As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança na Amazon FSx
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS serviços na Amazon Web Services Cloud. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao Amazon FSx para Windows File Server, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon FSx para Windows File Server. Os tópicos a seguir mostram como configurar o Amazon FSx para Windows File Server para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do Amazon FSx para Windows File Server.
**Topics**
+ [Proteção de dados no Amazon FSx para Windows File Server](data-protection-encryption.md)
+ [Controle de acesso em nível de arquivo e pasta usando o Windows ACLs](limit-access-file-folder.md)
+ [Controle de acesso ao sistema de arquivos com a Amazon VPC](limit-access-security-groups.md)
+ [Como registrar em log o acesso de usuário final com auditoria de acesso a arquivos](file-access-auditing.md)
+ [Gerenciamento de identidade e acesso para Amazon FSx para Windows File Server](security-iam.md)
+ [Validação de conformidade do Amazon FSx para Windows File Server](fsx-compliance.md)
+ [Amazon FSx para Windows File Server e endpoints da VPC da interface](fsx-vpc-endpoints.md)
# Proteção de dados no Amazon FSx para Windows File Server
O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Amazon FSx para Windows File Server. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o FSx para Windows File Server ou com outros Serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados no FSx para Windows File Server
O Amazon FSx para Windows File Server oferece suporte à criptografia de dados em repouso e dados em trânsito. A criptografia de dados em repouso é habilitada automaticamente ao criar um sistema de arquivos do Amazon FSx. A criptografia de dados em trânsito é compatível com compartilhamentos de arquivos mapeados em uma instância de computação que seja compatível com o protocolo SMB 3.0 ou mais recente. O Amazon FSx criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa seu sistema de arquivos, sem a necessidade de modificar suas aplicações.
### Quando usar a criptografia
Se sua organização está sujeita a políticas corporativas ou regulatórias que exigem a criptografia de dados e metadados em repouso, recomendamos a criação de um sistema de arquivos criptografado para montar seus sistema usando a criptografia de dados em trânsito.
Se sua organização estiver sujeita a políticas corporativas ou regulatórias que exigem criptografia de dados e metadados em repouso, seus dados serão automaticamente criptografados em repouso. É recomendável também que você habilite a criptografia de dados em trânsito montando seu sistema de arquivos com o uso da criptografia de dados em trânsito.
# Criptografia de dados em repouso
Todos os sistemas de arquivos do Amazon FSx são criptografados em repouso com chaves gerenciadas usando o AWS Key Management Service (AWS KMS). Os dados são criptografados automaticamente antes de serem gravados no sistema de arquivos e automaticamente decriptografados à medida que são lidos. Esses processos são tratados de maneira transparente pelo Amazon FSx. Portanto, não é necessário modificar as aplicações.
O Amazon FSx usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados em repouso do Amazon FSx. Para obter mais informações, consulte [Cryptography Basics](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) no *Guia do desenvolvedor do AWS Key Management Service*.
**nota**
A infraestrutura de gerenciamento de chaves da AWS usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).
## Como o Amazon FSx usa o AWS KMS
O Amazon FSx integra-se ao AWS KMS para gerenciamento de chaves. O Amazon FSx usa um AWS KMS key para criptografar seu sistema de arquivos. Você escolhe a chave do KMS usada para criptografar e decriptografar sistemas de arquivos (dados e metadados). É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:
+ **Chave gerenciada pela AWS** – essa é a chave padrão do KMS e seu uso é gratuito.
+ **Chave gerenciada pelo cliente**: essa é a chave do KMS mais flexível para usar, pois é possível configurar suas políticas de chaves e concessões para diversos usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte [Criar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service*.
Se você usar uma chave gerenciada pelo cliente como a chave do KMS para descriptografia e criptografia de dados de arquivos, poderá habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desativar, reativar, excluir ou revogar o acesso à sua chave do KMS a qualquer momento. Para obter mais informações, consulte [Rotating AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) no *Guia do desenvolvedor do AWS Key Management Service*.
## Políticas de chave do Amazon FSx para o AWS KMS
Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte [Using key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service*.A lista a seguir descreve todas as permissões relacionadas ao AWS KMS com suporte do Amazon FSx para sistemas de arquivos criptografados em repouso:
+ **kms:Encrypt**: (opcional) criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt** - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto não criptografado que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms:ReEncrypt**: (Opcional) criptografa dados no lado do servidor com uma nova chave do KMS, sem a necessidade de expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms:GenerateDataKeyWithoutPlaintext**: (obrigatório) retorna uma chave de criptografia de dados criptografada em uma chave do KMS. Essa permissão está incluída na política de chave padrão, em **kms:GenerateDataKey\$1**.
+ **kms:CreateGrant** - (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e em que condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte [Uso de concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no Guia do desenvolvedor do AWS Key Management Service. Essa permissão está incluída na política de chaves padrão.
+ **kms:DescribeKey**: (obrigatório) fornece informações detalhadas sobre a chave do KMS especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms:ListAliases**: (opcional) lista todos os aliases de chaves na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista de chaves do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.
# Criptografia de dados em trânsito
A criptografia de dados em trânsito é compatível com compartilhamentos de arquivos mapeados em uma instância de computação que seja compatível com o protocolo SMB 3.0 ou mais recente. Isso inclui todas as versões do Windows a partir do Windows Server 2012 e do Windows 8, e todos os clientes Linux com o cliente Samba versão 4.2 ou mais recente. O Amazon FSx para Windows File Server criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa o sistema de arquivos, sem a necessidade de modificar suas aplicações.
A criptografia SMB usa AES-128-GCM ou AES-128-CCM (com a variante GCM sendo escolhida se o cliente for compatível com SMB 3.1.1) como algoritmo de criptografia e também fornece integridade de dados com assinatura usando chaves de sessão SMB do Kerberos. O uso do AES-128-GCM leva a uma melhor performance, por exemplo, até 2x mais performance ao copiar arquivos grandes em conexões SMB criptografadas.
Para atender aos requisitos de conformidade para sempre criptografar os dados em trânsito, você pode limitar o acesso ao sistema de arquivos para permitir o acesso apenas a clientes que são compatíveis com a criptografia SMB. Você também pode ativar ou desativar a criptografia em trânsito por compartilhamento de arquivo ou para todo o sistema de arquivos. Isso permite que você tenha uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos.
## Como gerenciar criptografia em trânsito
Você pode usar um conjunto de comandos personalizados do PowerShell para controlar a criptografia dos dados em trânsito entre o sistema de arquivos do FSx para Windows File Server e os clientes. Você pode limitar o acesso ao sistema de arquivos somente a clientes que oferecem suporte à criptografia SMB, para que os dados em trânsito sejam sempre criptografados. Quando a imposição é ativada para criptografia de dados em trânsito, os usuários que acessam o sistema de arquivos de clientes que não oferecem suporte à criptografia SMB 3.0 não poderão acessar compartilhamentos de arquivos para os quais a criptografia está ativada.
Você também pode controlar a criptografia de dados em trânsito no nível do compartilhamento de arquivos, em vez de no nível do servidor de arquivos. Você pode usar controles de criptografia em nível de compartilhamento de arquivos para ter uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos, se quiser impor a criptografia em trânsito para alguns compartilhamentos de arquivos que tenham dados confidenciais e permitir que todos os usuários acessem outros compartilhamentos de arquivos. A criptografia do servidor tem precedência sobre a criptografia em nível de compartilhamento. Se a criptografia global estiver habilitada, você não poderá desabilitar seletivamente a criptografia para determinados compartilhamentos.
Você pode gerenciar a criptografia em trânsito em seu sistema de arquivos usando a CLI do Amazon FSx para gerenciamento remoto no PowerShell. Para saber como usar essa CLI, consulte [Usando a Amazon FSx CLI para PowerShell](administering-file-systems.md#remote-pwrshell).
A seguir estão os comandos que você pode usar para gerenciar a criptografia em trânsito do usuário em seu sistema de arquivos.
| Comando de criptografia em trânsito | Descrição |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | Recupera a configuração do servidor Server Message Block (SMB). Na resposta do sistema, você pode escolher a criptografia nas configurações de trânsito do sistema de arquivos com base nos valores das propriedades `EncryptData` e `RejectUnencryptedAccess`. |
| **Set-FSxSmbServerConfiguration** | Esse comando tem duas opções para configurar globalmente a criptografia em trânsito no sistema de arquivos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Defina esse parâmetro como `True` para ativar a criptografia de dados em trânsito para o compartilhamento. Defina esse parâmetro como `False` para desativar a criptografia de dados em trânsito para o compartilhamento. |
A ajuda on-line de cada comando fornece uma referência de todas as opções de comando. Para acessar essa ajuda, execute o comando com **-?**, por exemplo **Get-FSxSmbServerConfiguration -?**.
