , Amazon AI e Amazon Route 53. AWS Database Migration Service Essas alterações de permissão permitem AWS Config invocar o recurso somente de leitura APIs necessário para oferecer suporte a esses tipos de recursos. | 1.º de abril de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Adicionar ssm:ListDocuments permissão e permissões adicionais para tipos AWS de recursos | Esta política agora concede permissão para exibir informações sobre documentos especificados do AWS Systems Manager . Agora AWS Backup, essa política também oferece suporte a tipos de AWS recursos adicionais para Amazon Elastic File System ElastiCache, Amazon, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis SageMaker , Amazon AI e Amazon Route 53. AWS Database Migration Service Essas alterações de permissão permitem AWS Config invocar o recurso somente de leitura APIs necessário para oferecer suporte a esses tipos de recursos. | 1.º de abril de 2021 |
| `AWSConfigRole` está obsoleto | `AWSConfigRole` está obsoleto. A política de substituição é `AWS_ConfigRole`. | 1.º de abril de 2021 |
| AWS Config começou a rastrear alterações | AWS Config começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 1.º de abril de 2021 |
# Permissões para a função do IAM atribuída a AWS Config
Uma função do IAM permite que você defina um conjunto de permissões. AWS Config assume a função que você atribui a ele para gravar em seu bucket do S3, publicar em seu tópico do SNS e fazer `Describe` solicitações de `List` API para obter detalhes de configuração de seus recursos. AWS Para obter mais informações sobre funções do IAM, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) no *Guia do usuário do IAM*.
Quando você usa o AWS Config console para criar ou atualizar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias para você. Para obter mais informações, consulte [Configuração do AWS Config no console](gs-console.md).
**Políticas e resultados de conformidade**
As [políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [outras políticas gerenciadas no AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) podem determinar se o AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e não levam em conta essas políticas ao executar avaliações. As políticas em vigor devem estar alinhadas com a forma como você pretende usar o AWS Config.
**Contents**
+ [Criar políticas do perfil do IAM](#iam-role-policies)
+ [Adicionar uma política de confiança do IAM à sua função](#iam-trust-policy)
+ [Política de perfil do IAM para o bucket do S3](#iam-role-policies-S3-bucket)
+ [Política de perfil do IAM para chave do KMS](#iam-role-policies-S3-kms-key)
+ [Política de perfil do IAM para o tópico do Amazon SNS](#iam-role-policies-sns-topic)
+ [Política de perfil do IAM para obter detalhes de configuração](#iam-role-policies-describe-apis)
+ [Gerenciar permissões para gravação de bucket do S3](#troubleshooting-recording-s3-bucket-policy)
## Criar políticas do perfil do IAM
Quando você usa o AWS Config console para criar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias à função para você.
Se você estiver usando o AWS CLI para configurar AWS Config ou estiver atualizando uma função existente do IAM, você deve atualizar manualmente a política para permitir o acesso AWS Config ao bucket do S3, publicar no tópico do SNS e obter detalhes de configuração sobre seus recursos.
### Adicionar uma política de confiança do IAM à sua função
Você pode criar uma política de confiança do IAM que AWS Config permita assumir uma função e usá-la para monitorar seus recursos. Para obter mais informações sobre políticas de confiança, consulte [Termos e conceitos dos perfis](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) no *Guia do usuário do IAM*.
Veja a seguir um exemplo de política de confiança para AWS Config funções:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Você pode usar a condição `AWS:SourceAccount` na relação de confiança acima do perfil do IAM para restringir a entidade principal de serviço do Config a interagir somente com o perfil do IAM da AWS ao realizar operações em nome de contas específicas.
AWS Config também suporta a `AWS:SourceArn` condição que restringe o responsável pelo serviço Config a assumir apenas a função do IAM ao realizar operações em nome da conta proprietária. Ao usar o principal de AWS Config serviço, a `AWS:SourceArn` propriedade sempre será definida como a `arn:aws:config:sourceRegion:sourceAccountID:*` região do gravador de configuração gerenciado pelo cliente e `sourceAccountID` a ID da conta que contém o gravador de configuração gerenciado pelo cliente. `sourceRegion`
Por exemplo, adicione a seguinte condição para restringir a entidade principal do serviço Config a assumir apenas o perfil do IAM somente em nome de um gravador de configuração gerenciado pelo cliente na região `us-east-1` na conta `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
### Política de perfil do IAM para o bucket do S3
O exemplo de política a seguir concede AWS Config permissão para acessar seu bucket do S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Política de perfil do IAM para chave do KMS
O exemplo de política a seguir concede AWS Config permissão para usar criptografia baseada em KMS em novos objetos para entrega de buckets do S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Política de perfil do IAM para o tópico do Amazon SNS
O exemplo de política a seguir concede AWS Config permissão para acessar seu tópico do SNS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Se o tópico do SNS for criptografado, para obter mais instruções de configuração, consulte [Configuração de permissões do AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
### Política de perfil do IAM para obter detalhes de configuração
É recomendável usar a função AWS Config vinculada ao serviço:. `AWSServiceRoleForConfig` As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas. Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço. Para obter mais informações, consulte [Uso de funções vinculadas ao serviço para o AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Se você criar ou atualizar uma função com o console, AWS Config anexe-a **AWSServiceRoleForConfig**para você.
Se você usar o AWS CLI, use o `attach-role-policy` comando e especifique o Amazon Resource Name (ARN) para: **AWSServiceRoleForConfig**
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Gerenciar permissões para gravação de bucket do S3
AWS Config registra e entrega notificações quando um bucket do S3 é criado, atualizado ou excluído.
É recomendável usar a função AWS Config vinculada ao serviço:. `AWSServiceRoleForConfig` As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas. Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço. Para obter mais informações, consulte [Uso de funções vinculadas ao serviço para o AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
# Atualizar o perfil do IAM para o gravador de configuração gerenciado pelo cliente
Você pode atualizar o perfil do IAM usado pelo gravador de configuração gerenciado pelo cliente. Antes de atualizar o perfil do IAM crie um novo perfil para substituir o antigo. Você deve anexar políticas à nova função que concedam permissões AWS Config para registrar configurações e entregá-las ao seu canal de entrega.
Para obter informações sobre a criação de um perfil do IAM e anexar políticas necessárias para o perfil do IAM consulte [Etapa 3: criar um perfil do IAM](gs-cli-prereq.md#gs-cli-create-iamrole).
**nota**
Para encontrar o ARN de uma função existente do IAM, acesse o console do IAM em. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) Selecione **Roles (Funções)** no painel de navegação. Em seguida, escolha o nome da função desejada e localize o ARN na parte superior da página **Summary (Resumo)**.
## Atualizar o perfil do IAM
Você pode atualizar sua função do IAM usando o Console de gerenciamento da AWS ou AWS CLI o.
------
#### [ To update the IAM role (Console) ]
1. Faça login no Console de gerenciamento da AWS e abra o AWS Config console em [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Selecione **Configurações** no painel de navegação.
1. Na guia **Gravador gerenciado pelo cliente**, escolha **Editar** na página “Configurações”.
1. Na seção **Governança de dados**, escolha a função do IAM para AWS Config:
+ **Use uma função AWS Config vinculada ao serviço existente** — AWS Config cria uma função com as permissões necessárias.
+ **Escolha um perfil da sua conta** – para **Funções existentes**, escolha um perfil do IAM em sua conta.
1. Escolha **Salvar**.
------
#### [ To update the IAM role (AWS CLI) ]
Use o comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) e especifique o nome do recurso da Amazon (ARN) do novo perfil:
```
$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
```
------
# Permissões para o bucket Amazon S3 para o AWS Config canal de entrega
**Importante**
Esta página trata da configuração do Amazon S3 Bucket para o canal de AWS Config entrega. Esta página não trata do tipo de `AWS::S3::Bucket` recurso que o gravador AWS Config de configuração pode registrar.
Os buckets e objetos do Amazon S3 são privados por padrão. Somente quem criou Conta da AWS o bucket (o proprietário do recurso) tem permissões de acesso. Proprietários de recurso podem conceder acesso a outros recursos e usuários por meio da criação de políticas de acesso.
