As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança na AWS HealthOmics
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam à AWS HealthOmics, consulte [AWS Serviços no escopo por programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar a AWS HealthOmics. Os tópicos a seguir mostram como configurar a AWS HealthOmics para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam você a monitorar e proteger seus HealthOmics recursos da AWS.
**Topics**
+ [Proteção de dados em AWS HealthOmics](data-protection.md)
+ [Gerenciamento de identidade e acesso em HealthOmics](security-iam.md)
+ [Validação de conformidade para AWS HealthOmics](compliance-validation.md)
+ [Resiliência em HealthOmics](disaster-recovery-resiliency.md)
+ [AWS HealthOmics e endpoints VPC de interface ()AWS PrivateLink](vpc-interface-endpoints.md)
# Proteção de dados em AWS HealthOmics
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) de se aplica à proteção de dados na AWS HealthOmics. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com a AWS HealthOmics ou outra Serviços da AWS pessoa usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia em repouso
**Topics**
+ [Chaves pertencentes à AWS](#AWS-owned-cmk)
+ [Chaves gerenciadas pelo cliente](#customer-owned-cmk)
+ [Criar uma chave gerenciada pelo cliente](#creating-co-cmk)
+ [Permissões do IAM necessárias para usar uma chave gerenciada pelo cliente](#required-iam-cmk)
+ [Saiba mais](#more-info-kms)
Para proteger dados confidenciais de clientes em repouso, AWS HealthOmics fornece criptografia por padrão usando uma chave do AWS Key Management Service (AWS KMS) de propriedade do serviço. As chaves gerenciadas pelo cliente também são suportadas. Para saber mais sobre a chave gerenciada pelo cliente, consulte [Amazon Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
Todos os armazenamentos de HealthOmics dados (armazenamento e análise) oferecem suporte ao uso de chaves gerenciadas pelo cliente. A configuração de criptografia não pode ser alterada após a criação de um armazenamento de dados. Se um armazenamento de dados estiver usando um Chave pertencente à AWS, ele será indicado como AWS\$1OWNED\$1KMS\$1KEY e você não verá a chave específica usada para criptografia em repouso.
Para HealthOmics fluxos de trabalho, as chaves gerenciadas pelo cliente não são suportadas pelo sistema de arquivos temporário; no entanto, todos os dados em repouso são criptografados automaticamente usando o algoritmo de criptografia de criptografia de bloco XTS-AES-256 para criptografar o sistema de arquivos. O usuário e a função do IAM usados para iniciar a execução de um fluxo de trabalho também devem ter acesso às AWS KMS chaves usadas para os buckets de entrada e saída do fluxo de trabalho. Os fluxos de trabalho não usam concessões e a AWS KMS criptografia é limitada aos buckets de entrada e saída do Amazon S3. A função do IAM usada para o fluxo de trabalho também APIs deve ter acesso às AWS KMS chaves usadas, bem como aos buckets de entrada e saída do Amazon S3. Você pode usar as funções e permissões do IAM para controlar o acesso ou AWS KMS as políticas. Para saber mais, consulte [Autenticação e controle de acesso para AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html).
Quando você usa AWS Lake Formation com o HealthOmics Analytics, todas as permissões de descriptografia associadas ao Lake Formation também são concedidas aos buckets de entrada e saída do Amazon S3. Mais informações sobre como AWS Lake Formation gerenciar permissões podem ser encontradas na [AWS Lake Formation documentação](https://docs.aws.amazon.com/lake-formation/latest/dg/register-encrypted.html).
HealthOmics O Analytics concede ao Lake Formation kms: Decrypt permissões para ler os dados criptografados em um bucket do Amazon S3. Contanto que você tenha permissões para consultar os dados por meio do Lake Formation, você poderá ler os dados criptografados. O acesso aos dados é controlado por meio do controle de acesso aos dados no Lake Formation, não por meio de uma política de chaves do KMS. Para saber mais, consulte as [solicitações de serviço AWS integradas da AWS](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-underlying-data.html) na documentação do Lake Formation.