# Controle de acesso em nível de arquivo e pasta usando o Windows ACLs
O Amazon FSx para Windows File Server oferece suporte à autenticação baseada em identidade por meio do protocolo Server Message Block (SMB) por meio do Microsoft Active Directory. O Active Directory é o serviço de diretório da Microsoft para armazenar informações sobre objetos na rede e facilitar a localização e o uso dessas informações por administradores e usuários. Esses objetos normalmente incluem recursos compartilhados, como servidores de arquivos e contas de usuários e computadores da rede. Para saber mais sobre o suporte do Active Directory na Amazon FSx, consulte[Trabalhar com o Microsoft Active Directory](aws-ad-integration-fsxW.md).
Suas instâncias computacionais associadas ao domínio podem acessar compartilhamentos de FSx arquivos da Amazon usando as credenciais do Active Directory. Você usa listas de controle de acesso padrão do Windows (ACLs) para um controle de acesso refinado em nível de arquivo e pasta. Os sistemas de FSx arquivos da Amazon verificam automaticamente as credenciais dos usuários que acessam os dados do sistema de arquivos para aplicar esses Windows. ACLs
Todo sistema de FSx arquivos da Amazon vem com um compartilhamento de arquivos padrão do Windows chamado`share`. O Windows ACLs dessa pasta compartilhada está configurado para permitir o read/write acesso a **usuários autenticados**, incluindo usuários no domínio ao qual o sistema de arquivos está associado e usuários em domínios com uma relação de confiança. Elas também permitem o controle total do grupo de administradores delegados no Active Directory, que é delegado para executar ações administrativas nos sistemas de arquivos. Se você estiver integrando seu sistema de arquivos com o AWS Managed Microsoft AD, esse grupo é AWS Delegated FSx Administrators. Se você estiver integrando o sistema de arquivos com a configuração do AD autogerenciado da Microsoft, esse grupo pode ser de administradores de domínio. Ou ele pode ser um grupo de administradores delegados personalizado que você especificou ao criar o sistema de arquivos. Para alterar o ACLs, você pode mapear o compartilhamento como um usuário que é membro do grupo de administradores delegados.
| |
| --- |
| A Amazon FSx exige que o usuário SYSTEM tenha permissões de NTFS ACL de **controle total** em todas as pastas do seu sistema de arquivos. Não altere as permissões de NTFS ACL para esse usuário em suas pastas. Isso pode tornar o compartilhamento de arquivos inacessível e impedir que os backups do sistema de arquivos possam ser usados. |
## Links relacionados
+ [O que é AWS Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) no Guia AWS Directory Service de administração.
+ [Crie seu diretório AWS gerenciado do Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) no *Guia de AWS Directory Service Administração*.
+ [When to Create a Trust Relationship](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) no *Guia de administração do AWS Directory Service *.
+ [Etapa 1. Configurar um Active Directory](getting-started.md#prereq-step1).
# Controle de acesso ao sistema de arquivos com a Amazon VPC
Você acessa seu sistema de FSx arquivos da Amazon por meio de uma interface de rede elástica. Essa interface de rede reside na nuvem privada virtual (VPC) com base no serviço Amazon Virtual Private Cloud (Amazon VPC) que você associa ao seu sistema de arquivos. Você se conecta ao seu sistema de FSx arquivos da Amazon por meio do nome Domain Name Service (DNS). O nome DNS é mapeado para o endereço IP privado da interface de rede elástica do sistema de arquivos em sua VPC. Somente recursos dentro da VPC associada, recursos conectados à VPC associada por Direct Connect ou VPN ou recursos dentro do peering VPCs podem acessar a interface de rede do seu sistema de arquivos. Para obter mais informações, consulte [O que é a Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) no *Guia do usuário da Amazon VPC*.
**Atenção**
Você não deve modificar nem excluir as interfaces de rede elástica associadas ao seu sistema de arquivos. A modificação ou a exclusão da interface de rede pode causar uma perda permanente de conexão entre a VPC e o sistema de arquivos.
FSx para Windows, o File Server oferece suporte ao compartilhamento de VPC, o que permite que você visualize, crie, modifique e exclua recursos em uma sub-rede compartilhada em uma VPC de propriedade de outra conta. AWS Para obter mais informações, consulte Como [trabalhar com o Shared VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no Guia do *usuário da Amazon VPC*.
## Grupos de segurança da Amazon VPC
Para controlar ainda mais o tráfego de rede que passa pela(s) interface(s) de rede elástica(s) do seu sistema de arquivos na VPC, use grupos de segurança para limitar o acesso aos sistemas de arquivos. Um *grupo de segurança* é um firewall com estado que controla o tráfego de e para suas interfaces de rede associadas. Nesse caso, o recurso associado é(são) a(s) interface(s) de rede do seu sistema de arquivos.
Para usar um grupo de segurança para controlar o acesso ao seu sistema de FSx arquivos da Amazon, adicione regras de entrada e saída. As regras de entrada controlam o tráfego de entrada e as regras de saída controlam o tráfego de saída do sistema de arquivos. Certifique-se de ter as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de FSx arquivos do sistema de arquivos da Amazon em uma pasta na sua instância computacional compatível.
Para obter mais informações sobre regras de grupo de segurança, consulte [Regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules) no *Guia do usuário do Amazon EC2*.
**Para criar um grupo de segurança para a Amazon FSx**
1. [Abra o console do Amazon EC2 em https://console.aws.amazon.com /ec2.](https://console.aws.amazon.com/ec2)
1. No painel de navegação, escolha **Grupos de segurança**.
1. Escolha **Create Security Group**.
1. Especifique um nome e uma descrição para o grupo de segurança.
1. Para **VPC**, escolha a Amazon VPC associada ao seu sistema de arquivos para criar o grupo de segurança dentro dessa VPC.
1. Adicione as seguintes regras para permitir o tráfego de rede de saída nas seguintes portas:
1. Em **Grupos de segurança da VPC**, o grupo de segurança padrão para a Amazon VPC padrão já está adicionado ao sistema de arquivos no console. Certifique-se de que o grupo de segurança e a rede VPC da (s) sub-rede ACLs (s) em que você está criando seu sistema de FSx arquivos permitam tráfego nas portas e nas direções mostradas no diagrama a seguir.
![\[FSx para requisitos de configuração de portas do Windows File Server para grupos de segurança de VPC e rede ACLs para as sub-redes em que o sistema de arquivos está sendo criado.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
A tabela a seguir identifica o perfil de cada porta.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**Importante**
É necessário permitir o tráfego de saída na porta TCP 9389 para implantações de sistemas de arquivos single-AZ 2 e todas as implantações de sistemas de arquivos multi-AZ.
1. Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio, servidores DNS, clientes e administradores do AD. FSx FSx
**Importante**
Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e da rede VPC ACLs exigem que as portas sejam abertas em ambas as direções.
**nota**
Se você tiver sites do Active Directory definidos, você deve ter certeza de que as sub-redes na VPC associadas ao seu sistema de arquivos da FSx Amazon estejam definidas em um site do Active Directory e que não existam conflitos entre as sub-redes em sua VPC e as sub-redes em seus outros sites. Você pode exibir e alterar essas configurações usando o snap-in do MMC de Serviços e Sites do Active Directory.
**nota**
Em alguns casos, você pode ter modificado as regras do grupo de segurança do AWS Managed Microsoft AD com base nas configurações padrão. Nesse caso, certifique-se de que esse grupo de segurança tenha as regras de entrada necessárias para permitir o tráfego do seu sistema de FSx arquivos da Amazon. Para obter mais informações sobre as regras de entrada necessárias, consulte [Pré-requisitos do AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html) no *Guia de administração do AWS Directory Service *.
Agora que você criou seu grupo de segurança, você pode associá-lo à (s) interface (s) de rede elástica do seu sistema de FSx arquivos Amazon.
**Para associar um grupo de segurança ao seu sistema de FSx arquivos da Amazon**
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. No painel, escolha seu sistema de arquivos para visualizar seus detalhes.
1. Selecione a guia **Rede e segurança** e escolha a(s) interface(s) de rede do seu sistema de arquivos; por exemplo, **ENI-01234567890123456**. Para sistemas de arquivos single-AZ, você verá uma única interface de rede. Para sistemas de arquivos multi-AZ, você verá uma interface de rede na sub-rede preferencial e uma na sub-rede em espera.
