As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Definindo permissões no AMS com funções e perfis do IAM
<a name="setting-permissions"></a>

O AMS usa AWS Identity and Access Management (IAM) para gerenciar usuários, credenciais de segurança, como chaves de acesso, e permissões que controlam quais AWS recursos os usuários e aplicativos podem acessar. O AMS fornece uma função de usuário padrão do IAM e um perfil de instância padrão do Amazon EC2 (que inclui uma declaração permitindo que o recurso acesse a função de usuário padrão do IAM).

## Solicitar uma nova função de usuário ou perfil de instância do IAM
<a name="request-new-role-or-profile"></a>

O AMS usa uma função do IAM para definir permissões de usuário por meio do seu serviço de federação e um perfil de instância do IAM como um contêiner para essa função do IAM.

Você pode solicitar uma função personalizada do IAM com o tipo de alteração Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Criar entidade ou política (automação gerenciada) (ct-3dpd8mdd9jn1r) ou um perfil de instância do IAM com o tipo de alteração Management \$1 Applications \$1 IAM \$1 Create Management \$1 Applications \$1 Perfil da instância do IAM \$1 Create (automação gerenciada) (ct-0ixp4r) ch2tiu04). Veja as descrições de cada um nesta seção.

**nota**  
O AMS tem uma política de IAM `customer_deny_policy` que bloqueia namespaces e ações perigosas. Essa política é anexada a todas as funções de clientes do AMS por padrão e raramente é um problema para os usuários. Suas solicitações de usuário e função do IAM não incluem essa política, mas a inclusão automática delas `customer_deny_policy` nas solicitações de funções do IAM ajuda o AMS a implantar novos perfis de instância do IAM mais rapidamente. Você pode solicitar a exclusão da `customer_deny_policy` política. No entanto, essa solicitação passará por uma análise de segurança pesada e provavelmente será recusada por motivos de segurança.

# Restrinja as permissões com declarações de política de função do IAM
<a name="request-iam-user"></a>

O AMS usa uma função do IAM para definir permissões de usuário por meio do seu serviço de federação.

**Zona de destino de conta única AMS**: consulte [SALZ: Funções de usuário padrão do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role).

**Zona de destino de várias contas AMS**: consulte [MALZ: Funções de usuário padrão do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz).

Uma função do IAM é uma entidade do IAM que define um conjunto de permissões para fazer solicitações AWS de serviço. Os perfis do IAM não estão associados a um usuário ou grupo específico. Em vez disso, entidades confiáveis assumem funções, como usuários, aplicativos ou AWS serviços do IAM, como o Amazon EC2. Para obter mais informações, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

Você pode definir o escopo da política desejada para um usuário que assume a função de usuário do AMS IAM usando a operação da API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)transmitindo uma política IAM mais restritiva no campo de `Policy` solicitação.

Exemplos de declarações de política que você pode usar para restringir o acesso ao CT são fornecidos a seguir.

Usando seus grupos configurados do Active Directory (AD) e a operação da API do AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html), você pode definir permissões para determinados usuários ou grupos, incluindo restringir o acesso a determinados tipos de alteração (CTs). Você pode usar as declarações de política mostradas abaixo para restringir o acesso ao CT de várias maneiras.

Declaração de tipo de alteração do AMS no perfil padrão da instância do IAM que permite acesso a todas as chamadas de API do AMS (amscm e amsskms) e a todos os tipos de alteração:

```
{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}
```

1. Declaração para permitir o acesso e todas as ações para apenas dois itens especificados CTs, em que “Ação” são as operações da API AMS (`amscm`ou`amsskms`) e “Recurso” representa o tipo de alteração existente IDs e o número da versão:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "amscm:*",
               "Resource": [
                   "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                   "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
               ]
           }
       ]
   }
   ```

------

1. Declaração para permitir o acesso para CreateRfc UpdateRfc, e SubmitRfc em apenas duas especificadas CTs:

1. Declaração para permitir o acesso a CreateRfc UpdateRfc, e SubmitRfc sobre todos os disponíveis CTs:

1. Declaração para negar acesso a todas as ações em CT restrita e permitir outras CTs:

# Restrinja as permissões com perfis de instância EC2 do Amazon IAM
<a name="request-instance-profile"></a>

Um perfil de instância do IAM é um contêiner para uma função do IAM que você pode usar para passar informações da função para uma EC2 instância da Amazon quando a instância é iniciada.

Atualmente, há um perfil de instância padrão do AWS Managed Services (AMS) que concede permissões aos aplicativos em execução na instância, não aos usuários que fazem login na instância. `customer-mc-ec2-instance-profile` Talvez você queira modificar o perfil de instância padrão ou criar um novo, se quiser dar a uma instância acesso a algo, sem conceder acesso a outras instâncias também. Você pode solicitar um novo perfil de instância do IAM com Management \$1 Applications \$1 IAM instance profile \$1 Create change type (ct-0ixp4ch2tiu04). Ao enviar a RFC, você pode criar seu próprio perfil de instância e incluí-lo como o. InstanceProfileDescription ou pode simplesmente informar ao AMS (usando o mesmo campo) quais alterações você deseja. Como se trata de uma tomografia computadorizada manual, a AMS deve aprovar a alteração e entrará em contato com você sobre ela.

Se você não estiver familiarizado com as políticas do Amazon IAM, consulte [Visão geral das políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) para obter informações importantes. Também há uma boa postagem no blog, [Desmistificando as permissões em nível de recursos da EC2 Amazon](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/). Observe que o AMS atualmente não oferece suporte ao controle de acesso baseado em recursos, mas oferece suporte a controles em nível de recurso usando políticas de função do IAM (para obter uma explicação da diferença, consulte [AWS Serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) que funcionam com o IAM).

**Zona de aterrissagem AMS de conta única**:

Para ver uma tabela de permissões que o perfil padrão da instância do AMS IAM concede, acesse o [Perfil da instância EC2 do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html).