Quando cria AWS Config automaticamente um bucket do S3 para você, ele adiciona as permissões necessárias. No entanto, se você especificar um bucket do S3 existente, adicione essas permissões manualmente.
**Topics**
+ [Quando usar perfis do IAM](#required-permissions-in-another-account)
+ [Quando usar perfis vinculados ao serviço](#required-permissions-using-servicelinkedrole)
+ [Concedendo acesso AWS Config](#granting-access-in-another-account)
+ [Entrega entre contas](#required-permissions-cross-account)
## Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis do IAM
AWS Config usa a função do IAM que você atribuiu ao gravador de configuração para fornecer histórico de configuração e instantâneos aos buckets do S3 em sua conta. Para entrega entre contas, AWS Config primeiro tente usar a função do IAM atribuída. Se a política de bucket não conceder acesso de `WRITE` ao perfil do IAM, o AWS Config usará a entidade principal serviço `config.amazonaws.com`. A política de bucket deve conceder acesso de `WRITE` a `config.amazonaws.com` para a conclusão da entrega. Após a entrega bem-sucedida, AWS Config mantém a propriedade de todos os objetos que entrega ao bucket S3 entre contas.
AWS Config chama a [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API do Amazon S3 com a função do IAM que você atribuiu ao gravador de configuração para confirmar se o bucket do S3 existe e sua localização. Se você não tiver as permissões necessárias AWS Config para confirmar, verá um `AccessDenied` erro nos seus AWS CloudTrail registros. No entanto, ainda AWS Config pode fornecer histórico de configuração e instantâneos, mesmo AWS Config que não tenha as permissões necessárias para confirmar se o bucket do S3 existe e sua localização.
**Permissões mínimas**
A API `HeadBucket` do Amazon S3 exige a ação `s3:ListBucket`.
## Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis vinculados ao serviço
A função AWS Config vinculada ao serviço não tem permissão para colocar objetos nos buckets do Amazon S3. Se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config usará o principal do `config.amazonaws.com` serviço para fornecer histórico de configuração e instantâneos. A política de bucket do S3 em sua conta ou destinos entre contas deve incluir permissões para que o responsável pelo AWS Config serviço grave objetos.
## Concedendo AWS Config acesso ao Amazon S3 Bucket
Conclua as etapas AWS Config a seguir para fornecer histórico de configuração e snapshots para um bucket do Amazon S3.
1. Faça login no Console de gerenciamento da AWS usando a conta que tem o bucket do S3.
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Selecione o bucket que você deseja usar AWS Config para entregar itens de configuração e, em seguida, escolha **Propriedades**.
1. Escolha **Permissões**.
1. Escolha **Edit Bucket Policy (Editar política de bucket)**.
1. Copie a seguinte política na janela **Bucket Policy Editor (Editor de políticas de bucket)**:
**Práticas recomendadas de segurança**
É altamente recomendável que você restrinja o acesso na política de bucket com a condição `AWS:SourceAccount`. Isso garante que o acesso AWS Config seja concedido somente em nome dos usuários esperados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
1. Substitua os seguintes valores na política do bucket:
+ *amzn-s3-demo-bucket*— Nome do bucket do Amazon S3 onde AWS Config entregará o histórico de configuração e os snapshots.
+ *[optional] prefix*— Uma adição opcional à chave de objeto do Amazon S3 que ajuda a criar uma organização semelhante a uma pasta no bucket.
+ *sourceAccountID*— ID da conta onde AWS Config entregará o histórico de configuração e os instantâneos.
1. Escolha **Save (Salvar)** e **Close (Fechar)**.
A `AWS:SourceAccount` condição restringe as AWS Config operações às especificadas Contas da AWS. Para configurações de várias contas em uma organização que entrega em um único bucket do S3, use funções do IAM com chaves de AWS Organizations condições em vez de funções vinculadas ao serviço. Por exemplo, .`AWS:PrincipalOrgID` Para ter mais informações, consulte [Como gerenciar permissões de acesso para a organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) no *Guia do usuário do AWS Organizations *.