1. Para cada interface de rede, escolha a interface de rede e, em **Ações**, selecione **Alterar grupos de segurança**.
1. Na caixa de diálogo **Alterar grupos de segurança**, escolha os grupos de segurança a serem usados e selecione **Salvar**.
### Proibir acesso a um sistema de arquivos
Para proibir temporariamente o acesso de todos os clientes à rede ao seu sistema de arquivos, você pode remover todos os grupos de segurança associados à (s) interface (s) elástica (s) de rede do seu sistema de arquivos e substituí-los por um grupo sem inbound/outbound regras.
## Rede Amazon VPC ACLs
Outra opção para proteger o acesso ao sistema de arquivos em sua VPC é estabelecer listas de controle de acesso à rede ( ACLsrede). ACLs As redes são separadas dos grupos de segurança, mas têm funcionalidades semelhantes para adicionar uma camada adicional de segurança aos recursos em sua VPC. Para obter mais informações sobre rede ACLs, consulte [Rede ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html) no Guia do *usuário da Amazon VPC*.
# Como registrar em log o acesso de usuário final com auditoria de acesso a arquivos
O Amazon FSx para Windows File Server oferece suporte à auditoria do acesso do usuário final a arquivos, pastas e compartilhamentos de arquivos. Você pode optar por enviar os logs de eventos de auditoria de um sistema de arquivos para outros serviços da AWS que oferecem um conjunto avançado de recursos. Isso inclui permitir consultar, processar, armazenar e arquivar logs, emitir notificações e acionar ações para aprimorar ainda mais suas metas de segurança e conformidade.
Para obter mais informações sobre o uso da auditoria de acesso a arquivos para obter insights sobre padrões de acesso e implementar notificações de segurança para a atividade do usuário final, consulte [File storage access patterns insights](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) e [Implementing security notifications for end user activity](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/).
**nota**
A auditoria de acesso a arquivos é suportada somente em sistemas FSx de arquivos Windows com uma capacidade de taxa de transferência de 32 MBps ou mais. Você pode modificar a capacidade de throughput em sistemas de arquivos existentes. Para obter mais informações, consulte [Como gerenciar a capacidade de throughput](managing-throughput-capacity.md).
A auditoria de acesso a arquivos permite que você registre os acessos de usuários finais a arquivos, pastas e compartilhamentos de arquivos individuais com base nos controles de auditoria definidos. Os controles de auditoria também são conhecidos como listas de controle de acesso do sistema NTFS (SACLs). Se você já tem controles de auditoria configurados em seus dados de arquivos existentes, você pode tirar proveito da auditoria de acesso a arquivos criando um novo sistema de arquivos Amazon FSx para Windows File Server e migrando seus dados.
A Amazon FSx oferece suporte aos seguintes eventos de auditoria do Windows para acessos a arquivos, pastas e compartilhamentos de arquivos:
+ Para acessos a arquivos, ele é compatível com: Tudo, Ir para pasta/Executar arquivo, Listar pasta/Ler dados, Ler atributos, Criar arquivos/Gravar dados, Criar pastas/Anexar dados, Gravar recursos, Excluir subpastas e arquivos, Excluir, Ler permissões, Alterar permissões e Assumir propriedade.
+ Para acessos ao compartilhamento de arquivos, ele é compatível com: Conectar com um compartilhamento de arquivos.
Em todos os acessos a arquivos, pastas e compartilhamentos de arquivos, a Amazon FSx suporta o registro de tentativas bem-sucedidas (como um usuário com permissões suficientes acessando com sucesso um arquivo ou compartilhamento de arquivos), tentativas malsucedidas ou ambas.
Você pode configurar se deseja auditoria de acesso somente em arquivos e pastas, somente em compartilhamentos de arquivos ou em ambos. Você também pode configurar quais tipos de acesso devem ser registrados em log (somente tentativas com êxito, somente tentativas malsucedidas ou ambas). Você também pode desativar a auditoria de acesso a arquivos a qualquer momento.
**nota**
A auditoria de acesso a arquivos registra os dados de acesso do usuário final somente a partir do momento em que estiver habilitada. Ou seja, a auditoria de acesso a arquivos não gera logs de eventos de auditoria de atividades de acesso a arquivos, pastas e compartilhamentos de arquivos do usuário final que ocorreram antes da habilitação da auditoria de acesso a arquivos.
A taxa máxima de eventos de auditoria de acesso compatível é de cinco mil eventos por segundo. Os eventos de auditoria de acesso não são gerados para cada operação de leitura e gravação de arquivo, mas são gerados uma vez por operação de metadados de arquivo, como quando um usuário cria, abre ou exclui um arquivo.
**Topics**
+ [Destinos dos logs de eventos de auditoria](#faa-log-destinations)
+ [Como migrar seus controles de auditoria](#migrate-faa)
+ [Como visualizar logs de eventos](#view-faa-logs)
+ [Como configurar os controles de auditoria de arquivos e pastas](faa-audit-controls.md)
+ [Como gerenciar a auditoria de acesso a arquivos](manage-faa.md)
## Destinos dos logs de eventos de auditoria
Ao habilitar a auditoria de acesso a arquivos, você deve configurar um AWS serviço para o qual a Amazon FSx envia os registros de eventos de auditoria. Você pode enviar registros de eventos de auditoria para um stream de CloudWatch logs do Amazon Logs em um grupo de CloudWatch logs do Logs ou para um stream de entrega do Amazon Data Firehose. Você escolhe o destino dos registros de eventos de auditoria ao criar seu sistema de arquivos Amazon FSx para Windows File Server ou a qualquer momento ao atualizar um sistema de arquivos existente. Para obter mais informações, consulte [Como gerenciar a auditoria de acesso a arquivos](manage-faa.md).
Veja abaixo algumas recomendações que podem ajudar você a decidir qual destino dos logs de eventos de auditoria escolher:
+ Escolha CloudWatch Logs se quiser armazenar, visualizar e pesquisar registros de eventos de auditoria no CloudWatch console da Amazon, executar consultas nos CloudWatch registros usando o Logs Insights e acionar CloudWatch alarmes ou funções Lambda.
+ Escolha o Amazon Data Firehose se quiser transmitir continuamente eventos para armazenamento no Amazon S3, para um banco de dados no Amazon Redshift, para o OpenSearch Amazon Service ou para soluções de parceiros, como Splunk ou Datadog, AWS para análises adicionais.
Por padrão, a Amazon FSx criará e usará um grupo padrão de CloudWatch registros de registros em sua conta como destino do registro de eventos de auditoria. Se você quiser usar um grupo de registros de CloudWatch registros personalizado ou usar o Firehose como destino do registro de eventos de auditoria, aqui estão os requisitos para os nomes e locais do destino do registro de eventos de auditoria:
+ O nome do grupo de CloudWatch registros de registros deve começar com o `/aws/fsx/` prefixo. Se você não tiver um grupo de CloudWatch registros de registros existente ao criar ou atualizar um sistema de arquivos no console, a Amazon FSx poderá criar e usar um fluxo de registros padrão no grupo de CloudWatch `/aws/fsx/windows` registros de registros. Se você não quiser usar o grupo de registros padrão, a interface de configuração permite criar um grupo de CloudWatch registros de registros ao criar ou atualizar seu sistema de arquivos no console.
+ O nome do fluxo de entrega do Firehose deve começar com o prefixo `aws-fsx-`. Caso não tenha um fluxo de entrega existente do Firehose, você poderá criar um ao criar ou atualizar seu sistema de arquivos no console.
+ O fluxo de entrega do Firehose deve ser configurado para usar `Direct PUT` como sua fonte. Você não pode usar um fluxo de dados existente do Kinesis como fonte de dados para seu fluxo de entrega.
+ O destino (o grupo de CloudWatch registros do Logs ou o stream de entrega do Firehose) deve estar na mesma AWS partição e Conta da AWS no sistema de FSx arquivos da Amazon. Região da AWS
Você pode alterar o destino do registro de eventos de auditoria a qualquer momento (por exemplo, de CloudWatch Logs para Firehose). Ao fazer isso, os novos logs de eventos de auditoria serão enviados somente para o novo destino.
### Entrega de máximo esforço de logs de eventos de auditoria
Normalmente, os registros de logs de eventos de auditoria são entregues aos destinos em minutos, mas, às vezes, podem demorar um pouco. Em ocasiões muito raras, os registros de logs de eventos de auditoria podem ser perdidos. Se seu caso de uso exigir uma semântica específica (por exemplo, garantir que nenhum evento de auditoria seja perdido), recomendamos que você contabilize os eventos perdidos ao criar seus fluxos de trabalho. Você pode auditar eventos perdidos verificando a estrutura de arquivos e pastas em seu sistema de arquivos.