### Chaves pertencentes à AWS
Por padrão, HealthOmics usa Chaves pertencentes à AWS para criptografar automaticamente dados em repouso, pois esses dados podem conter informações confidenciais, como informações de identificação pessoal (PII) ou Informações de saúde protegidas (PHI). Chaves pertencentes à AWS não estão armazenados em sua conta. Elas fazem parte de uma coleção de chaves do KMS que a AWS possui e gerencia para uso em várias contas da AWS.
Os serviços da AWS podem ser usados Chaves pertencentes à AWS para proteger seus dados. Você não pode visualizar, gerenciar Chaves pertencentes à AWS, acessar ou auditar seu uso. No entanto, você não precisa fazer nenhum trabalho nem alterar nenhum programa para proteger as chaves que criptografam seus dados.
Não é cobrada uma taxa mensal ou uma taxa de uso pelo uso Chaves pertencentes à AWS, e elas não contam nas cotas do AWS KMS da sua conta. Para obter mais informações, consulte [Chaves gerenciadas pela AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#AWS-owned-cmk).
### Chaves gerenciadas pelo cliente
HealthOmics suporta o uso de chaves simétricas gerenciadas pelo cliente que você cria, possui e gerencia para adicionar uma segunda camada de criptografia à criptografia existente de propriedade da AWS. Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
+ Estabelecer e manter políticas de chaves, políticas do IAM e concessões
+ Rotacionar os materiais de chave de criptografia
+ Habilitar e desabilitar políticas de chaves
+ Adicionar etiquetas
+ Criar réplicas de chaves
+ Chaves de agendamento para exclusão
Você também pode usar CloudTrail para rastrear as solicitações HealthOmics enviadas AWS KMS em seu nome. Aplicam-se cobranças adicionais do AWS KMS . Para obter mais informações, consulte [chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
### Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs
Siga as etapas para [criar chaves simétricas gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no Guia do desenvolvedor do AWS Key Management Service.
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chave, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar uma chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte [Gerenciamento do acesso às chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) no Guia do desenvolvedor do AWS Key Management Service.
Para usar uma chave gerenciada pelo cliente com seus recursos do HealthOmics Analytics, o responsável pela chamada exige [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) operations na política de chaves. Isso permite que o sistema use um token FAS para criar uma concessão para uma chave gerenciada pelo cliente que controla o acesso a uma chave KMS especificada. Essa chave dá ao usuário acesso às operações [kms:grant necessárias](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations ). HealthOmics Consulte [Uso de subsídios](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para obter mais informações.
Para HealthOmics análises, as seguintes operações de API devem ser permitidas para o responsável pela chamada:
+ kms: CreateGrant adiciona concessões a uma chave gerenciada pelo cliente específica, o que permite o acesso às operações de concessão no HealthOmics Analytics.
+ kms: DescribeKey fornece os detalhes da chave gerenciada pelo cliente necessários para validar a chave. Isso é necessário para todas as operações.
+ kms: GenerateDataKey fornece acesso para criptografar recursos em repouso para todas as operações de gravação. Além disso, essa ação fornece detalhes da chave gerenciada pelo cliente que o serviço pode usar para validar se o chamador tem acesso para usar a chave.
+ O KMS:Decrypt fornece acesso às operações de leitura ou pesquisa de recursos criptografados.
Para usar uma chave gerenciada pelo cliente com seus recursos HealthOmics de armazenamento, o responsável pelo HealthOmics serviço e o responsável pela chamada devem ser permitidos na política de chaves. Isso permite que o serviço valide se o chamador tem acesso à chave e usa o responsável pelo serviço para executar o gerenciamento da loja usando a chave gerenciada pelo cliente. Para HealthOmics armazenamento, a política de chaves do responsável pelo serviço deve permitir as seguintes operações de API:
+ kms: DescribeKey fornece os detalhes da chave gerenciada pelo cliente necessários para validar a chave. Isso é necessário para todas as operações.
+ kms: GenerateDataKey fornece acesso para criptografar recursos em repouso para todas as operações de gravação. Além disso, essa ação fornece detalhes da chave gerenciada pelo cliente que o serviço pode usar para validar se o chamador tem acesso para usar a chave.
+ O KMS:Decrypt fornece acesso às operações de leitura ou pesquisa de recursos criptografados.
