As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Restrinja as permissões com declarações de política de função do IAM O AMS usa uma função do IAM para definir permissões de usuário por meio do seu serviço de federação. **Zona de destino de conta única AMS**: consulte [SALZ: Funções de usuário padrão do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role). **Zona de destino de várias contas AMS**: consulte [MALZ: Funções de usuário padrão do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz). Uma função do IAM é uma entidade do IAM que define um conjunto de permissões para fazer solicitações AWS de serviço. Os perfis do IAM não estão associados a um usuário ou grupo específico. Em vez disso, entidades confiáveis assumem funções, como usuários, aplicativos ou AWS serviços do IAM, como o Amazon EC2. Para obter mais informações, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html). Você pode definir o escopo da política desejada para um usuário que assume a função de usuário do AMS IAM usando a operação da API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)transmitindo uma política IAM mais restritiva no campo de `Policy` solicitação. Exemplos de declarações de política que você pode usar para restringir o acesso ao CT são fornecidos a seguir. Usando seus grupos configurados do Active Directory (AD) e a operação da API do AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html), você pode definir permissões para determinados usuários ou grupos, incluindo restringir o acesso a determinados tipos de alteração (CTs). Você pode usar as declarações de política mostradas abaixo para restringir o acesso ao CT de várias maneiras. Declaração de tipo de alteração do AMS no perfil padrão da instância do IAM que permite acesso a todas as chamadas de API do AMS (amscm e amsskms) e a todos os tipos de alteração: ``` { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] } ``` 1. Declaração para permitir o acesso e todas as ações para apenas dois itens especificados CTs, em que “Ação” são as operações da API AMS (`amscm`ou`amsskms`) e “Recurso” representa o tipo de alteração existente IDs e o número da versão: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "amscm:*", "Resource": [ "arn:aws:amscm:*:*:changetype/ct-ID1:1.0", "arn:aws:amscm:*:*:changetype/ct-ID2:1.0" ] } ] } ``` ------ 1. Declaração para permitir o acesso para CreateRfc UpdateRfc, e SubmitRfc em apenas duas especificadas CTs: 1. Declaração para permitir o acesso a CreateRfc UpdateRfc, e SubmitRfc sobre todos os disponíveis CTs: 1. Declaração para negar acesso a todas as ações em CT restrita e permitir outras CTs: