As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Políticas gerenciadas pelo cliente do IAM para AWS DataSync
Além das políticas AWS gerenciadas, você também pode criar suas próprias políticas baseadas em identidade AWS DataSync e anexá-las às identidades AWS Identity and Access Management (IAM) que exigem essas permissões. *Políticas gerenciadas pelo cliente* são políticas autônomas que você administra na sua própria Conta da AWS.
**Importante**
Antes de começar, recomendamos que você conheça os conceitos básicos e as opções para gerenciar o acesso aos seus DataSync recursos. Para obter mais informações, consulte [Gerenciamento de acesso para AWS DataSync](managing-access-overview.md).
Ao criar uma política gerenciada pelo cliente, você inclui declarações sobre DataSync operações que podem ser usadas em determinados AWS recursos. A política de exemplo a seguir tem duas declarações (observe os elementos `Action` e `Resource` em ambas as declarações):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
As declarações da política fazem o seguinte:
+ A primeira declaração concede permissões para realizar a ação `datasync:DescribeTask` em determinados recursos da tarefa de transferência especificando um nome do recurso da Amazon (ARN) com um caractere curinga (`*`).
+ A segunda instrução concede permissões para realizar a ação `datasync:ListTasks` em todas as tarefas especificando apenas um caractere curinga (`*`).
## Exemplos de políticas gerenciadas pelo cliente
O exemplo a seguir de políticas gerenciadas pelo cliente concede permissões para várias DataSync operações. As políticas funcionam se você estiver usando o AWS Command Line Interface (AWS CLI) ou um AWS SDK. Para usar essas políticas no console, você também deve usar a política gerenciada `AWSDataSyncFullAccess`.
**Topics**
+ [Exemplo 1: Crie uma relação de confiança que permita DataSync acessar seu bucket do Amazon S3](#datasync-example1)
+ [Exemplo 2: Permitir DataSync a leitura e gravação em seu bucket do Amazon S3](#datasync-example2)
+ [Exemplo 3: Permitir DataSync o upload de registros para grupos de CloudWatch registros](#datasync-example4)
### Exemplo 1: Crie uma relação de confiança que permita DataSync acessar seu bucket do Amazon S3
Veja a seguir um exemplo de uma política de confiança que permite DataSync assumir uma função do IAM. Essa função permite DataSync acessar um bucket do Amazon S3. Para evitar o [problema adjunto confuso de vários serviços](cross-service-confused-deputy-prevention.md), recomendamos usar as chaves de contexto de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) na política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Exemplo 2: Permitir DataSync a leitura e gravação em seu bucket do Amazon S3
O exemplo de política DataSync a seguir concede as permissões mínimas para ler e gravar dados em um bucket do S3 usado como local de destino.
**nota**
O valor de `aws:ResourceAccount` deve ser o ID da conta proprietária do bucket do Amazon S3 especificado na política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Exemplo 3: Permitir DataSync o upload de registros para grupos de CloudWatch registros
DataSync requer permissões para poder fazer upload de registros para seus grupos de CloudWatch registros da Amazon. Você pode usar grupos de CloudWatch registros para monitorar e depurar suas tarefas.
Para obter um exemplo de política do IAM que concede essas permissões, consulte [DataSync Permitindo o upload de registros para um grupo de CloudWatch registros](configure-logging.md#cloudwatchlogs).