O exemplo a seguir mostra uma declaração de política que permite que um responsável pelo serviço crie e interaja com uma HealthOmics sequência ou um repositório de referência criptografado usando a chave gerenciada pelo cliente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "omics.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------
O exemplo a seguir mostra uma política que cria permissões para um armazenamento de dados descriptografar dados de um bucket do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:GetReference",
"omics:GetReferenceMetadata"
],
"Resource": [
"arn:aws:omics:us-east-1:123456789012:referenceStore/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::[[s3path]]/*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key_id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Permissões do IAM necessárias para usar uma chave gerenciada pelo cliente
Ao criar um recurso, como um armazenamento de dados com AWS KMS criptografia usando uma chave gerenciada pelo cliente, há permissões necessárias tanto para a política de chaves quanto para a política do IAM para o usuário ou a função do IAM.
Você pode usar a [chave de ViaService condição kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) para limitar o uso da chave KMS somente às solicitações originadas de. HealthOmics
Para obter mais informações sobre políticas de chaves, consulte [Habilitar políticas do IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) no Guia do desenvolvedor do AWS Key Management Service.
**Topics**
+ [Permissões da API Analytics](#analytics-permissions)
+ [Permissões da API de armazenamento](#storage-permissions)
+ [Como HealthOmics usa subsídios no AWS KMS](#grants-kms)
+ [Monitorando suas chaves de criptografia para AWS HealthOmics](#monitoring-kms)
#### Permissões da API Analytics
Para HealthOmics análises, o usuário ou a função do IAM que cria as lojas deve ter as permissões kms:CreateGrant, kms:GenerateDataKey, kms: Decrypt e, além das kms: DescribeKey permissões necessárias. HealthOmics
#### Permissões da API de armazenamento
Para HealthOmics armazenamento APIs, o usuário ou a função do IAM que chama as seguintes operações de API exige as permissões listadas:
**CreateReferenceStore, CreateSequenceStore**
Para criar uma loja, o chamador do IAM deve ter `kms:DescribeKey` as permissões mais as HealthOmics permissões necessárias. O principal do HealthOmics serviço liga `kms:GenerateDataKeyWithoutPlaintext` para realizar verificações de validação de acesso para carregamento e acesso aos dados.
**StartReadSetImportJob, StartReferenceImportJob**
Para iniciar trabalhos de importação de dados, o chamador do IAM deve ter `kms:Decrypt` `kms:GenerateDataKey` permissões para a chave KMS na loja para a importação e `kms:Decrypt` permissões no bucket do Amazon S3 contendo os objetos a serem importados. Além disso, a função passada para a chamada deve ter `kms:Decrypt` permissões no bucket do Amazon S3 contendo os objetos a serem importados. O chamador do IAM também deve ter permissões para passar a função para o trabalho.
**CreateMultipartReadSetUpload, UploadReadSetPart, CompleteMultipartReadSetUpload**
Para concluir um upload de várias partes, o chamador do IAM deve ter `kms:Decrypt` e `kms:GenerateDataKey` criar, carregar e concluir o upload de várias partes.
**StartReadSetExportJob**
Para iniciar um trabalho de exportação de dados, o chamador do IAM deve ter `kms:Decrypt` permissão para que a chave KMS na loja exporte de `kms:GenerateDataKey` e `kms:Decrypt` para o bucket do Amazon S3 que recebe os objetos. Além disso, a função passada para a chamada deve ter `kms:Decrypt` permissões no bucket do Amazon S3 que recebe os objetos. O chamador do IAM também deve ter permissões para passar a função para o trabalho.
**StartReadsetActivationJob**
Para iniciar um trabalho de ativação do conjunto de leitura, o chamador do IAM deve ter `kms:GenerateDataKey` permissões `kms:Decrypt` e permissões para os objetos.
**GetReference, GetReadSet**
Para ler objetos da loja, o chamador do IAM precisa ter `kms:Decrypt` permissão para os objetos.
**Conjunto de leitura S3 GetObject**
Para ler objetos da loja usando a `GetObject` API do Amazon S3, o chamador do IAM deve ter `kms:Decrypt` permissão para os objetos. Defina essa permissão tanto para a chave gerenciada pelo cliente quanto para Chave pertencente à AWS as configurações.