A `AWS:SourceArn` condição restringe as AWS Config operações aos canais de entrega especificados. O formato do `AWS:SourceArn` é o seguinte: `arn:aws:config:sourceRegion:123456789012`.
Por exemplo, para restringir o acesso do bucket do S3 a um canal de entrega na região Leste dos EUA (Norte da Virgínia) para a conta 123456789012, adicione a seguinte condição:
```
"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}
```
## Permissões obrigatórias para o bucket do Amazon S3 na entrega entre contas
Quando AWS Config está configurado para entregar histórico de configuração e snapshots para um bucket Amazon S3 em uma conta diferente (configuração entre contas), onde o gravador de configuração e o bucket S3 especificado para o canal de entrega são Contas da AWS diferentes, as seguintes permissões são necessárias:
+ O perfil do IAM que você atribui ao gravador de configuração precisa de permissão explícita para realizar a operação `s3:ListBucket`. Isso ocorre porque AWS Config chama a [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API do Amazon S3 com essa função do IAM para determinar a localização do bucket.
+ A política de bucket do S3 deve incluir permissões para a função do IAM atribuída ao gravador de configuração.
Abaixo é apresentado um exemplo de configuração de política de bucket.
```
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role-Arn assigned to the configuration recorder"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}
```
# Permissões para a chave KMS para o canal AWS Config de entrega
Use as informações deste tópico se quiser criar uma política para uma AWS KMS chave para seu bucket do S3 que permita usar a criptografia baseada em KMS em objetos entregues AWS Config para entrega do bucket do S3.
**Contents**
+ [Permissões obrigatórias para a chave KMS ao usar perfis do IAM (entrega do bucket do S3)](#required-permissions-s3-kms-key-using-iam-role)
+ [Permissões necessárias para a AWS KMS chave ao usar funções vinculadas ao serviço (S3 Bucket Delivery)](#required-permissions-s3-kms-key-using-servicelinkedrole)
+ [Concedendo AWS Config acesso à chave AWS KMS](#granting-access-s3-kms-key)
## Permissões obrigatórias para a chave KMS ao usar perfis do IAM (entrega do bucket do S3)
Se você configurar AWS Config usando uma função do IAM, poderá anexar a seguinte política de permissão à chave KMS:
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource": "*myKMSKeyARN*",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
**nota**
Se a função do IAM, a política de bucket do Amazon S3 ou a AWS KMS chave não fornecerem acesso adequado AWS Config, a tentativa AWS Config de enviar informações de configuração para o bucket do Amazon S3 falhará. Nesse caso, AWS Config envia as informações novamente, desta vez como responsável pelo AWS Config serviço. Nesse caso, você deve anexar uma política de permissão, mencionada abaixo, à AWS KMS chave para conceder AWS Config acesso ao uso da chave ao entregar informações ao bucket do Amazon S3.
## Permissões necessárias para a AWS KMS chave ao usar funções vinculadas ao serviço (S3 Bucket Delivery)
A função AWS Config vinculada ao serviço não tem permissão para acessar a AWS KMS chave. Portanto, se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config enviará informações como principal do AWS Config serviço. Você precisará anexar uma política de acesso, mencionada abaixo, à AWS KMS chave para conceder AWS Config acesso ao uso da AWS KMS chave ao entregar informações ao bucket do Amazon S3.
## Concedendo AWS Config acesso à chave AWS KMS
Essa política permite AWS Config usar uma AWS KMS chave ao entregar informações para um bucket do Amazon S3
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "myKMSKeyARN",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
Substitua os seguintes valores na política de chave:
+ *myKMSKeyARN*— O ARN da AWS KMS chave usada para criptografar dados no bucket do Amazon S3 que AWS Config entregará itens de configuração para o.
+ *sourceAccountID*— O ID da conta para a qual AWS Config entregará os itens de configuração.
Você pode usar a `AWS:SourceAccount` condição na política de AWS KMS chaves acima para restringir o principal do serviço Config a interagir apenas com a AWS KMS chave ao realizar operações em nome de contas específicas.