## Como migrar seus controles de auditoria
Se você tiver controles de auditoria (SACLs) já configurados em seus dados de arquivos existentes, você pode criar um sistema de FSx arquivos da Amazon e migrar seus dados para seu novo sistema de arquivos. Recomendamos usar AWS DataSync para transferir dados e os associados SACLs ao seu sistema de FSx arquivos da Amazon. Como solução alternativa, você pode usar o Robocopy (Robust File Copy). Para obter mais informações, consulte [Migração do armazenamento de arquivos existente para a Amazon FSx](migrate-to-fsx.md).
## Como visualizar logs de eventos
Você pode visualizar os registros de eventos de auditoria depois FSx que a Amazon começar a emiti-los. Onde e como você visualiza os logs, depende do destino dos logs de eventos de auditoria:
+ Você pode ver CloudWatch os registros de registros acessando o CloudWatch console e escolhendo o grupo de registros e o stream de registros para os quais seus registros de eventos de auditoria são enviados. Para obter mais informações, consulte [Exibir dados de log enviados para CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) no *Guia do usuário do Amazon CloudWatch Logs*.
Você pode usar o CloudWatch Logs Insights para pesquisar e analisar interativamente seus dados de registro. Para obter mais informações, consulte [Análise de dados de log com o CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), no *Guia do usuário do Amazon CloudWatch Logs*.
Você também pode exportar logs de eventos de auditoria para o Amazon S3. Para obter mais informações, consulte [Exportação de dados de log para o Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) S3, também no Guia do usuário do * CloudWatch Amazon Logs*.
+ Você não pode visualizar os logs de eventos de auditoria no Firehose. No entanto, você pode configurar o Firehose para encaminhar os logs para um destino no qual você possa ler. Os destinos incluem Amazon S3, Amazon Redshift, OpenSearch Amazon Service e soluções de parceiros, como Splunk e Datadog. Para obter mais informações, [consulte Escolha](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) o destino no Guia do desenvolvedor do *Amazon* Data Firehose.
### Campos de eventos de auditoria
Esta seção fornece descrições das informações nos logs de eventos de auditoria e exemplos de eventos de auditoria.
A seguir, estão as descrições dos campos relevantes em um evento de auditoria do Windows.
+ **EventID** refere-se à ID de evento do log de eventos do Windows definida pela Microsoft. Consulte a documentação da Microsoft para obter informações sobre [eventos do sistema de arquivos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) e [eventos de compartilhamento de arquivos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share).
+ **SubjectUserName**refere-se ao usuário que está realizando o acesso.
+ **ObjectName**refere-se ao arquivo, pasta ou compartilhamento de arquivos de destino que foi acessado.
+ **ShareName**está disponível para eventos gerados para acesso ao compartilhamento de arquivos. Por exemplo, o `EventID 5140` será gerado quando um objeto de compartilhamento de rede for acessado.
+ **IpAddress**refere-se ao cliente que iniciou o evento para eventos de compartilhamento de arquivos.
+ As **palavras-chave**, quando disponíveis, referem-se a se o acesso ao arquivo foi bem-sucedido ou falhou. Para acessos bem-sucedidos, o valor é `0x8020000000000000`. Para acessos malsucedidos, o valor é `0x8010000000000000`.
+ **TimeCreated SystemTime**refere-se à hora em que o evento foi gerado no sistema e exibido no formato Z. DDThh
+ **Computador** se refere ao nome DNS do sistema de arquivos Windows Remote PowerShell Endpoint e pode ser usado para identificar o sistema de arquivos.
+ **AccessMask**, quando disponível, refere-se ao tipo de acesso ao arquivo realizado (por exemplo, ReadData, WriteData).
+ **AccessList**refere-se ao acesso solicitado ou concedido a um objeto. Para obter detalhes, consulte a tabela abaixo e a documentação da Microsoft (conforme no [Evento 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).
| Tipo de acesso | Máscara de acesso | Valor |
| --- | --- | --- |
| Ler dados ou listar diretório | 0x1 | %%4416 |
| Gravar dados ou adicionar arquivo | 0x2 | %%4417 |
| Anexar dados ou adicionar subdiretório | 0x4 | %%4418 |
| Ler atributos estendidos | 0x8 | %%4419 |
| Gravar atributos estendidos | 0x10 | %%4420 |
| Executar ou percorrer | 0x20 | %%4421 |
| Excluir filho | 0x40 | %%4422 |
| Ler atributos | 0x80 | %%4423 |
| Atributos de gravação | 0x100 | %%4424 |
| Delete | 0x10000 | %%1537 |
| Ler a ACL | 0x20000 | %%1538 |
| Gravar a ACL | 0x40000 | %%1539 |
| Gravar o proprietário | 0x80000 | %%1540 |
| Sincronizar | 0x100000 | %%1541 |
| Acessar a ACL de segurança | 0x1000000 | %%1542 |
Veja abaixo alguns eventos importantes com exemplos. Observe que o XML é formatado para facilitar a leitura.
O **ID de evento 4660** será registrado quando um objeto for excluído.
```
466000
128000
0x8020000000000000
315452
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x50932f71Security
0x12e00x4
{00000000-0000-0000-0000-000000000000}
```
O **ID de evento 4659** será registrado em uma solicitação para excluir um arquivo.
```
465900128000
0x8020000000000000
308888
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\shar\event.txt
0x0{00000000-0000-0000-0000-000000000000}
%%1537
%%4423
0x10080-
0x4
```
O **ID de evento 4663** será registrado quando uma operação específica for executada no objeto. O exemplo a seguir mostra a leitura de dados de um arquivo, que podem ser interpretados na `AccessList %%4416`.
```
4663< /EventID>10128000
0x8020000000000000
308831
Securityamznfsxgyzohmw8.example.com
< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0x101c%%4416
0x10x4
S:AI
```
O exemplo a seguir mostra write/append dados de um arquivo, que podem ser interpretados a partir de`AccessList %%4417`.
```
466310128000
0x8020000000000000
308838
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0xa38%%4417
0x20x4
S:AI
```
O **ID de evento 4656** indica que um acesso específico foi solicitado para um objeto. No exemplo a seguir, a solicitação de leitura foi iniciada para ObjectName “permtest” e foi uma tentativa malsucedida, conforme visto no valor de palavras-chave de`0x8010000000000000`.
```
465610128000
0x8010000000000000
308919
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0x0{00000000-0000-0000-0000-000000000000}
%%1541
%%4416
%%4423
%%1541: %%1805
%%4416: %%1805
%%4423: %%1811 D:(A;OICI;0x1301bf;;;AU)
0x100081-
00x4
-
```
O **ID de evento 4670** é registrado quando as permissões de um objeto são alteradas. O exemplo a seguir mostra que o usuário “admin” modificou a permissão em “permtest” para adicionar permissões ao SID ObjectName “S-1-5-21-658495921-4185342820-3824891517-1113". Consulte a documentação da Microsoft para obter mais informações sobre como interpretar as permissões.
```
467000
1357000x8020000000000000
308992
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0xcc8
D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)
D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)0x4
```
O **ID de evento 5140** é registrado sempre que um compartilhamento de arquivo é acessado.
```
514010128080
0x8020000000000000
308947
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-2620
EC2AMAZ-1GP4HMN$example
0x2d4ca529File172.45.6.789
49730\\AMZNFSXCYDKLDZZ\share
\??\D:\share0x1%%4416
```
O **ID de evento 5145** é registrado quando o acesso é negado no nível do compartilhamento de arquivos. O exemplo a seguir mostra que o acesso a ShareName “demoshare01" foi negado.
```
514500
1281100x8010000000000000
282939
Security
amznfsxtmn9autz.example.com
S-1-5-21-658495921-4185342820-3824891517-
1113Adminexample
0x95b3fb7File
172.31.7.11259979
\\AMZNFSXDPNTE0DC\demoshare01\??\D:\demoshare01
Desktop.ini0x120089
%%1538 %%1541 %%4416 %%4419 %%4423 %%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805
```
Se você usar o CloudWatch Logs Insights para pesquisar seus dados de registro, poderá executar consultas nos campos de eventos, conforme mostrado nos exemplos a seguir:
+ Para consultar um ID de evento específico:
```
fields @message
| filter @message like /4660/
```
+ Para consultar todos os eventos que correspondem a um nome de arquivo específico:
```
fields @message
| filter @message like /event.txt/
```
Para obter mais informações sobre a linguagem de consulta do CloudWatch Logs Insights, consulte [Análise de dados de log com o CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), no *Guia do usuário do Amazon CloudWatch Logs*.