#### Como HealthOmics usa subsídios no AWS KMS
HealthOmics O Analytics exige uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para usar sua chave KMS gerenciada pelo cliente. Os subsídios não são necessários nem usados para HealthOmics fluxos de trabalho. HealthOmics O armazenamento usa a chave gerenciada pelo cliente diretamente do responsável pelo serviço, portanto, não use uma concessão. Quando você cria uma loja de análise criptografada com uma chave gerenciada pelo cliente, a HealthOmics análise cria uma concessão em seu nome enviando uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação para o AWS KMS. Os subsídios no AWS KMS são usados para dar HealthOmics acesso a uma chave do KMS em uma conta de cliente.
Não é recomendável revogar ou retirar os subsídios que o HealthOmics Analytics cria em seu nome. Se você revogar ou retirar a concessão que dá HealthOmics permissão para usar as chaves do AWS KMS em sua conta HealthOmics , não poderá acessar esses dados, criptografar novos recursos enviados para o armazenamento de dados ou descriptografá-los quando forem retirados.
Quando você revoga ou retira um subsídio HealthOmics, a alteração ocorre imediatamente. Para revogar os direitos de acesso, recomendamos que você exclua o armazenamento de dados em vez de revogar a concessão. Quando você exclui o armazenamento de dados, HealthOmics retira as concessões em seu nome.
#### Monitorando suas chaves de criptografia para AWS HealthOmics
Você pode usar CloudTrail para rastrear as solicitações AWS HealthOmics enviadas AWS KMS em seu nome ao usar uma chave gerenciada pelo cliente. As entradas de registro no CloudTrail registro mostram HealthOmics .amazonaws.com no campo UserAgent para distinguir claramente as solicitações feitas por. HealthOmics
Os exemplos a seguir são CloudTrail eventos para CreateGrant, GenerateDataKey, Decrypt e DescribeKey para monitorar AWS KMS operações chamadas por HealthOmics para acessar dados criptografados pela chave gerenciada pelo cliente.
O seguinte também mostra como usar CreateGrant para permitir que a HealthOmics análise acesse uma chave KMS fornecida pelo cliente, permitindo usar essa chave KMS HealthOmics para criptografar todos os dados do cliente em repouso.
Você não precisa criar seus próprios subsídios. HealthOmics cria uma concessão em seu nome enviando uma CreateGrant solicitação para o AWS KMS. As concessões AWS KMS são usadas para dar HealthOmics acesso a uma AWS KMS chave na conta de um cliente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "xx:test",
"arn": "arn:AWS:sts::555555555555:assumed-role/user-admin/test",
"accountId": "xx",
"accessKeyId": "xxx",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "xxxx",
"arn": "arn:AWS:iam::555555555555:role/user-admin",
"accountId": "555555555555",
"userName": "user-admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-11T01:36:17Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "apigateway.amazonAWS.com"
},
"eventTime": "2022-11-11T02:34:41Z",
"eventSource": "kms.amazonAWS.com",
"eventName": "CreateGrant",
"AWSRegion": "us-west-2",
"sourceIPAddress": "apigateway.amazonAWS.com",
"userAgent": "apigateway.amazonAWS.com",
"requestParameters": {
"granteePrincipal": "AWS Internal",
"keyId": "arn:AWS:kms:us-west-2:555555555555:key/a6e87d77-cc3e-4a98-a354-e4c275d775ef",
"operations": [
"CreateGrant",
"RetireGrant",
"Decrypt",
"GenerateDataKey"
]
},
"responseElements": {
"grantId": "4869b81e0e1db234342842af9f5531d692a76edaff03e94f4645d493f4620ed7",
"keyId": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
},
"requestID": "d31d23d6-b6ce-41b3-bbca-6e0757f7c59a",
"eventID": "3a746636-20ef-426b-861f-e77efc56e23c",
"readOnly": false,
"resources": [
{
"accountId": "245126421963",
"type": "AWS::KMS::Key",
"ARN": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
}
],
"eventType": "AWSApiCall",
"managementEvent": true,
"recipientAccountId": "245126421963",
"eventCategory": "Management"
}
```
O exemplo a seguir mostra como usar GenerateDataKey para garantir que o usuário tenha as permissões necessárias para criptografar dados antes de armazená-los.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEUSER",
"arn": "arn:AWS:sts::111122223333:assumed-role/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLEKEYID",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEROLE",
"arn": "arn:AWS:iam::111122223333:role/Sampleuser01",
"accountId": "111122223333",
"userName": "Sampleuser01"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-06-30T21:17:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "omics.amazonAWS.com"
},
"eventTime": "2021-06-30T21:17:37Z",
"eventSource": "kms.amazonAWS.com",
"eventName": "GenerateDataKey",
"AWSRegion": "us-east-1",
"sourceIPAddress": "omics.amazonAWS.com",
"userAgent": "omics.amazonAWS.com",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
},
"responseElements": null,
"requestID": "EXAMPLE_ID_01",
"eventID": "EXAMPLE_ID_02",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
}
],
"eventType": "AWSApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
### Saiba mais
Os recursos a seguir fornecem mais informações sobre criptografia de dados em repouso.
