As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para o AMS Accelerate
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Manual do usuário do IAM*.
Para obter uma tabela de alterações, consulte[Acelere as atualizações das políticas AWS gerenciadas](#security-iam-awsmanpol-updates).
## AWS política gerenciada: AWSManagedServices\_AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) usa a política `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS gerenciada. Essa política AWS gerenciada é usada no AWSManagedServices\_AlarmManager \_ ServiceRolePolicy para restringir as permissões das funções do IAM criadas por AWSServiceRoleForManagedServices\_AlarmManager.
Essa política concede funções do IAM criadas como parte de[Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work), permissões para realizar operações como avaliação de AWS configuração, leitura de configuração para buscar a AWS configuração do Alarm Manager e criação dos alarmes necessários da Amazon. CloudWatch
A `AWSManagedServices_AlarmManagerPermissionsBoundary` política é anexada à função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço. Para atualizações dessa função, consulte[Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates).
É possível anexar essa política às suas identidades do IAM.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `AWS Config`— Permite permissões para avaliar as regras de configuração e selecionar a configuração do recurso.
+ `AWS AppConfig`— Permite permissões para buscar a AlarmManager configuração.
+ `Amazon S3`— Permite permissões para operar AlarmManager buckets e objetos.
+ `Amazon CloudWatch`— Permite permissões para ler e colocar alarmes e métricas AlarmManager gerenciados.
+ `AWS Resource Groups and Tags`— Permite permissões para ler tags de recursos.
+ `Amazon EC2`— Permite permissões para ler EC2 recursos da Amazon.
+ `Amazon Redshift`— Permite permissões para ler instâncias e clusters do Redshift.
+ `Amazon FSx`— Permite permissões para descrever sistemas de arquivos, volumes e tags de recursos.
+ `Amazon CloudWatch Synthetics`— Permite permissões para ler recursos do Synthetics.
+ `Amazon Elastic Kubernetes Service`— Permite permissões para descrever o cluster Amazon EKS.
+ `Amazon ElastiCache`— Permite permissões para descrever recursos.
Você pode baixar o arquivo de política neste ZIP: [RecommendedPermissionBoundary.zip.](samples/RecommendedPermissionBoundary.zip)
## AWS política gerenciada: AWSManagedServices\_DetectiveControlsConfig \_ ServiceRolePolicy
AWS Managed Services (AMS) usa a política `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS gerenciada. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço](using-service-linked-roles.html#slr-deploy-detect-controls) (consulte). [Detective controla a função vinculada ao serviço do AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls) Para atualizações da função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
A política permite que a função vinculada ao serviço realize ações em seu nome.
Você pode anexar a ServiceRolePolicy política AWSManagedServices\_DetectiveControlsConfig \_ às suas entidades do IAM.
Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.
+ `CloudFormation`— Permite que o AMS Detective Controls implante CloudFormation pilhas com recursos como buckets s3, regras de configuração e gravador de configuração.
+ `AWS Config`— Permite que o AMS Detective Controls crie regras de configuração do AMS, configure um agregador e marque recursos.
+ `Amazon S3`— permite que o AMS Detective Controls gerencie seus buckets s3.
Você pode baixar o arquivo de política JSON neste ZIP: [DetectiveControlsConfig\_ ServiceRolePolicy .zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip).
## AWS política gerenciada: AWSManaged ServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) usa a política `AWSManagedServicesDeploymentToolkitPolicy` AWS gerenciada. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForAWSManagedServicesDeploymentToolkit` vinculada ao serviço](using-service-linked-roles.html#slr-deploy-acc) (consulte). [Função vinculada ao serviço do kit de ferramentas de implantação para o AMS Accelerate](using-service-linked-roles.md#slr-deploy-acc) A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
Para atualizações da função `AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.
+ `CloudFormation`— Permite que o AMS Deployment Toolkit implante pilhas CFN com os recursos do S3 exigidos pelo CDK.
+ `Amazon S3`— permite que o AMS Deployment Toolkit gerencie seus buckets S3.
+ `Elastic Container Registry`— permite que o AMS Deployment Toolkit gerencie seu repositório ECR, usado para implantar os ativos necessários aos aplicativos AMS CDK.
Você pode baixar o arquivo de política JSON neste ZIP: [AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip).
## AWS política gerenciada: AWSManagedServices\_EventsServiceRolePolicy
AWS Managed Services (AMS) usa a política gerenciada `AWSManagedServices_EventsServiceRolePolicy` da AWS. Essa política AWS gerenciada é anexada à função vinculada ao [`AWSServiceRoleForManagedServices_Events`serviço](using-service-linked-roles.html#slr-evb-rule). A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
Para atualizações da função `AWSServiceRoleForManagedServices_Events` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que EventBridge a Amazon entregue informações de alteração do estado de alarme da sua conta para o AWS Managed Services.
