As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso em AWS DataSync
AWS usa credenciais de segurança para identificá-lo e conceder acesso aos seus AWS recursos. Você pode usar os recursos do AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus AWS recursos de forma total ou limitada, sem compartilhar suas credenciais de segurança.
Por padrão, as identidades do IAM (usuários, grupos e funções) não têm permissão para criar, visualizar ou modificar AWS recursos. Para permitir que usuários, grupos e funções acessem AWS DataSync recursos e interajam com o DataSync console e a API, recomendamos que você use uma política do IAM que conceda a eles permissão para usar os recursos específicos e as ações de API de que precisarão. Depois, associe a política à identidade do IAM que requer acesso. Para obter uma visão geral dos elementos básicos de uma política, consulte [Gerenciamento de acesso para AWS DataSync](managing-access-overview.md).
**Topics**
+ [Gerenciamento de acesso para AWS DataSync](managing-access-overview.md)
+ [AWS políticas gerenciadas para AWS DataSync](security-iam-awsmanpol.md)
+ [Políticas gerenciadas pelo cliente do IAM para AWS DataSync](using-identity-based-policies.md)
+ [Usando funções vinculadas a serviços para DataSync](using-service-linked-roles.md)
+ [Permissões para marcar DataSync recursos durante a criação](supported-iam-actions-tagging.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
# Gerenciamento de acesso para AWS DataSync
Cada AWS recurso é de propriedade de um Conta da AWS. As permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades AWS Identity and Access Management (IAM). Alguns serviços (como AWS Lambda) também oferecem suporte à anexação de políticas de permissões aos recursos.
**nota**
Um *administrador da conta* é um usuário com privilégios de administrador em um Conta da AWS. Para obter mais informações, consulte [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
**Topics**
+ [DataSync recursos e operações](#access-control-specify-datasync-actions)
+ [Informações sobre propriedade de recursos](#access-control-owner)
+ [Gerenciar acesso aos recursos da](#access-control-managing-permissions)
+ [Especificar elementos da política: ações, efeitos, recursos e entidades principais](#policy-elements)
+ [Especificar condições em uma política](#specifying-conditions)
+ [Como criar uma política de endpoint da VPC](#endpoint-policy-example)
## DataSync recursos e operações
Em DataSync, os recursos principais são agente, localização, tarefa e execução de tarefas.
Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles, conforme mostrado na tabela a seguir.
| Tipo de atributo | Formato ARN |
| --- | --- |
| ARN do agente | `arn:aws:datasync:region:account-id:agent/agent-id` |
| ARN do local | `arn:aws:datasync:region:account-id:location/location-id` |
| Nome de região da Amazon (ARN) da tarefa | `arn:aws:datasync:region:account-id:task/task-id ` |
| ARN da execução da tarefa | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
Para conceder permissões para operações específicas da API, como criar uma tarefa, DataSync defina um conjunto de ações que você pode especificar em uma política de permissões. Uma operação de API pode exigir permissões para mais de uma ação.
## Informações sobre propriedade de recursos
*O proprietário do recurso* é Conta da AWS quem criou o recurso. Ou seja, o proprietário do recurso é a Conta da AWS *entidade principal* (por exemplo, uma função do IAM) que autentica a solicitação que cria o recurso. Os exemplos a seguir mostram como isso funciona:
+ Se você usar as credenciais da sua conta raiz Conta da AWS para criar uma tarefa, você Conta da AWS é o proprietário do recurso (em DataSync, o recurso é a tarefa).
+ Se você criar uma função do IAM em sua Conta da AWS e conceder permissões para a `CreateTask` ação a esse usuário, o usuário poderá criar uma tarefa. No entanto, sua Conta da AWS, à qual o usuário pertence, é proprietária do recurso de tarefa.
+ Se você criar uma função do IAM Conta da AWS com permissões para criar uma tarefa, qualquer pessoa que possa assumir a função poderá criar uma tarefa. Seu Conta da AWS, ao qual a função pertence, é proprietário do recurso da tarefa.