Para obter mais informações sobre os [conceitos básicos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulte a AWS KMS documentação.
Para obter mais informações sobre [as melhores práticas de segurança](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) na AWS KMS documentação.
## Criptografia em trânsito
AWS HealthOmics usa o TLS 1.2\$1 para criptografar dados em trânsito pelos endpoints públicos e por meio de serviços de back-end.
# Gerenciamento de identidade e acesso em HealthOmics
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos da AWS HealthOmics . O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS HealthOmics funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS HealthOmics](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para AWS HealthOmics](security-iam-awsmanpol.md)
+ [Solução de problemas AWS HealthOmics de identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS HealthOmics de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS HealthOmics funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS HealthOmics](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS HealthOmics funciona com o IAM
Antes de usar o IAM para gerenciar o acesso à AWS HealthOmics, saiba quais recursos do IAM estão disponíveis para uso com a AWS HealthOmics.
**Recursos do IAM que você pode usar com AWS HealthOmics**
| Recurso do IAM | HealthOmics apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Não |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags nas políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Não |
Para ter uma visão de alto nível de como HealthOmics e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
# Prevenção do problema "confused deputy" entre serviços
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que a AWS HealthOmics concede a outro serviço ao recurso.
Para evitar o problema confuso de delegado nas funções assumidas por HealthOmics, defina o valor de `aws:SourceArn` to `arn:aws:omics:region:accountNumber:*` na política de confiança da função. O caractere curinga (`*`) aplica a condição a todos os HealthOmics recursos.
A política de relacionamento de confiança a seguir concede HealthOmics acesso aos seus recursos e usa as `aws:SourceArn` chaves de contexto de condição `aws:SourceAccount` global para evitar o confuso problema adjunto. Use essa política ao criar uma função para HealthOmics.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"omics.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:omics:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## Políticas baseadas em identidade para HealthOmics
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para HealthOmics
Para ver exemplos de políticas HealthOmics baseadas em identidade da AWS, consulte. [Exemplos de políticas baseadas em identidade para AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos dentro HealthOmics
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações políticas para HealthOmics
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de HealthOmics ações, consulte [Ações definidas pela AWS HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html#awshealthomics-actions-as-permissions) na *Referência de autorização de serviço*.
As ações de política HealthOmics usam o seguinte prefixo antes da ação:
```
omics
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"omics:action1",
"omics:action2"
]
```
Para ver exemplos de políticas HealthOmics baseadas em identidade da AWS, consulte. [Exemplos de políticas baseadas em identidade para AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Recursos políticos para HealthOmics
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de HealthOmics recursos e seus ARNs, consulte [Recursos definidos pela AWS HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html.html#awshealthomics-resources-for-iam-policies) na *Referência de autorização de serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html#awshealthomics-actions-as-permissions). HealthOmics
Para ver exemplos de políticas HealthOmics baseadas em identidade da AWS, consulte. [Exemplos de políticas baseadas em identidade para AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para HealthOmics
As chaves de condição da política não são suportadas no HealthOmics.