AWS Config também suporta a `AWS:SourceArn` condição que restringe o principal do serviço Config a interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de canais de entrega específicos. AWS Config Ao usar o principal de AWS Config serviço, a `AWS:SourceArn` propriedade sempre será definida como `arn:aws:config:sourceRegion:sourceAccountID:*` onde `sourceRegion` está a região do canal de entrega e `sourceAccountID` é a ID da conta que contém o canal de entrega. Para obter mais informações sobre canais AWS Config de entrega, consulte [Gerenciando o canal de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região `us-east-1` da conta `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
# Permissões para o tópico do Amazon SNS
**Não há suporte a tópicos criptografados do Amazon SNS**
AWS Config não oferece suporte a tópicos criptografados do Amazon SNS.
Este tópico descreve como configurar AWS Config para entregar tópicos do Amazon SNS pertencentes a uma conta diferente. AWS Config deve ter as permissões necessárias para enviar notificações para um tópico do Amazon SNS.
Quando o AWS Config console cria um novo tópico do Amazon SNS para você, AWS Config concede as permissões necessárias. Se você escolher um tópico existente do Amazon SNS, verifique se o tópico Amazon SNS inclui as permissões necessárias e segue as práticas recomendadas de segurança.
**Não há suporte a tópicos do Amazon SNS entre contas**
AWS Config atualmente oferece suporte apenas ao acesso dentro da mesma conta Região da AWS e entre contas.
**Contents**
+ [Permissões obrigatórias para o tópico do Amazon SNS ao usar perfis do IAM](#required-permissions-snstopic-in-another-account)
+ [Permissões obrigatórias para o tópico do Amazon SNS ao usar perfis vinculados ao serviço](#required-permissions-snstopic-using-servicelinkedrole)
+ [Concedendo AWS Config acesso ao tópico do Amazon SNS](#granting-access-snstopic)
+ [Solução de problemas para um tópico do Amazon SNS](#troubleshooting-for-snstopic-using-servicelinkedrole)
## Permissões obrigatórias para o tópico do Amazon SNS ao usar perfis do IAM
Você pode associar uma política de permissões ao tópico do SNS de propriedade de uma conta diferente. Se você deseja usar um tópico do SNS de outra conta, anexe a política a seguir a um tópico existente do SNS.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
Para a `Resource` chave, *account-id* é o número da AWS conta do proprietário do tópico. Para*account-id1*,*account-id2*, e*account-id3*, use o Contas da AWS que enviará dados para um tópico do Amazon SNS. Você pode substituir os valores apropriados por *region* *myTopic* e.
Quando AWS Config envia uma notificação para um tópico do Amazon SNS, ele primeiro tenta usar a função do IAM, mas essa tentativa falha se a função ou Conta da AWS não tiver permissão para publicar no tópico. Nesse caso, AWS Config envia a notificação novamente, desta vez como um nome principal AWS Config de serviço (SPN). Para a publicação ser bem-sucedida, a política de acesso para o tópico deve conceder acesso `sns:Publish` ao nome de entidade principal `config.amazonaws.com`. Você deve anexar uma política de acesso, descrita na próxima seção, ao tópico do Amazon SNS para conceder ao AWS Config acesso ao tópico do SNS se o perfil do IAM não tiver permissão para publicar no tópico.
## Permissões obrigatórias para o tópico do Amazon SNS ao usar perfis vinculados ao serviço
A função AWS Config vinculada ao serviço não tem permissão para acessar o tópico do Amazon SNS. Portanto, se você configurar AWS Config usando uma função vinculada ao serviço (SLR), AWS Config enviará informações como principal do AWS Config serviço. Você precisará anexar uma política de acesso, mencionada abaixo, ao tópico do Amazon SNS para conceder AWS Config acesso e enviar informações ao tópico do Amazon SNS.
Para a configuração da mesma conta, quando o tópico do Amazon SNS e o SLR estão na mesma conta e a política do Amazon SNS concede ao SLR a permissão “`sns:Publish`”, você não precisa usar o SPN do AWS Config . A política de permissões abaixo e as práticas recomendadas de segurança são para configuração entre contas.