## Gerenciar acesso aos recursos da
A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto de DataSync. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de política do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) do *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são chamadas de políticas *baseadas em identidade* (políticas do IAM) e as políticas anexadas a um recurso são chamadas de políticas baseadas em *recursos*. DataSync suporta somente políticas baseadas em identidade (políticas do IAM).
**Topics**
+ [Políticas baseadas em identidade](#identity-based-policies)
+ [Políticas baseadas em recursos](#resource-based-policies)
### Políticas baseadas em identidade
Você pode gerenciar o acesso aos DataSync recursos com as políticas do IAM. Essas políticas podem ajudar um Conta da AWS administrador a fazer o seguinte com DataSync:
+ **Conceda permissões para criar e gerenciar DataSync recursos** — Crie uma política do IAM que permita que uma função do IAM em você Conta da AWS crie e gerencie DataSync recursos, como agentes, locais e tarefas.
+ **Conceder permissões a uma função em outra Conta da AWS ou em uma AWS service (Serviço da AWS)** — Crie uma política do IAM que conceda permissões a uma função do IAM em uma função diferente Conta da AWS ou em uma AWS service (Serviço da AWS). Por exemplo:
1. Um administrador da Conta A cria um perfil do IAM e anexa uma política de permissões ao perfil que concede permissões em recursos da Conta A.
1. O administrador da conta A anexa uma política de confiança ao perfil que identifica a conta B como a entidade principal, que pode assumir a função.
Para conceder AWS service (Serviço da AWS) permissões para assumir a função, o administrador da Conta A pode especificar a AWS service (Serviço da AWS) como principal na política de confiança.
1. O administrador da conta B pode delegar permissões para que usuários ou grupos da conta B assumam o perfil. Isso permite que os usuários na conta B criem ou acessem recursos na conta A.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Manual do usuário do IAM*.
Veja a seguir um exemplo de política que concede permissões para todas as ações `List*` em todos os recursos. Essa ação é somente para leitura e não permite a modificação de recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre o uso de políticas baseadas em identidade com DataSync, consulte políticas gerenciadas e [políticas AWS gerenciadas](security-iam-awsmanpol.md) [pelo cliente](using-identity-based-policies.md). Para obter informações sobre identidades do IAM, consulte o [https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html).
### Políticas baseadas em recursos
Outros serviços, como Amazon S3, também dão suporte a políticas de permissões baseadas em recursos. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciar permissões de acesso a esse bucket. No entanto, DataSync não oferece suporte a políticas baseadas em recursos.
## Especificar elementos da política: ações, efeitos, recursos e entidades principais
Para cada DataSync recurso, o serviço define um conjunto de operações de API (consulte [Ações](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html)). Para conceder permissões para essas operações de API, DataSync defina um conjunto de ações que você pode especificar em uma política. Por exemplo, para o DataSync recurso, as seguintes ações são definidas: `CreateTask``DeleteTask`, `DescribeTask` e. A execução de uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política mais básicos:
+ **Recurso**: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para os recursos do DataSync, você pode usar o caractere curinga `(*)` nas políticas do IAM. Para obter mais informações, consulte [DataSync recursos e operações](#access-control-specify-datasync-actions).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do `Effect` elemento especificado, a `datasync:CreateTask` permissão permite ou nega ao usuário permissões para realizar a DataSync `CreateTask` operação.
+ **Efeito**: você especifica o efeito quando o usuário solicita a ação específica, que pode ser `Allow` ou `Deny`. Se você não conceder explicitamente acesso a um recurso (`Allow`), o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso. Para ter mais informações, consulte [Autorização](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) no *Guia do usuário do IAM*.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). DataSync não oferece suporte a políticas baseadas em recursos.
Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a [Referência da política do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
## Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições sobre quando uma política relativa à concessão de permissões deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.
Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do DataSync. No entanto, existem chaves AWS de condição amplas que você pode usar conforme apropriado. Para obter uma lista completa de chaves AWS largas, consulte [Chaves disponíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
## Como criar uma política de endpoint da VPC
As políticas de VPC endpoint ajudam a controlar o acesso às operações de DataSync API por meio de endpoints de serviço e endpoints DataSync VPC de serviço de VPC habilitados para FIPS. As políticas de endpoint de VPC permitem que você restrinja ações específicas de DataSync API acessadas por meio de seus endpoints VPC de serviço, como ou. `CreateTask` `StartTaskExecution`
Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem executar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para saber mais, consulte [Controlar o acesso a endpoints de VPC usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
**Exemplo de política**
A seguir, está um exemplo de uma política de endpoints.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS políticas gerenciadas para AWS DataSync
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
Serviços da AWS manter e atualizar políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos Serviços da AWS os recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSDataSyncReadOnlyAccess
É possível anexar a política `AWSDataSyncReadOnlyAccess` às suas identidades do IAM. Essa política concede permissões somente de leitura para. DataSync
Para visualizar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSDataSyncFullAccess
É possível anexar a política `AWSDataSyncFullAccess` às suas identidades do IAM. Essa política concede permissões administrativas DataSync e é necessária para o Console de gerenciamento da AWS acesso ao serviço. `AWSDataSyncFullAccess`fornece acesso total às operações de DataSync API e às operações que interagem com recursos relacionados (como buckets do Amazon S3, sistemas de arquivos Amazon EFS, AWS KMS chaves e segredos do Secrets Manager). A política também concede permissões para a Amazon CloudWatch, incluindo a criação de grupos de registros e a criação ou atualização de uma política de recursos.
Para visualizar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSDataSyncServiceRolePolicy
É possível anexar a política `AWSDataSyncServiceRolePolicy` a suas identidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite DataSync realizar ações em seu nome. Para obter mais informações, consulte [Usando funções vinculadas a serviços para DataSync](using-service-linked-roles.md).
Essa política concede permissões administrativas que permitem que a função vinculada ao serviço crie CloudWatch registros da Amazon para DataSync tarefas usando o modo Avançado.
## Atualizações da política
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): alteração | DataSync declarações de permissão modificadas para`AWSDataSyncFullAccess`: As instruções atualizadas removem as condições de marcação das permissões DataSync usadas para criar segredos do Secrets Manager. | 13 de maio de 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): alteração | DataSync adicionou novas permissões para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/security-iam-awsmanpol.html) Essas permissões permitem DataSync criar, editar e excluir AWS Secrets Manager segredos. | 7 de maio de 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): alteração | DataSync adicionou novas permissões para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/security-iam-awsmanpol.html) Essas permissões permitem DataSync recuperar metadados sobre seus AWS Secrets Manager segredos e AWS KMS chaves, incluindo quaisquer aliases associados às suas chaves. | 23 de abril de 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy): alteração | DataSync adicionou novas permissões à `AWSDataSyncServiceRolePolicy` política usada pela função DataSync vinculada ao serviço: `AWSServiceRoleForDataSync` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/security-iam-awsmanpol.html) Essas permissões permitem DataSync ler metadados e valores de segredos gerenciados pelo AWS Secrets Manager. | 15 de abril de 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) – Nova política | DataSync adicionou uma política que é usada pela função DataSync vinculada ao serviço. `AWSServiceRoleForDataSync` Essa nova política gerenciada cria automaticamente CloudWatch registros da Amazon para suas DataSync tarefas que usam o modo Avançado. | 30 de outubro de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): alteração | DataSync adicionou uma nova permissão para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/security-iam-awsmanpol.html) Essa permissão permite DataSync criar funções vinculadas a serviços para você. | 30 de outubro de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): alteração | DataSync adicionou uma nova permissão para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/security-iam-awsmanpol.html) Essa permissão permite que você escolha regiões opcionais ao criar uma DataSync tarefa para transferências entre Regiões da AWS elas. | 22 de julho de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): alteração | DataSync adicionou uma nova permissão para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/security-iam-awsmanpol.html) Essa permissão permite que você escolha uma versão específica do seu [DataSync manifesto](transferring-with-manifest.md). | 16 de fevereiro de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): alteração | DataSync adicionou novas permissões para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/security-iam-awsmanpol.html) Essas permissões ajudam você a criar DataSync agentes e locais para Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 e S3 on Outposts. | 2 de maio de 2023 |
| DataSync começou a rastrear as alterações | DataSync começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 1.º de março de 2021 |
# Políticas gerenciadas pelo cliente do IAM para AWS DataSync
Além das políticas AWS gerenciadas, você também pode criar suas próprias políticas baseadas em identidade AWS DataSync e anexá-las às identidades AWS Identity and Access Management (IAM) que exigem essas permissões. *Políticas gerenciadas pelo cliente* são políticas autônomas que você administra na sua própria Conta da AWS.