## Listas de controle de acesso (ACLs) em HealthOmics
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## Controle de acesso baseado em atributos (ABAC) com HealthOmics
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre recursos de marcação do HealthOmics, consulte [Marcando recursos em HealthOmics](tagging.md).
O exemplo a seguir mostra como você pode escrever uma política do IAM negando acesso a um recurso sem uma tag específica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"omics:*"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:RequestTag/MyCustomTag": "true"
}
}
}
]
}
```
------
## Usando credenciais temporárias com HealthOmics
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões principais entre serviços para HealthOmics
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para HealthOmics
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper HealthOmics a funcionalidade. Edite as funções de serviço somente quando HealthOmics fornecer orientação para fazer isso.
## Funções vinculadas a serviços para HealthOmics
**Compatível com perfis vinculados ao serviço:** Não
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para AWS HealthOmics
Por padrão, usuários e funções não têm permissão para criar ou modificar HealthOmics recursos da AWS. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pela AWS HealthOmics, incluindo o formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para a AWS HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html) na *Referência de autorização de serviço*. ARNs
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o HealthOmics console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir HealthOmics recursos da AWS em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o HealthOmics console
Para acessar o HealthOmics console da AWS, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os HealthOmics recursos da AWS em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gerenciadas para AWS HealthOmics
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonOmicsFullAccess
Você pode anexar a `AmazonOmicsFullAccess` política às suas identidades do IAM para dar a elas acesso HealthOmics total a.
Essa política concede permissões de acesso total a todas as HealthOmics ações. Quando você cria um repositório de anotações ou variantes, o Omics também fornece acesso a essa loja por meio de um convite de compartilhamento de recursos no console do Resource Access Manager (RAM). Para obter mais informações sobre convites para compartilhamento de recursos por meio do Lake Formation, consulte [Compartilhamento de dados entre contas no Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html). Para uma política administrativa do Omics, você também precisa das seguintes permissões para acessar seu bucket do Amazon S3.
+ PutObject
+ GetObject
+ ListBucket
+ AbortMultipartUpload
+ ListMultipartUploadParts
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "omics.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "omics.amazonaws.com"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonOmicsReadOnlyAccess
Você pode anexar a `AWSOmicsReadOnlyAccess` política às suas identidades do IAM quando quiser limitar as permissões dessa identidade ao acesso somente para leitura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:Get*",
"omics:List*"
],
"Resource": "*"
}
]
}
```
------
## HealthOmics atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas HealthOmics desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do HealthOmics documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| AmazonOmicsFullAccess - Nova política adicionada | HealthOmics adicionou uma nova política para conceder ao usuário acesso total a todas as ações e recursos. Para saber mais, consulte [AmazonOmicsFullAccess](#security-iam-awsmanpol-AmazonOmicsFullAccess). | 23 de fevereiro de 2023 |
| HealthOmics começou a rastrear as alterações | HealthOmics começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 29 de novembro de 2022 |
| AmazonOmicsReadOnlyAccess - Nova política adicionada | HealthOmics adicionou uma nova política que limita o acesso somente para leitura. Para saber mais, [AmazonOmicsReadOnlyAccess](#security-iam-awsmanpol-AmazonOmicsReadOnlyAccess). | 29 de novembro de 2022 |
# Solução de problemas AWS HealthOmics de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com a AWS HealthOmics e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em HealthOmics](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus HealthOmics recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em HealthOmics
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `omics:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: omics:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `omics:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para a AWS HealthOmics.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação na AWS HealthOmics. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus HealthOmics recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se a AWS HealthOmics oferece suporte a esses recursos, consulte[Como AWS HealthOmics funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Validação de conformidade para AWS HealthOmics
Auditores terceirizados avaliam a segurança e a conformidade AWS HealthOmics como parte de vários programas de AWS conformidade. Isso inclui HIPAA, FedRAMP e outros. A tabela a seguir mostra as certificações de conformidade do HealthOmics serviço.