# Como configurar os controles de auditoria de arquivos e pastas
Você precisa definir controles de auditoria nos arquivos e pastas que você deseja auditar quanto a tentativas de acesso do usuário. Os controles de auditoria também são conhecidos como listas de controle de acesso do sistema NTFS (SACLs).
Você configura os controles de auditoria usando a interface GUI nativa do Windows ou programaticamente usando comandos do Windows. PowerShell Se a herança estiver habilitada, você normalmente precisará definir controles de auditoria somente nas pastas de nível superior nas quais deseja registrar os acessos.
## Como usar a GUI do Windows para definir o acesso de auditoria
Para usar uma GUI para definir controles de auditoria em seus arquivos e pastas, use o Explorador de Arquivos do Windows. Em um determinado arquivo ou pasta, abra o Explorador de Arquivos do Windows e selecione a guia **Propriedades > Segurança > Avançado > Auditoria**.
O exemplo de controle de auditoria a seguir audita eventos com êxito de uma pasta. Uma entrada de logs de eventos do Windows será emitida sempre que esse identificador for aberto para leitura com êxito pelo usuário administrador.
![\[\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)
O campo **Tipo** indica quais ações você deseja auditar. Defina esse campo como **Com êxito** para tentativas de auditoria com êxito, como **Falha** para tentativas de auditoria com falha ou **Tudo** para tentativas de auditoria com êxito e com falha.
Para obter mais informações sobre os campos de entrada de auditoria, consulte [ Apply a basic audit policy on a file or folder](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) na documentação da Microsoft.
## Usando PowerShell comandos para definir o acesso de auditoria
Você pode usar o comando `Set-Acl` do Microsoft Windows para definir a SACL de auditoria em qualquer arquivo ou pasta. Para obter informações sobre esse comando, consulte a documentação do [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1) da Microsoft.
Veja a seguir um exemplo do uso de uma série de PowerShell comandos e variáveis para definir o acesso de auditoria para tentativas bem-sucedidas. Você pode adaptar esses comandos de exemplo para atender às necessidades do seu sistema de arquivos.
```
$path = "C:\Users\TestUser\Desktop\DemoTest\"
$ACL = Get-Acl $path
$ACL | Format-List
$AuditUser = "TESTDOMAIN\TestUser"
$AuditRules = "FullControl"
$InheritType = "ContainerInherit,ObjectInherit"
$AuditType = "Success"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)
$ACL.SetAuditRule($AccessRule)
$ACL | Set-Acl $path
Get-Acl $path -Audit | Format-List
```
# Como gerenciar a auditoria de acesso a arquivos
Você pode ativar a auditoria de acesso a arquivos ao criar um novo sistema de arquivos Amazon FSx para Windows File Server. A auditoria de acesso a arquivos é desativada por padrão quando você cria um sistema de arquivos a partir do FSx console da Amazon.
Em sistemas de arquivos existentes que têm a auditoria de acesso a arquivos habilitada, você pode alterar as configurações de auditoria de acesso a arquivos, incluindo a alteração dos tipos de tentativa de acesso para acessos a arquivos e compartilhamentos de arquivos e o destino dos logs de eventos de auditoria. Você pode realizar essas tarefas usando o FSx console ou a AWS CLI API da Amazon.
**nota**
A auditoria de acesso a arquivos é suportada somente nos sistemas de arquivos Amazon FSx para Windows File Server com uma capacidade de taxa de transferência de 32 MBps ou mais. Você não pode criar ou atualizar um sistema de arquivos com uma capacidade de transferência inferior a 32 MBps se a auditoria de acesso a arquivos estiver habilitada. Você pode modificar a capacidade de throughput a qualquer momento depois de criar o sistema de arquivos. Para obter mais informações, consulte [Como gerenciar a capacidade de throughput](managing-throughput-capacity.md).
## Habilitar a auditoria de acesso a arquivos ao criar um sistema de arquivos (console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Siga o procedimento para a criação de um novo sistema de arquivos descrito na [Etapa 5. Criar seu sistema de arquivos](getting-started.md#getting-started-step1) na seção de Conceitos básicos.
1. Abra a seção **Auditoria: opcional**. A auditoria de acesso a arquivos é desabilitada por padrão.
![\[\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-create-wizard.png)
1. Para habilitar e configurar a auditoria de acesso a arquivos, siga o procedimento a seguir.
+ Em **Registrar acesso a arquivos e pastas**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para arquivos e pastas caso você não selecione.
+ Em **Registrar acesso aos compartilhamentos de arquivos**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para compartilhamentos de arquivos, caso você não faça uma seleção.
+ Em **Escolher um destino de registro de eventos de auditoria**, escolha **CloudWatch Logs** ou **Firehose**. Em seguida, escolha um fluxo de logs ou fluxo de entrega existente ou crie um. Para CloudWatch registros, a Amazon FSx pode criar e usar um fluxo de registros padrão no grupo de CloudWatch `/aws/fsx/windows` registros de registros.
Veja a seguir um exemplo de uma configuração de auditoria de acesso a arquivos que auditará tentativas de acesso com êxito e malsucedidas de usuários finais a arquivos, pastas e compartilhamentos de arquivos. Os registros de eventos de auditoria serão enviados para o destino padrão do grupo de CloudWatch `/aws/fsx/windows` registros de registros.
![\[\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-create-advanced.png)
1. Prossiga para a próxima seção do assistente de criação do sistema de arquivos.
Quando o sistema de arquivos está **Disponível**, o recurso de auditoria de acesso a arquivos está habilitado.
## Habilitar a auditoria de acesso a arquivos ao criar um sistema de arquivos (CLI)
1. Ao criar um novo sistema de arquivos, use a `AuditLogConfiguration` propriedade com a operação da [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API para habilitar a auditoria de acesso a arquivos para o novo sistema de arquivos.
```
aws fsx create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--subnet-ids subnet-123456 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
1. Quando o sistema de arquivos está **Disponível**, o recurso de auditoria de acesso a arquivos está habilitado.
## Alterar a configuração de auditoria de acesso a arquivos (console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Navegue até **Sistemas de arquivos**, e escolha o sistema de arquivos do Windows para o qual você deseja gerenciar a auditoria de acesso a arquivos.
1. Escolha a guia **Administração**.
1. No painel **Auditoria de acesso a arquivos**, escolha **Gerenciar**.
![\[FSx console Painel de auditoria de acesso a arquivos, que mostra a configuração de auditoria de acesso a arquivos.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-admin-panel.png)
1. Na caixa de diálogo **Gerenciar configurações de auditoria de acesso a arquivos**, altere as configurações desejadas.
![\[FSx console Painel de auditoria de acesso a arquivos, use esse painel para modificar as configurações de auditoria de acesso a arquivos.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-update-config.png)
+ Em **Registrar acesso a arquivos e pastas**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para arquivos e pastas caso você não selecione.
+ Em **Registrar acesso aos compartilhamentos de arquivos**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para compartilhamentos de arquivos, caso você não faça uma seleção.
+ Em **Escolher um destino de registro de eventos de auditoria**, escolha **CloudWatch Logs** ou **Firehose**. Em seguida, escolha um fluxo de logs ou fluxo de entrega existente ou crie um.
1. Escolha **Salvar**.
## Alterar a configuração de auditoria de acesso a arquivos (CLI)
+ Use o comando [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) da CLI ou a operação de API [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) equivalente.
```
aws fsx update-file-system \
--file-system-id fs-0123456789abcdef0 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
FileShareAccessAuditLogLevel="FAILURE_ONLY", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
# Gerenciamento de identidade e acesso para Amazon FSx para Windows File Server
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) FSx para usar os recursos do Windows File Server. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon FSx para Windows File Server funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para Amazon FSx para Windows File Server](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso ao Amazon FSx para Windows File Server](security_iam_troubleshoot.md)
+ [Usando tags com a Amazon FSx](using-tags-fsx.md)
+ [Usando funções vinculadas a serviços FSx para o Windows File Server](using-service-linked-roles.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso ao Amazon FSx para Windows File Server](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon FSx para Windows File Server funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon FSx para Windows File Server funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao FSx Windows File Server, saiba quais recursos do IAM estão disponíveis para uso com FSx o Windows File Server.
**Recursos do IAM que você pode usar com o Amazon FSx para Windows File Server**
| Recurso do IAM | FSx apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como FSx e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para FSx
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para FSx
Para ver exemplos de FSx políticas baseadas em identidade do Windows File Server, consulte. [Exemplos de políticas baseadas em identidade FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos dentro FSx
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações políticas para FSx
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de FSx ações, consulte [Ações definidas pela Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) na *Referência de Autorização de Serviço*.