+ `events`— Permite que o Accelerate crie uma regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária Conta da AWS para fornecer informações de alteração do estado de alarme de sua conta para AWS Managed Services.
Você pode baixar o arquivo de política JSON neste ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip).
## AWS política gerenciada: AWSManagedServices\_ContactsServiceRolePolicy
AWS Managed Services (AMS) usa a política gerenciada `AWSManagedServices_ContactsServiceRolePolicy` da AWS. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForManagedServices_Contacts` vinculada ao serviço](using-service-linked-roles.html#slr-contacts-service) (consulte). [Criando uma SLR de contatos para o AMS Accelerate](using-service-linked-roles.md#slr-contacts-service-create) A política permite que a SLR de contatos do AMS veja suas tags de recursos e seus valores nos recursos da AWS. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
**Importante**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. O AMS usa tags para fornecer serviços administrativos. As tags não devem ser usadas para dados privados ou confidenciais.
Para atualizações da função `AWSServiceRoleForManagedServices_Contacts` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que a SLR de contatos leia suas tags de recursos para recuperar as informações de contato do recurso que você configurou com antecedência.
+ `IAM`— Permite que o serviço de contatos veja as tags nas funções do IAM e nos usuários do IAM.
+ `Amazon EC2`— Permite que o serviço de contatos veja as tags nos EC2 recursos da Amazon.
+ `Amazon S3`— Permite que o Contacts Service veja as tags nos buckets do Amazon S3. Essa ação usa uma condição para garantir que o AMS acesse suas tags de bucket usando o cabeçalho de autorização HTTP, usando o protocolo de assinatura SigV4 e usando HTTPS com TLS 1.2 ou superior. Para obter mais informações, consulte [Métodos de autenticação](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro) e chaves de [política específicas de autenticação do Amazon S3 Signature versão 4](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html).
+ `Tag`— Permite que o serviço de contatos veja as tags em outros AWS recursos.
+ “iam: ListRoleTags “, “iam: ListUserTags “, “tag: GetResources “, “tag: GetTagKeys “, “tag: GetTagValues “, “ec2: DescribeTags “, “s3:” GetBucketTagging
Você pode baixar o arquivo de política JSON neste ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip).
## Acelere as atualizações das políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Accelerate desde que esse serviço começou a monitorar essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 4 de abril de 2024 |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 9 de maio de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 10 de abril de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | A `ListAttachedRolePolicies` ação é removida da política. A ação tinha Recurso como curinga (\*). Como a “lista” é uma ação não mutativa, ela tem acesso a todos os recursos e o curinga não é permitido. | 28 de março de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Atualizou a política e adicionou a política de limite de permissões. | 21 de março de 2023 |
| Nova política — [Serviço de contatos](#ContactsServiceManagedPolicy) | O Accelerate adicionou uma nova política para analisar as informações de contato da sua conta a partir das tags de recursos.
O Accelerate adicionou uma nova política para ler suas tags de recursos para que possa recuperar as informações de contato do recurso que você configurou com antecedência. | 16 de fevereiro de 2023 |
| Nova política — [Serviço de Eventos](#EventsServiceRolePolicy) | A Accelerate adicionou uma nova política para fornecer informações de alteração do estado de alarme da sua conta para o AWS Managed Services.
Concede funções do IAM criadas como parte das [Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) permissões para criar uma regra EventBridge gerenciada necessária pela Amazon. | 07 de fevereiro de 2023 |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Foram adicionadas permissões do S3 para apoiar a saída de clientes do Accelerate. | 30 de janeiro de 2023 |
| Nova política — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Permite que a função vinculada ao serviço,[Detective controla a função vinculada ao serviço do AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls), conclua ações para que você implante os controles de detetive do Accelerate. | 19 de dezembro de 2022 |
| Nova política — [Gerenciador de alarmes](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | O Accelerate adicionou uma nova política para permitir permissões para realizar tarefas do gerenciador de alarmes.
Concede funções do IAM criadas como parte das [Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) permissões para realizar operações como avaliação do AWS Config, leitura do AWS Config para obter a configuração do gerenciador de alarmes e criação dos alarmes necessários da Amazon. CloudWatch | 30 de novembro de 2022 |
| Acelere o início do rastreamento de alterações | A Accelerate começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 30 de novembro de 2022 |
| Nova política — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | O Accelerate adicionou essa política para tarefas de implantação.
Concede à função vinculada ao serviço [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)permissões para acessar e atualizar buckets e pilhas do Amazon S3 relacionados à implantação. CloudFormation | 9 de junho de 2022 |