| Certificação | Link |
| --- | --- |
| HIPAA | [Referência de serviços qualificados pela HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference) |
| HiTrust-CSF | [Estrutura de segurança comum da Health Information Trust Alliance](https://aws.amazon.com/compliance/services-in-scope/HITRUST-CSF/) |
| FedRAMP Moderado (Leste/Oeste) | [Programa federal de gerenciamento de riscos e autorizações](https://aws.amazon.com/compliance/services-in-scope/FedRAMP) |
| ESTRELA ISO/CSA | [Certificação ISO e CSA STAR](https://aws.amazon.com/compliance/iso-certified/) |
| C5 | [Catálogo de controles de conformidade de computação em nuvem](https://aws.amazon.com/compliance/services-in-scope/C5) |
| DoD CC SRG IL2 | [Guia de requisitos de segurança de computação em nuvem do Departamento de Defesa](https://aws.amazon.com/compliance/services-in-scope/DoD_CC_SRG) |
| ENS High | [Esquema Nacional de Segurança](https://aws.amazon.com/compliance/services-in-scope//ENS-High) |
| FINMA | [Autoridade Supervisora do Mercado Financeiro Suíço](https://aws.amazon.com/compliance/services-in-scope/FINMA) |
| É MAPA | [Programa de avaliação e gerenciamento de segurança do sistema de informação](https://aws.amazon.com/compliance/services-in-scope/ISMAP/) |
| OSPAR | [Relatório de auditoria do provedor de serviços terceirizado](https://aws.amazon.com/compliance/services-in-scope/OSPAR/) |
| PCI | [Padrão de segurança de dados do setor de cartões de pagamento](https://aws.amazon.com/compliance/services-in-scope/PCI/) |
| Pinakes | [Associação bancária CCI - Qualificação de terceiros](https://aws.amazon.com/compliance/services-in-scope/pinakes/) |
| PiTuKri | [Critérios para avaliar a segurança da informação dos serviços em nuvem](https://aws.amazon.com/compliance/services-in-scope/PiTuKri/) |
| SOC 1,2,3 | [Controles do sistema e da organização](https://aws.amazon.com/compliance/services-in-scope/SOC/) |
Para obter uma lista de todos os AWS serviços no escopo de programas de conformidade específicos, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) . Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
HealthOmics os armazenamentos de dados usam o ID de amostra para nomeação interna de arquivos e para marcar recursos. Antes de ingerir dados, verifique se o ID da amostra contém algum dado de PHI. Se isso acontecer, altere a ID da amostra antes de ingerir os dados. Para obter mais informações, consulte as orientações na página da web de [conformidade com a AWS HIPAA](https://aws.amazon.com/compliance/hipaa-compliance).
Sua responsabilidade de conformidade ao usar AWS HealthOmics é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. AWS fornece os seguintes recursos para ajudar na conformidade:
+ [Guias de início rápido de segurança e compatibilidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): esses guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em compatibilidade e segurança na AWS.
+ Documento técnico [sobre arquitetura para segurança e conformidade com a HIPAA — Este whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) descreve como as empresas podem usar para criar aplicativos compatíveis com a HIPAA. AWS
+ AWS Recursos de [https://aws.amazon.com/compliance/resources/](https://aws.amazon.com/compliance/resources/) de conformidade — Essa coleção de pastas de trabalho e guias pode ser aplicada ao seu setor e local.
+ [Avaliação de recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no *Guia do AWS Config Desenvolvedor* — AWS Config avalia o quão bem suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes do setor e os regulamentos.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Esse AWS serviço fornece uma visão abrangente do seu estado de segurança interno, AWS que ajuda você a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
# Resiliência em HealthOmics
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura AWS global, a AWS HealthOmics oferece vários recursos para ajudar a apoiar suas necessidades de resiliência e backup de dados.
# AWS HealthOmics e endpoints VPC de interface ()AWS PrivateLink
Você pode estabelecer uma conexão privada entre sua VPC e criar uma AWS HealthOmics interface *VPC* endpoint. Os endpoints de interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que você pode usar para acessar de forma privada as operações de HealthOmics API sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão do AWS Direct Connect. As instâncias na sua VPC não exigem endereços IP públicos para se comunicar com as operações HealthOmics da API. O tráfego entre sua VPC e o tráfego HealthOmics não sai da rede Amazon.