**Importante**
Antes de começar, recomendamos que você conheça os conceitos básicos e as opções para gerenciar o acesso aos seus DataSync recursos. Para obter mais informações, consulte [Gerenciamento de acesso para AWS DataSync](managing-access-overview.md).
Ao criar uma política gerenciada pelo cliente, você inclui declarações sobre DataSync operações que podem ser usadas em determinados AWS recursos. A política de exemplo a seguir tem duas declarações (observe os elementos `Action` e `Resource` em ambas as declarações):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
As declarações da política fazem o seguinte:
+ A primeira declaração concede permissões para realizar a ação `datasync:DescribeTask` em determinados recursos da tarefa de transferência especificando um nome do recurso da Amazon (ARN) com um caractere curinga (`*`).
+ A segunda instrução concede permissões para realizar a ação `datasync:ListTasks` em todas as tarefas especificando apenas um caractere curinga (`*`).
## Exemplos de políticas gerenciadas pelo cliente
O exemplo a seguir de políticas gerenciadas pelo cliente concede permissões para várias DataSync operações. As políticas funcionam se você estiver usando o AWS Command Line Interface (AWS CLI) ou um AWS SDK. Para usar essas políticas no console, você também deve usar a política gerenciada `AWSDataSyncFullAccess`.
**Topics**
+ [Exemplo 1: Crie uma relação de confiança que permita DataSync acessar seu bucket do Amazon S3](#datasync-example1)
+ [Exemplo 2: Permitir DataSync a leitura e gravação em seu bucket do Amazon S3](#datasync-example2)
+ [Exemplo 3: Permitir DataSync o upload de registros para grupos de CloudWatch registros](#datasync-example4)
### Exemplo 1: Crie uma relação de confiança que permita DataSync acessar seu bucket do Amazon S3
Veja a seguir um exemplo de uma política de confiança que permite DataSync assumir uma função do IAM. Essa função permite DataSync acessar um bucket do Amazon S3. Para evitar o [problema adjunto confuso de vários serviços](cross-service-confused-deputy-prevention.md), recomendamos usar as chaves de contexto de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) na política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Exemplo 2: Permitir DataSync a leitura e gravação em seu bucket do Amazon S3
O exemplo de política DataSync a seguir concede as permissões mínimas para ler e gravar dados em um bucket do S3 usado como local de destino.
**nota**
O valor de `aws:ResourceAccount` deve ser o ID da conta proprietária do bucket do Amazon S3 especificado na política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Exemplo 3: Permitir DataSync o upload de registros para grupos de CloudWatch registros
DataSync requer permissões para poder fazer upload de registros para seus grupos de CloudWatch registros da Amazon. Você pode usar grupos de CloudWatch registros para monitorar e depurar suas tarefas.
Para obter um exemplo de política do IAM que concede essas permissões, consulte [DataSync Permitindo o upload de registros para um grupo de CloudWatch registros](configure-logging.md#cloudwatchlogs).
# Usando funções vinculadas a serviços para DataSync
AWS DataSync usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. DataSync As funções vinculadas ao serviço são predefinidas DataSync e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
**Topics**
+ [Usando funções para DataSync](using-service-linked-roles-service-action-2.md)
# Usando funções para DataSync
AWS DataSync usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. DataSync As funções vinculadas ao serviço são predefinidas DataSync e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração DataSync porque você não precisa adicionar manualmente as permissões necessárias. DataSync define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só DataSync pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus DataSync recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para DataSync
DataSync usa a função vinculada ao serviço chamada **AWSServiceRoleForDataSync**— Permite realizar operações essenciais para DataSync a execução de tarefas de transferência, incluindo a leitura de segredos e a criação de AWS Secrets Manager grupos e eventos de CloudWatch log.
