As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Outposts
A segurança AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como a segurança da nuvem e a segurança na nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade aplicáveis AWS Outposts, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Para obter mais informações sobre segurança e conformidade para AWS Outposts, consulte as [perguntas frequentes sobre de AWS Outposts rack](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance).
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS Outposts. Ela mostra como atender aos objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos.
**Topics**
+ [Proteção de dados](data-protection.md)
+ [Gerenciamento de identidade e acesso](identity-access-management.md)
+ [Segurança da infraestrutura](infrastructure-security.md)
+ [Resiliência](disaster-recovery-resiliency.md)
+ [Validação de conformidade](compliance-validation.md)
+ [Acesso à Internet](internet-access.md)
# Proteção de dados em AWS Outposts
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS Outposts. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança do Serviços da AWS que você usa.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho.
Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
## Criptografia em repouso
Com isso AWS Outposts, todos os dados são criptografados em repouso. O material de chaves é embalado em uma chave externa armazenada em um dispositivo removível, a Chave de Segurança Nitro (NSK).
Você pode usar a criptografia do Amazon EBS para volumes do EBS e snapshots. A criptografia do Amazon EBS usa AWS Key Management Service (AWS KMS) e chaves KMS. Para obter mais informações, consulte [Amazon EBS Encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no Guia do *usuário do Amazon EBS*.
## Criptografia em trânsito
AWS criptografa dados em trânsito entre seu Posto Avançado e sua região. AWS Para obter mais informações, consulte [Conectividade por meio de links de serviço](service-links.md).
Você pode usar um protocolo de criptografia, como o Transport Layer Security (TLS), para criptografar dados sigilosos em trânsito pelo gateway local para sua rede local.
## Exclusão de dados
Quando você interrompe ou encerra uma instância EC2, a memória alocada para ela é apagada (definida como zero) pelo hipervisor antes que ela seja alocada para uma nova instância, e cada bloco de armazenamento é redefinido.
Destruir a Chave de Segurança Nitro destrói criptograficamente os dados em seu Outpost.
# Gerenciamento de identidade e acesso (IAM) para AWS Outposts
AWS Identity and Access Management (IAM) é um AWS serviço que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) a usar AWS Outposts os recursos. Você pode usar o IAM sem custo adicional.
**Topics**
+ [Como o AWS Outposts funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas](security_iam_id-based-policy-examples.md)
+ [Perfis vinculados ao serviço](using-service-linked-roles.md)
+ [AWS políticas gerenciadas](security-iam-awsmanpol.md)
# Como o AWS Outposts funciona com o IAM
Antes de usar o IAM para gerenciar o acesso aos AWS Outposts, saiba quais recursos do IAM estão disponíveis para uso com o AWS Outposts.
| Recurso do IAM | AWS Suporte para Outposts |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| Políticas baseadas em recurso | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| ACLs | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim |
| Perfis de serviço | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
## Políticas baseadas em identidade para Outposts AWS
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para Outposts AWS
Para ver exemplos de políticas baseadas em identidade do AWS Outposts, consulte. [AWS Exemplos de políticas de Outposts](security_iam_id-based-policy-examples.md)
## Ações políticas para AWS Outposts
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de ações do AWS Outposts, consulte [Ações definidas por AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) na Referência de *Autorização de Serviço*.