## Concedendo AWS Config acesso ao tópico do Amazon SNS
Essa política permite AWS Config enviar uma notificação para um tópico do Amazon SNS. Para conceder AWS Config acesso ao tópico do Amazon SNS a partir de outra conta, você precisará anexar a seguinte política de permissões.
**nota**
Como prática recomendada de segurança, é altamente recomendável garantir AWS Config o acesso aos recursos em nome dos usuários esperados apenas restringindo o acesso às contas listadas na `AWS:SourceAccount` condição.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
Para a `Resource` chave, *account-id* é o número da AWS conta do proprietário do tópico. Para*account-id1*,*account-id2*, e*account-id3*, use o Contas da AWS que enviará dados para um tópico do Amazon SNS. Você pode substituir os valores apropriados por *region* *myTopic* e.
Você pode usar a `AWS:SourceAccount` condição na política de tópico anterior do Amazon SNS para restringir o nome principal do AWS Config serviço (SPN) para interagir somente com o tópico do Amazon SNS ao realizar operações em nome de contas específicas.
AWS Config também suporta a `AWS:SourceArn` condição que restringe o nome principal do AWS Config serviço (SPN) para interagir somente com o bucket do S3 ao realizar operações em nome de canais de entrega específicos AWS Config . Ao usar o nome principal do AWS Config serviço (SPN), a `AWS:SourceArn` propriedade sempre será definida como `arn:aws:config:sourceRegion:sourceAccountID:*` onde `sourceRegion` está a região do canal de entrega e `sourceAccountID` é a ID da conta que contém o canal de entrega. Para obter mais informações sobre canais AWS Config de entrega, consulte [Gerenciando o canal de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Por exemplo, adicione a seguinte condição para restringir o nome principal do AWS Config serviço (SPN) a interagir com seu bucket do S3 somente em nome de um canal de entrega na `us-east-1` região da conta`123456789012`:. `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
## Solução de problemas para um tópico do Amazon SNS
AWS Config deve ter permissões para enviar notificações para um tópico do Amazon SNS. Se um tópico do Amazon SNS não puder receber notificações, verifique se a função do IAM que AWS Config estava assumindo tem as permissões necessárias. `sns:Publish`
# Solução de problemas AWS Config de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Config um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em AWS Config](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Config recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em AWS Config
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, é preciso atualizar suas políticas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para exibir detalhes sobre um recurso do `my-example-widget` fictício, mas não tem as permissões fictícias do `config:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: config:GetWidget on resource: my-example-widget
```
Nesse caso, a política de Mateo deve ser atualizada para permitir que ele tenha acesso ao recurso `my-example-widget` usando a ação `config:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS Config.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no AWS Config. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Config recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se é AWS Config compatível com esses recursos, consulte[Como AWS Config funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Usando funções vinculadas ao serviço para AWS Config
AWS Config usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Config As funções vinculadas ao serviço são predefinidas AWS Config e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Config porque você não precisa adicionar manualmente as permissões necessárias. AWS Config define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Config pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte [Produtos da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure por serviços que apresentam **Sim** na coluna **Funções vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para AWS Config
AWS Config usa a função vinculada ao serviço chamada **AwsServiceRoleForConfig**— AWS Config usa essa função vinculada ao serviço para chamar outros AWS serviços em seu nome. Para ver as atualizações mais recentes, consulte [AWS Config atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
O perfil vinculado ao serviço **AwsServiceRoleForConfig** confia no serviço `config.amazonaws.com` para presumir o perfil.
A política de permissões para a `AwsServiceRoleForConfig` função contém permissões somente leitura e somente gravação para recursos e permissões somente leitura para AWS Config recursos em outros serviços que oferecem suporte. AWS Config Para ver a política gerenciada para **AwsServiceRoleForConfig**, consulte [políticas AWS gerenciadas para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
Para usar uma função vinculada ao serviço com AWS Config, você deve configurar permissões em seu bucket do Amazon S3 e no tópico do Amazon SNS. Para obter mais informações, consulte [Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis vinculados ao serviçoPermissões obrigatórias para o bucket do Amazon S3 na entrega entre contas](s3-bucket-policy.md#required-permissions-using-servicelinkedrole), [Permissões necessárias para a AWS KMS chave ao usar funções vinculadas ao serviço (S3 Bucket Delivery)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole) e [Permissões obrigatórias para o tópico do Amazon SNS ao usar perfis vinculados ao serviço](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole).