As ações de política FSx usam o seguinte prefixo antes da ação:
```
fsx
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Para ver exemplos de FSx políticas baseadas em identidade do Windows File Server, consulte. [Exemplos de políticas baseadas em identidade FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## Recursos políticos para FSx
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de FSx recursos e seus ARNs, consulte [Recursos definidos pela Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas FSx pela Amazon para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver exemplos de FSx políticas baseadas em identidade do Windows File Server, consulte. [Exemplos de políticas baseadas em identidade FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para FSx
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de FSx condição, consulte [Chaves de condição para Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pela Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver exemplos de FSx políticas baseadas em identidade do Windows File Server, consulte. [Exemplos de políticas baseadas em identidade FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## ACLs in FSx
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com FSx
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usando credenciais temporárias com FSx
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para FSx
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para FSx
**Compatível com perfis de serviço:** não
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper FSx a funcionalidade. Edite as funções de serviço somente quando FSx fornecer orientação para fazer isso.
## Funções vinculadas a serviços para FSx
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre a criação ou o gerenciamento FSx de funções vinculadas ao serviço do Windows File Server, consulte. [Usando funções vinculadas a serviços FSx para o Windows File Server](using-service-linked-roles.md)
# Exemplos de políticas baseadas em identidade FSx para Amazon para Windows File Server
Por padrão, usuários e funções não têm permissão para criar ou modificar FSx recursos do Windows File Server. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por FSx, incluindo o formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição do Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) na *Referência de Autorização de Serviço*. ARNs
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o FSx console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir FSx recursos do Windows File Server em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o FSx console
Para acessar o console do Amazon FSx para Windows File Server, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre FSx os recursos do Windows File Server em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o FSx console, anexe também a política FSx `AmazonFSxConsoleReadOnlyAccess` AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gerenciadas para Amazon FSx para Windows File Server
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## Amazon FSx ServiceRolePolicy
Permite que FSx a Amazon gerencie AWS recursos em seu nome. Para saber mais, consulte [Usando funções vinculadas a serviços FSx para o Windows File Server](using-service-linked-roles.md).
## AWS política gerenciada: Amazon FSx DeleteServiceLinkedRoleAccess
Não é possível anexar a `AmazonFSxDeleteServiceLinkedRoleAccess` às entidades do IAM. Essa política está vinculada a um serviço e só é usada com o perfil vinculado a esse serviço. Você não pode anexar, desanexar, modificar ou excluir essa política. Para obter mais informações, consulte [Usando funções vinculadas a serviços FSx para o Windows File Server](using-service-linked-roles.md).
Essa política concede permissões administrativas que permitem FSx à Amazon excluir sua função vinculada ao serviço para acesso ao Amazon S3, usada somente FSx pelo Amazon for Lustre.
**Detalhes das permissões**
Essa política inclui permissões `iam` para permitir que FSx a Amazon visualize, exclua e visualize o status de exclusão das funções vinculadas ao FSx serviço para acesso ao Amazon S3.
Para ver as permissões dessa política, consulte a [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx FullAccess
Você pode anexar FSx FullAccess a Amazon às suas entidades do IAM. A Amazon FSx também atribui essa política a uma função de serviço que permite FSx à Amazon realizar ações em seu nome.
Fornece acesso total à Amazon FSx e acesso aos AWS serviços relacionados.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores tenham acesso total para realizar todas as FSx ações da Amazon, exceto a. `BypassSnaplockEnterpriseRetention`
+ `ds`— Permite que os diretores visualizem informações sobre os Directory Service diretórios.
+ `ec2`
+ Permite que as entidades principais criem tags sob as condições especificadas.
+ Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ `iam`— Permite que os princípios criem uma função vinculada ao FSx serviço da Amazon em nome do usuário. Isso é necessário para que a Amazon FSx possa gerenciar AWS recursos em nome do usuário.
+ `firehose`: permite que as entidades principais gravem registros em um Amazon Data Firehose. Isso é necessário FSx para que os usuários possam monitorar o acesso ao sistema de arquivos do Windows File Server enviando registros de acesso de auditoria para o Firehose.
+ `logs`: permite que as entidades principais criem grupos de logs, fluxos de logs e gravem eventos nos fluxos de logs. Isso é necessário FSx para que os usuários possam monitorar o acesso ao sistema de arquivos do Windows File Server enviando registros de acesso de auditoria para o CloudWatch Logs.
Para ver as permissões dessa política, consulte a [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ConsoleFullAccess
É possível anexar a política `AmazonFSxConsoleFullAccess` às suas identidades do IAM.
Esta política concede permissões administrativas que permitem acesso total à Amazon FSx e acesso a AWS serviços relacionados por meio do Console de gerenciamento da AWS.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores realizem todas as ações no console FSx de gerenciamento da Amazon, exceto`BypassSnaplockEnterpriseRetention`.
+ `cloudwatch`— Permite que os diretores visualizem CloudWatch alarmes e métricas no console de FSx gerenciamento da Amazon.
+ `ds`— Permite que os diretores listem informações sobre um Directory Service diretório.
+ `ec2`
+ Permite que os diretores criem tags em tabelas de rotas, listem interfaces de rede, tabelas de rotas, grupos de segurança, sub-redes e a VPC associada a um sistema de arquivos da Amazon. FSx
+ Permite que entidades principais forneçam validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Permite que os diretores visualizem as interfaces de rede elásticas associadas a um sistema de FSx arquivos da Amazon.
+ `kms`— Permite que os diretores listem aliases para AWS Key Management Service chaves.
+ `s3`: permite que as entidades principais listem alguns ou todos os objetos em um bucket do Amazon S3 (até mil).
+ `secretsmanager`— Permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio.
+ `iam`— Concede permissão para criar uma função vinculada ao serviço que permite FSx à Amazon realizar ações em nome do usuário.
Para ver as permissões dessa política, consulte a [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ConsoleReadOnlyAccess
É possível anexar a política `AmazonFSxConsoleReadOnlyAccess` às suas identidades do IAM.
Esta política concede permissões somente de leitura à Amazon FSx e aos AWS serviços relacionados para que os usuários possam visualizar informações sobre esses serviços no. Console de gerenciamento da AWS
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores visualizem informações sobre os sistemas de FSx arquivos da Amazon, incluindo todas as tags, no Amazon FSx Management Console.
+ `cloudwatch`— Permite que os diretores visualizem CloudWatch alarmes e métricas no Amazon FSx Management Console.
+ `ds`— Permite que os diretores visualizem informações sobre um Directory Service diretório no Amazon FSx Management Console.
+ `ec2`
+ Permite que os diretores visualizem interfaces de rede, grupos de segurança, sub-redes e a VPC associada a um FSx sistema de arquivos da Amazon no Amazon Management Console. FSx
+ Permite que entidades principais forneçam validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Permite que os diretores visualizem as interfaces de rede elásticas associadas a um sistema de FSx arquivos da Amazon.
+ `kms`— Permite que os diretores visualizem aliases para AWS Key Management Service chaves no Amazon FSx Management Console.
+ `log`— Permite que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server.
+ `secretsmanager`— Permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio.
+ `firehose`: permite que as entidades principais descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que está fazendo a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server.
Para ver as permissões dessa política, consulte a [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ReadOnlyAccess
É possível anexar a política `AmazonFSxReadOnlyAccess` às suas identidades do IAM.
+ `fsx`— Permite que os diretores visualizem informações sobre os sistemas de FSx arquivos da Amazon, incluindo todas as tags, no Amazon FSx Management Console.
+ `ec2`: fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
Para ver as permissões dessa política, consulte a [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) no Guia de referência de políticas AWS gerenciadas.