A função AWSService RoleForDataSync vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `datasync.amazonaws.com`
A função vinculada ao serviço usa a política AWS gerenciada chamada [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy), que permite DataSync concluir as seguintes ações nos recursos especificados:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para DataSync
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma DataSync tarefa na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, DataSync cria a função vinculada ao serviço para você.
Na AWS CLI ou na AWS API, você pode criar uma função vinculada ao serviço com o nome do `datasync.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma DataSync tarefa, DataSync cria a função vinculada ao serviço para você novamente.
Se excluir esse perfil vinculado ao serviço, será possível usar o mesmo processo do IAM para criar o perfil novamente.
## Editando uma função vinculada ao serviço para DataSync
DataSync não permite que você edite a função AWSService RoleForDataSync vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para DataSync
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.
**nota**
Se o DataSync serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir DataSync recursos usados pelo AWSService RoleForDataSync**
1. [Exclua DataSync os agentes](clean-up.md#deleting-agent) usados pela tarefa (se houver).
1. [Exclua os locais da tarefa](clean-up.md#deleting-location).
1. [Exclua a tarefa](clean-up.md#delete-task).
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForDataSync vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a DataSync serviços
DataSync suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Permissões para marcar DataSync recursos durante a criação
Algumas ações de AWS DataSync API de criação de recursos permitem que você especifique tags ao criar o recurso. É possível usar tags de recursos para implantar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
Para permitir que os usuários marquem recursos na criação, eles devem ter permissões para usar a ação que cria o recurso, como `datasync:CreateAgent` ou `datasync:CreateTask`. Se as tags forem especificadas na ação de criação de recursos, os usuários também precisarão ter permissões claras para usar a ação `datasync:TagResource`.
A ação `datasync:TagResource` será avaliada somente se as tags forem aplicadas durante a ação resource-creating. Portanto, um usuário que tiver permissões para criar um recurso (pressupondo-se que não existam condições de marcação) não precisa de permissão para usar a ação `datasync:TagResource` se nenhuma tag for especificada na solicitação.
Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação `datasync:TagResource`.
## Exemplo de instruções de política do IAM
Use o exemplo de declarações de política do IAM a seguir para conceder `TagResource` permissões aos usuários que criam DataSync recursos.
A declaração a seguir permite que os usuários DataSync marquem um agente ao criar o agente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
A declaração a seguir permite que os usuários DataSync marquem um local ao criá-lo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
A declaração a seguir permite que os usuários DataSync marquem uma tarefa ao criá-la.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS DataSync concedem outro serviço ao recurso. Se você utilizar ambas as chaves de contexto de condição global e o valor de `aws:SourceArn` contiver o ID da conta, o valor de `aws:SourceAccount` e a conta no valor de `aws:SourceArn` deverão utilizar o mesmo ID de conta quando utilizados na mesma declaração da política. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. Use `aws:SourceAccount` se quiser que qualquer recurso nessa conta seja associado ao uso entre serviços.
O valor de `aws:SourceArn` deve incluir o ARN do DataSync local com o qual DataSync é permitido assumir a função do IAM.
A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo ou estiver especificando vários recursos, use os caracteres curingas (`*`) para as partes desconhecidas. Aqui estão alguns exemplos de como fazer isso para DataSync:
+ Para limitar a política de confiança a um DataSync local existente, inclua o ARN completo do local na política. DataSync assumirá a função do IAM somente ao lidar com aquele local específico.
+ Ao criar um local do Amazon S3 para DataSync, você não sabe o ARN do local. Nesses cenários, use o seguinte formato para a chave `aws:SourceArn`: `arn:aws:datasync:us-east-2:123456789012:*`. Este formato valida a partição (`aws`), o ID da conta e a região.
O exemplo completo a seguir mostra como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto em uma política de confiança para evitar o problema confuso do substituto com DataSync.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
Para obter mais exemplos de políticas que mostram como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e com DataSync, consulte os tópicos a seguir:
+ [Crie uma relação de confiança que permita DataSync acessar seu bucket do Amazon S3](using-identity-based-policies.md#datasync-example1)
+ [Configurar um perfil do IAM para acessar o bucket do Amazon S3](create-s3-location.md#create-role-manually)