As ações políticas em AWS Outposts usam o seguinte prefixo antes da ação:
```
outposts
```
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `List`, inclua a seguinte ação:
```
"Action": "outposts:List*"
```
## Recursos políticos para AWS Outposts
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Algumas ações da API AWS Outposts oferecem suporte a vários recursos. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver uma lista dos tipos de recursos do AWS Outposts e seus ARNs, consulte [Tipos de recursos definidos AWS Outposts na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies) *Autorização de Serviço*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
## Chaves de condição de política para AWS Outposts
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista das chaves de condição do AWS Outposts, consulte Chaves de [condição AWS Outposts na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys) *Autorização de Serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
Para ver exemplos de políticas baseadas em identidade do AWS Outposts, consulte. [AWS Exemplos de políticas de Outposts](security_iam_id-based-policy-examples.md)
## ABAC com Outposts AWS
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usando credenciais temporárias com Outposts AWS
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões principais entre serviços para Outposts AWS
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções vinculadas a serviços para Outposts AWS
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar funções vinculadas ao serviço do AWS Outposts, consulte. [Funções vinculadas a serviços para AWS Outposts](using-service-linked-roles.md)
# AWS Exemplos de políticas de Outposts
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do AWS Outposts. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pelo AWS Outposts, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Outposts na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) *Autorização de Serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Exemplo: Concessão de permissões em nível de recurso](#outposts-policy-examples)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do AWS Outposts em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Exemplo: Concessão de permissões em nível de recurso
O exemplo a seguir usa permissões em nível de recurso para conceder permissão para obter informações sobre o Outpost especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
O exemplo a seguir usa permissões em nível de recurso para conceder permissão para obter informações sobre o site especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# Funções vinculadas a serviços para AWS Outposts
AWS Outposts usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo de função de serviço vinculada diretamente a. AWS Outposts AWS Outposts define funções vinculadas ao serviço e inclui todas as permissões necessárias para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço torna sua configuração AWS Outposts mais eficiente, pois você não precisa adicionar manualmente as permissões necessárias. AWS Outposts define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Outposts pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus AWS Outposts recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
## Permissões de função vinculadas ao serviço para AWS Outposts
AWS Outposts **usa a função vinculada ao serviço chamada AWSService RoleForOutposts \$1. *OutpostID*** Essa função concede ao Outposts permissões para gerenciar recursos de rede para permitir a conectividade privada em seu nome. Essa função também permite que o Outposts crie e configure interfaces de rede, gerencie grupos de segurança e anexe interfaces às instâncias de endpoint do service link. Essas permissões são necessárias para estabelecer e manter a conexão segura e privada entre o Outpost local e os AWS serviços, garantindo a operação confiável da implantação do Outpost.
A função *OutpostID* vinculada ao serviço AWSService RoleForOutposts \$1 confia nos seguintes serviços para assumir a função:
+ `outposts.amazonaws.com`
### Políticas de funções vinculadas a serviços
A função *OutpostID* vinculada ao serviço AWSService RoleForOutposts \$1 inclui as seguintes políticas:
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
A `AWSOutpostsServiceRolePolicy` política permite o acesso aos AWS recursos gerenciados pelo AWS Outposts.
Essa política permite AWS Outposts concluir as seguintes ações nos recursos especificados:
+ Ação: `ec2:DescribeNetworkInterfaces` em todos os AWS recursos
+ Ação: `ec2:DescribeSecurityGroups` em todos os AWS recursos
+ Ação: `ec2:DescribeSubnets` em todos os AWS recursos
+ Ação: `ec2:DescribeVpcEndpoints` em todos os AWS recursos
+ Ação: `ec2:CreateNetworkInterface` sobre os seguintes AWS recursos:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ Ação: `ec2:CreateNetworkInterface` no AWS recurso `"arn:*:ec2:*:*:network-interface/*"` que corresponde à seguinte condição:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ Ação: `ec2:CreateSecurityGroup` sobre os seguintes AWS recursos:
```
"arn:*:ec2:*:*:vpc/*"
```
+ Ação: `ec2:CreateSecurityGroup` no AWS recurso `"arn:*:ec2:*:*:security-group/*"` que corresponde à seguinte condição:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
A `AWSOutpostsPrivateConnectivityPolicy_OutpostID` política permite AWS Outposts concluir as seguintes ações nos recursos especificados:
+ Ação: `ec2:AuthorizeSecurityGroupIngress` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Ação: `ec2:AuthorizeSecurityGroupEgress` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Ação: `ec2:CreateNetworkInterfacePermission` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Ação: `ec2:CreateTags` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ Ação: `ec2:RevokeSecurityGroupIngress` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Ação: `ec2:RevokeSecurityGroupEgress` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Ação: `ec2:DeleteNetworkInterface` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Ação: `ec2:DeleteSecurityGroup` em todos os AWS recursos que correspondam à seguinte condição:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Crie uma função vinculada ao serviço para AWS Outposts
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você configura a conectividade privada para seu Outpost no Console de gerenciamento da AWS, AWS Outposts cria a função vinculada ao serviço para você.