## FSx Atualizações da Amazon para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon FSx desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS na FSx [Histórico do documento](doc-history.md) página da Amazon.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `secretsmanager:ListSecrets` que permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio. | 5 de novembro de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `secretsmanager:ListSecrets` que permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio. | 3 de novembro de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:AssignIpv6Addresses` que permite que os diretores atribuam IPv6 endereços às interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag. | 22 de julho de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:UnassignIpv6Addresses` que permite que os diretores cancelem a atribuição de IPv6 endereços das interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag. | 22 de julho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:CreateAndAttachS3AccessPoint` que permite que os diretores criem um ponto de acesso S3 e o conectem a um FSx volume. | 25 de junho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DescribeS3AccessPointAttachments` que permite aos diretores listar todos os pontos de acesso do S3 Conta da AWS em um. Região da AWS | 25 de junho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DetachAndDeleteS3AccessPoint` que permite que os diretores excluam um ponto de acesso S3. | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:CreateAndAttachS3AccessPoint` que permite que os diretores criem um ponto de acesso S3 e o conectem a um FSx volume. | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DescribeS3AccessPointAttachments` que permite aos diretores listar todos os pontos de acesso do S3 Conta da AWS em um. Região da AWS | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DetachAndDeleteS3AccessPoint` que permite que os diretores excluam um ponto de acesso S3. | 25 de junho de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:DescribeNetworkInterfaces` que permite que os diretores visualizem as interfaces de rede elásticas associadas ao sistema de arquivos. | 25 de fevereiro de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:DescribeNetworkInterfaces` que permite que os diretores visualizem as interfaces de rede elásticas associadas ao sistema de arquivos. | 07 de fevereiro de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação de dados entre regiões e entre contas FSx para sistemas de arquivos OpenZFS. | 20 de dezembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação de dados entre regiões e entre contas FSx para sistemas de arquivos OpenZFS. | 20 de dezembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação sob demanda de volumes FSx para sistemas de arquivos OpenZFS. | 26 de novembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação sob demanda de volumes FSx para sistemas de arquivos OpenZFS. | 26 de novembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem, habilitem e desabilitem o suporte compartilhado de VPC FSx para sistemas de arquivos ONTAP Multi-AZ. | 14 de novembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem, habilitem e desabilitem o suporte compartilhado de VPC FSx para sistemas de arquivos ONTAP Multi-AZ. | 14 de novembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon gerencie configurações de rede FSx para sistemas de arquivos OpenZFS Multi-AZ. | 9 de agosto de 2023 |
| [AWS política gerenciada: Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx modificou a `cloudwatch:PutMetricData` permissão existente para que a Amazon FSx publique CloudWatch métricas no `AWS/FSx` namespace. | 24 de julho de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx atualizou a política para remover a `fsx:*` permissão e adicionar `fsx` ações específicas. | 13 de julho de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx atualizou a política para remover a `fsx:*` permissão e adicionar `fsx` ações específicas. | 13 de julho de 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem métricas de desempenho aprimoradas e ações recomendadas FSx para sistemas de arquivos do Windows File Server no FSx console da Amazon. | 21 de setembro de 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem métricas de desempenho aprimoradas e ações recomendadas FSx para sistemas de arquivos do Windows File Server no FSx console da Amazon. | 21 de setembro de 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Iniciou a política de rastreamento | Essa política concede acesso somente para leitura a todos os FSx recursos da Amazon e a quaisquer tags associadas a eles. | 4 de fevereiro de 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Iniciou a política de rastreamento | Essa política concede permissões administrativas que permitem FSx à Amazon excluir sua função vinculada ao serviço para acesso ao Amazon S3. | 7 de janeiro de 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon gerencie as configurações de rede dos sistemas de arquivos Amazon FSx for NetApp ONTAP. | 2 de setembro de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | O Amazon FSx adicionou novas permissões para permitir que o Amazon FSx crie tags nas tabelas de rotas do EC2 para chamadas com escopo reduzido. | 2 de setembro de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon crie sistemas de arquivos Amazon FSx for NetApp ONTAP Multi-AZ. | 2 de setembro de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | O Amazon FSx adicionou novas permissões para permitir que o Amazon FSx crie tags nas tabelas de rotas do EC2 para chamadas com escopo reduzido. | 2 de setembro de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon descreva e grave nos fluxos de log do CloudWatch Logs. Isso é necessário para que os usuários possam visualizar registros de auditoria de acesso a arquivos FSx para sistemas de arquivos do Windows File Server usando CloudWatch Logs. | 8 de junho de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon descreva e grave nos fluxos de entrega do Amazon Data Firehose. Isso é necessário para que os usuários possam visualizar os registros de auditoria de acesso aos arquivos de um sistema FSx de arquivos do Windows File Server usando o Amazon Data Firehose. | 8 de junho de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam e criem grupos de CloudWatch registros de registros, fluxos de registros e gravem eventos em fluxos de registros. Isso é necessário para que os diretores possam visualizar os registros de auditoria de acesso a arquivos FSx para sistemas de arquivos do Windows File Server usando CloudWatch Logs. | 8 de junho de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam e gravem registros em um Amazon Data Firehose. Isso é necessário para que os usuários possam visualizar os registros de auditoria de acesso aos arquivos de um sistema FSx de arquivos do Windows File Server usando o Amazon Data Firehose. | 8 de junho de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam escolher um grupo de registros de CloudWatch registros existente ao configurar a auditoria de acesso a arquivos FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que fez a solicitação. Isso é necessário para que os diretores possam escolher um stream de entrega existente do Firehose ao configurar a auditoria de acesso a arquivos para FSx um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| A Amazon FSx começou a monitorar as mudanças | A Amazon FSx começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 8 de junho de 2021 |
# Solução de problemas de identidade e acesso ao Amazon FSx para Windows File Server
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com FSx o Windows File Server e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em FSx](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus FSx recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em FSx
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `fsx:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `fsx:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função FSx para o Windows File Server.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no FSx Windows File Server. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus FSx recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se FSx o Windows File Server oferece suporte a esses recursos, consulte[Como o Amazon FSx para Windows File Server funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Usando tags com a Amazon FSx
Você pode usar tags para controlar o acesso aos FSx recursos da Amazon e implementar o controle de acesso baseado em atributos (ABAC). Os usuários precisam ter permissão para aplicar tags aos FSx recursos da Amazon durante a criação.
## Conceder permissão para marcar recursos durante a criação
Algumas ações de criação de recursos FSx para a API do Windows File Server permitem que você especifique tags ao criar o recurso. É possível usar tags de recursos para implantar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte [O que é ABAC para a AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Para permitir que os usuários marquem recursos na criação, eles devem ter permissões para usar a ação que cria o recurso, como `fsx:CreateFileSystem` ou `fsx:CreateBackup`. Se as tags forem especificadas na ação resource-creating, a Amazon executará autorização adicional na ação `fsx:TagResource` para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação `fsx:TagResource`.
O exemplo a seguir demonstra uma política que permite aos usuários criar sistemas de arquivos e aplicar tags aos sistemas de arquivos durante a criação em um sistema específico Conta da AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*"
}
]
}
```
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
A ação `fsx:TagResource` será avaliada somente se as tags forem aplicadas durante a ação resource-creating. Portanto, um usuário que tiver permissões para criar um recurso (pressupondo-se que não existam condições de marcação) não precisa de permissão para usar a ação `fsx:TagResource` se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação `fsx:TagResource`.
Para obter mais informações sobre a marcação de FSx recursos da Amazon, consulte[Marcação de seus recursos do Amazon FSx](tag-resources.md). Para obter mais informações sobre o uso de tags para controlar o acesso aos FSx recursos, consulte[Usando tags para controlar o acesso aos seus FSx recursos da Amazon](#restrict-fsx-access-tags).
## Usando tags para controlar o acesso aos seus FSx recursos da Amazon
Para controlar o acesso aos FSx recursos e ações da Amazon, você pode usar políticas AWS Identity and Access Management (IAM) com base em tags. É possível conceder o controle de duas formas:
1. Controle o acesso aos FSx recursos da Amazon com base nas tags desses recursos.
1. Controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como [controlar o acesso usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a marcação de FSx recursos da Amazon no momento da criação, consulte[Conceder permissão para marcar recursos durante a criação](#supported-iam-actions-tagging). Para obter mais informações sobre como marcar recursos, consulte [Marcação de seus recursos do Amazon FSx](tag-resources.md).
### Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou função pode realizar em um FSx recurso da Amazon, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par de chave/valor da tag no recurso.
**Example política: criar um sistema de arquivos ao fornecer uma tag específica**
Essa política permite que o usuário só crie um sistema de arquivos quando marcá-lo com um par de chave/valor de tag específico; neste exemplo, `key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example política — Crie backups somente dos sistemas de FSx arquivos da Amazon com uma tag específica**
Essa política permite que os usuários criem backups somente de sistemas de arquivos marcados com o par de chave/valor `key=Department, value=Finance`, e o backup será criado com a tag `Deparment=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example política: criar um sistema de arquivos com uma tag específica de backups com uma tag específica**
Essa política permite que os usuários só criem sistemas de arquivos marcados com `Department=Finance` por meio de backups marcados com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example política: excluir sistemas de arquivos com tags específicas**
Essa política só permite que o usuário exclua sistemas de arquivos marcados com `Department=Finance`. Se um backup final for criado, ele deverá ser marcado com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Usando funções vinculadas a serviços FSx para o Windows File Server
O Amazon FSx para Windows File Server usa funções [vinculadas a serviços AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao FSx Windows File Server. As funções vinculadas ao serviço são predefinidas FSx pelo Windows File Server e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração FSx do Windows File Server porque você não precisa adicionar manualmente as permissões necessárias. FSx para o Windows File Server define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente FSx o Windows File Server pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus FSx recursos do Windows File Server porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço FSx para Windows File Server
FSx para Windows File Server usa a função vinculada ao serviço chamada `AWSServiceRoleForAmazonFSx` — que executa determinadas ações em sua conta, como criar interfaces de rede elásticas para seus sistemas de arquivos em sua VPC.