## Criando uma função vinculada ao serviço para AWS Config
Na CLI ou na API do IAM, crie uma função vinculada ao serviço com o nome de serviço `config.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editando uma função vinculada ao serviço para AWS Config
AWS Config não permite que você edite a função **AwsServiceRoleForConfig**vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Config
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o AWS Config serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir AWS Config recursos usados pelo **AwsServiceRoleForConfig****
Verifique se você não tem `ConfigurationRecorders` usando a função vinculada ao serviço. Você pode usar o AWS Config console para parar o gravador de configuração. Para interromper o registro, em **Recording is on (Registro ativado)**, escolha **Turn off (Desativar)**.
Você pode excluir o `ConfigurationRecorder` uso AWS Config da API. Para excluir, use o comando `delete-configuration-recorder`.
```
$ aws configservice delete-configuration-recorder --configuration-recorder-name default
```
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AwsServiceRoleForConfig. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
# Resposta a incidentes em AWS Config
A segurança é a maior prioridade na AWS. Como parte do [modelo de responsabilidade compartilhada AWS](https://aws.amazon.com/compliance/shared-responsibility-model) na nuvem, AWS gerencia uma arquitetura de data center, rede e software que atende aos requisitos das organizações mais sensíveis à segurança. AWS é responsável por qualquer resposta a incidentes com relação ao AWS Config serviço em si. Além disso, como AWS cliente, você compartilha a responsabilidade de manter a segurança na nuvem. Isso significa que você controla a segurança que escolhe implementar a partir das AWS ferramentas e recursos aos quais tem acesso e é responsável pela resposta a incidentes do seu lado do modelo de responsabilidade compartilhada.
Ao estabelecer uma referência de segurança que atenda aos objetivos de suas aplicações executadas na nuvem, você pode detectar desvios aos quais pode reagir. Como a resposta a incidentes de segurança pode ser um tópico complexo, recomendamos que você analise os seguintes recursos para entender melhor o impacto que a resposta a incidentes (IR) e suas escolhas têm em suas metas corporativas: [Guia de resposta a incidentes de AWS segurança](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html), whitepaper de [melhores práticas de AWS segurança](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) e white paper sobre a [perspectiva de segurança da estrutura de adoção de AWS nuvem](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf) (CAF).
# Validação de conformidade para AWS Config
Auditores terceirizados avaliam a segurança e a conformidade AWS Config como parte de vários programas de AWS conformidade. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência em AWS Config
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança de infraestrutura em AWS Config
Como serviço gerenciado, AWS Config é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS Config pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
## Análise de configuração e vulnerabilidade
For AWS Config, AWS lida com tarefas básicas de segurança, como sistema operacional (SO) convidado e aplicação de patches em bancos de dados, configuração de firewall e recuperação de desastres.
# Prevenção do problema "confused deputy" entre serviços
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS Config concedem outro serviço ao recurso. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
A maneira mais eficaz de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com caracteres curinga (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename:*:123456789012:*`
Se o valor de `aws:SourceArn` não contiver o ID da conta, como um ARN de bucket do Amazon S3, você deverá usar ambas as chaves de contexto de condição global para limitar as permissões.
O exemplo a seguir mostra como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves globais AWS Config para evitar o problema confuso do substituto: [conceder AWS Config acesso ao Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html) Bucket.
# Melhores práticas de segurança para AWS Config
AWS Config fornece vários recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
+ Aproveite a marcação para AWS Config, que facilita o gerenciamento, a pesquisa e a filtragem de recursos.
+ Confirme se seus [canais de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) foram configurados corretamente e, uma vez confirmados, verifique AWS Config se estão [gravando corretamente](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html).
Para obter mais informações, consulte o blog das [Práticas recomendadas do AWS Config](https://aws.amazon.com/blogs/mt/aws-config-best-practices/).