Cada endpoint de interface é representado por uma ou mais [Interfaces de Rede Elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nas sub-redes.
Para obter mais informações, consulte [Interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) no Guia do usuário da Amazon *VPC*.
As políticas de endpoint de VPC são compatíveis com todas as regiões HealthOmics , exceto Israel (Tel Aviv). Por padrão, o acesso total ao HealthOmics é permitido por meio do endpoint.
## Considerações sobre HealthOmics VPC endpoints
Antes de configurar uma interface para o VPC endpoint HealthOmics, certifique-se de revisar as [propriedades e limitações do endpoint da interface no](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) Guia do usuário do Amazon *VPC*.
HealthOmics suporta fazer chamadas para todas as ações da API HealthOmics de armazenamento a partir da sua VPC.
As políticas de VPC endpoint não são suportadas HealthOmics por padrão, mas você pode criar um VPC endpoint para acesso total HealthOmics às operações de armazenamento. HealthOmics Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
## Criação de uma interface VPC endpoint para HealthOmics
Você pode criar um VPC endpoint para o HealthOmics serviço usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
Crie um VPC endpoint para HealthOmics usando os seguintes nomes de serviço:
+ com.amazonaws. *region*.storage-omics
+ com.amazonaws. *region*. control-storage-omics
+ com.amazonaws. *region*.analytics-omics
+ com.amazonaws. *region*.workflows-omics
+ com.amazonaws. *region*.tags-comics
As regiões Leste dos EUA (Norte da Virgínia) e Oeste dos EUA (Oregon) oferecem suporte a endpoints AWS PrivateLink FIPS. Para essas regiões, você também pode usar os seguintes nomes de serviço:
+ com.amazonaws. *region*. storage-omics-fips
+ com.amazonaws. *region*. control-storage-omics-fips
+ com.amazonaws. *region*. analytics-omics-fips
+ com.amazonaws. *region*. workflows-omics-fips
+ com.amazonaws. *region*. tags-omics-fips
Se você ativar o DNS privado para o endpoint, poderá fazer solicitações de API HealthOmics usando o nome DNS padrão para a região, por exemplo,. `omics.us-east-1.amazonaws.com`
Para mais informações, consulte [Acessar um serviço por um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) no *Guia do usuário da Amazon VPC*.
## Criação de uma política de VPC endpoint para HealthOmics
É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao HealthOmics. Essa política especifica as seguintes informações:
+ A entidade principal que pode executar ações
+ As ações que podem ser executadas
+ Os recursos nos quais as ações podem ser executadas
Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
**Exemplo: política de VPC endpoint para ações. HealthOmics**
Veja a seguir um exemplo de uma política de endpoint para HealthOmics. Quando anexada a um endpoint, essa política concede acesso às HealthOmics ações para todos os diretores em todos os recursos.
------
#### [ API ]
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"omics:List*"
],
"Resource":"*"
}
]
}
```
------
#### [ AWS CLI ]
```
aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-id \
--region us-west-2 \
--policy-document \
"{\"Statement\":[{\"Principal\":\"*\",\"Effect\":\"Allow\",\"Action\":[\"omics:List*\"],\"Resource\":\"*\"}]}"
```
------
## Considerações especiais para acessar conjuntos de leitura usando o Amazon S3 URIs
Para acessar conjuntos de leitura por meio do Amazon S3 URIs quando você estiver usando uma conexão privada, configure os endpoints da PrivateLink interface no armazenamento de sequências. Depois de configurá-los, os endpoints têm os seguintes formatos:
```
com.amazonaws.region.storage-omics
com.amazonaws.region.control-storage-omics
```
Para usar endpoints de gateway, siga o guia [Endpoints de gateway para Amazon S3 para](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html) configurar seus endpoints de gateway. HealthOmics possui o bucket do Amazon S3, então você não precisa criar ou ajustar a política do bucket. Os endpoints do gateway dependem da política vinculada ao usuário ou à função que acessa os dados, mas você também pode configurar endpoints com políticas mais restritivas. Essas políticas podem incluir restrições de acesso com base no ARN do ponto de acesso do Amazon S3 e nas ações do Amazon S3.