A política de permissões de função permite que FSx o Windows File Server conclua as seguintes ações em todos os AWS recursos aplicáveis:
Você não pode vincular FSx ServiceRolePolicy a Amazon às suas entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite FSx gerenciar AWS recursos em seu nome. Para obter mais informações, consulte [Usando funções vinculadas a serviços FSx para o Windows File Server](#using-service-linked-roles).
Para obter atualizações dessa política, consulte [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
Essa política concede permissões administrativas que FSx permitem gerenciar AWS recursos em nome do usuário.
**Detalhes das permissões**
As permissões de FSx ServiceRolePolicy função da Amazon são definidas pela política FSx ServiceRolePolicy AWS gerenciada da Amazon. A Amazon FSx ServiceRolePolicy tem as seguintes permissões:
**nota**
FSxServiceRolePolicy A Amazon é usada por todos os tipos de sistemas de FSx arquivos da Amazon; algumas das permissões listadas podem não se aplicar ao FSx Windows.
+ `ds`— Permite FSx visualizar, autorizar e desautorizar aplicativos em seu diretório. Directory Service
+ `ec2`— Permite FSx fazer o seguinte:
+ Visualize, crie e desassocie interfaces de rede associadas a um sistema de FSx arquivos da Amazon.
+ Visualize um ou mais endereços IP elásticos associados a um sistema de FSx arquivos da Amazon.
+ Veja a Amazon VPCs, os grupos de segurança e as sub-redes associadas a um sistema de FSx arquivos da Amazon.
+ Atribua IPv6 endereços às interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag.
+ Cancele a atribuição de IPv6 endereços das interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag.
+ Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Crie uma permissão para que um usuário AWS autorizado realize determinadas operações em uma interface de rede.
+ `cloudwatch`— Permite FSx publicar pontos de dados métricos CloudWatch abaixo do FSx namespace AWS//.
+ `route53`— Permite FSx associar uma Amazon VPC a uma zona hospedada privada.
+ `logs`— Permite FSx descrever e gravar em fluxos de log de CloudWatch registros. Isso é para que os usuários possam enviar registros de auditoria de acesso a arquivos de um FSx sistema de arquivos do Windows File Server para um stream de CloudWatch registros.
+ `firehose`— Permite FSx descrever e gravar nos fluxos de entrega do Amazon Data Firehose. Isso é para que os usuários possam publicar os registros de auditoria de acesso a arquivos de um sistema FSx de arquivos do Windows File Server em um stream de distribuição do Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Todas as atualizações dessa política estão descritas em [FSx Atualizações da Amazon para políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
## Criando uma função vinculada ao serviço FSx para o Windows File Server
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um sistema de arquivos na CLI do IAM ou na API do IAM, o Windows File Server cria a função vinculada ao serviço FSx para você. Console de gerenciamento da AWS
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria um sistema de arquivos, FSx o Windows File Server cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço FSx para Windows File Server
FSx para Windows File Server não permite que você edite a função vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço FSx para Windows File Server
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve excluir todos os seus sistemas de arquivos e backups para poder excluir manualmente o perfil vinculado ao serviço.
**nota**
Se o serviço FSx para Windows File Server estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço . Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas FSx para funções vinculadas ao serviço do Windows File Server
FSx para Windows File Server oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Validação de conformidade do Amazon FSx para Windows File Server
Para saber se um AWS service (Serviço da AWS) está no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade desejado. Para obter informações gerais, consulte [Programas de Conformidade da AWS](https://aws.amazon.com/compliance/programs/).
É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Sua responsabilidade de conformidade ao usar o Serviços da AWS é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. Para ter mais informações sobre sua responsabilidade pela conformidade ao usar Serviços da AWS, consulte a [documentação da AWS sobre segurança](https://docs.aws.amazon.com/security/).
# Amazon FSx para Windows File Server e endpoints da VPC da interface
Você pode aprimorar a postura de segurança da VPC ao configurar o Amazon FSx para usar um endpoint da VPC de interface. Os endpoints da VPC de interface são desenvolvidos pelo [AWS PrivateLink](https://aws.amazon.com/privatelink), uma tecnologia que possibilita acessar APIs do Amazon FSx de forma privada sem um gateway da Internet, dispositivo NAT, conexão VPN ou conexão do Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para se comunicar com as APIs do Amazon FSx. O tráfego entre a VPC e o Amazon FSx não é realizado de forma externa à rede da AWS.
Cada endpoint da VPC de interface é representado por uma ou mais interfaces de rede elástica em suas sub-redes. Uma interface de rede fornece um endereço IP privado que serve como um ponto de entrada para o tráfego para a API do Amazon FSx. O Amazon FSx é compatível com endpoints VPC configurados com tipos de endereço IP somente IPv4 e de pilha dupla (IPv4 e IPv6). Para obter mais informações, consulte [Como criar um endpoint da VPC da interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
## Considerações sobre endpoints da VPC de interface do Amazon FSx
Antes de configurar um endpoint da VPC de interface para o Amazon FSx, certifique-se de consultar [Interface VPC endpoint properties and limitations](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) no *Guia do usuário da Amazon VPC*.
É possível chamar qualquer uma das operações de API do Amazon FSx usando sua VPC. Por exemplo, você pode criar um sistema de arquivos do FSx para Windows File Server chamando a API CreateFileSystem de dentro da VPC. Para obter a lista completa de APIs do Amazon FSx, consulte [Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) na referência de APIs do Amazon FSx.
### Considerações sobre emparelhamento de VPC
Você pode conectar outras VPCs à VPC com endpoints da VPC de interface usando o emparelhamento de VPC. O emparelhamento de VPC é uma conexão de rede entre duas VPCs. É possível estabelecer uma conexão de emparelhamento da VPC entre suas duas VPCs ou com uma VPC em outra Conta da AWS. As VPCs também podem estar em duas Regiões da AWS diferentes.
O tráfego entre VPCs emparelhadas permanece na rede da AWS e não passa pela Internet pública. Depois que as VPCs são emparelhadas, os recursos, como as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em ambas as VPCs, podem acessar a API do Amazon FSx por meio de endpoints da VPC de interface criados em uma das VPCs.
## Como criar um endpoint da VPC de interface para a API do Amazon FSx
Você pode criar um endpoint da VPC para a API do Amazon FSx usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte [Creating an interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
Para criar um endpoint da VPC de interface para o Amazon FSx, use um dos seguintes:
+ `com.amazonaws.region.fsx`: cria um endpoint para as operações de API do Amazon FSx.
+ **`com.amazonaws.region.fsx-fips`**: cria um endpoint para a API do Amazon FSx que está em conformidade com o padrão [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Para usar a opção de DNS privado, é necessário definir os recursos `enableDnsHostnames` e `enableDnsSupport` da sua VPC. Para obter mais informações, consulte [Viewing and updating DNS support for your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) no *Guia do usuário da Amazon VPC*.
Ao excluir as Regiões da AWS na China, se você habilitar o DNS privado para o endpoint, poderá realizar solicitações de API ao Amazon FSx com o endpoint da VPC usando o nome DNS padrão para a Região da AWS, por exemplo, `fsx.us-east-1.amazonaws.com`. Para as Regiões da AWS China (Pequim) e China (Ningxia), você pode realizar solicitações de API com o endpoint da VPC usando `fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn` e `fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn`, respectivamente.
Para obter mais informações, consulte [Accessing a service through an interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) no *Guia do usuário da Amazon VPC*.
## Como criar uma política de endpoint da VPC para o Amazon FSx
Para controlar ainda mais o acesso à API do Amazon FSx, como opção, é possível anexar uma política do AWS Identity and Access Management (IAM) ao endpoint da VPC. A política especifica o seguinte:
+ A entidade principal que pode executar ações.
+ As ações que podem ser executadas.
+ Os recursos nos quais as ações podem ser realizadas.
Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.