Para obter mais informações, consulte [Opções de conectividade privada do Service Link](private-connectivity.md).
## Edite uma função vinculada ao serviço para AWS Outposts
AWS Outposts não permite que você edite a função *OutpostID* vinculada ao serviço AWSService RoleForOutposts \$1. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte [Atualizar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) no *Guia do usuário do IAM*.
## Excluir uma função vinculada ao serviço para AWS Outposts
Se você não precisar mais usar um recurso ou um serviço que requer uma função vinculada ao serviço, é recomendável excluí-la. Dessa forma, você evita ter uma entidade não utilizada que não seja monitorada ou mantida ativamente. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
Se o AWS Outposts serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Você deve excluir seu Outpost antes de excluir a função vinculada ao *OutpostID* serviço AWSService RoleForOutposts \$1.
Antes de começar, certifique-se de que seu Outpost não esteja sendo compartilhado usando AWS Resource Access Manager (AWS RAM). Para obter mais informações, consulte [Cancelar o compartilhamento de um recurso compartilhado do Outpost](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare).
**Para excluir AWS Outposts recursos usados pelo AWSService RoleForOutposts \$1 *OutpostID***
Entre em contato com o AWS Enterprise Support para excluir seu Outpost.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS Outposts serviços
AWS Outposts suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte os FAQs racks para [Outposts](https://aws.amazon.com/outposts/rack/faqs/).
# AWS políticas gerenciadas para AWS Outposts
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSOutposts ServiceRolePolicy
Essa política está vinculada a uma função vinculada ao serviço que permite que AWS Outposts realizem ações em seu nome. Para obter mais informações, consulte [Perfis vinculados ao serviço](using-service-linked-roles.md).
## AWS Outposts: atualizações das políticas gerenciadas AWS
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do AWS Outposts desde que esse serviço começou a rastrear essas mudanças.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Atualizações na função AWS Identity and Access Management vinculada ao serviço \$1 AWSService RoleForOutposts OutpostID | As permissões de função OutpostID vinculada ao serviço AWSServiceRoleForOutposts\$1 foram atualizadas para refinar a forma como AWS Outposts gerencia os recursos de rede para conectividade privada, com controles mais precisos sobre a interface de rede e as operações do grupo de segurança necessárias para instâncias de endpoint do link de serviço. | 18 de abril de 2025 |
| AWS Outposts começaram a monitorar as mudanças | AWS Outposts começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 3 de dezembro de 2019 |
# Segurança da infraestrutura em AWS Outposts
Como um serviço gerenciado, o AWS Outposts é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS Outposts pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Para obter mais informações sobre a segurança da infraestrutura fornecida para as instâncias do EC2 e os volumes do EBS em execução no seu Outpost, consulte [Segurança da infraestrutura no Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html).
Os registros de fluxo de VPC funcionam da mesma forma que em uma AWS região. Isso significa que eles podem ser publicados na CloudWatch Logs, no Amazon S3 ou na Amazon GuardDuty para análise. Os dados precisam ser enviados de volta à Região para publicação nesses serviços, para que não sejam visíveis de CloudWatch ou de outros serviços quando o Posto Avançado estiver em um estado desconectado.
## Monitoramento de adulteração em equipamentos AWS Outposts
Certifique-se de que ninguém modifique, altere, faça engenharia reversa ou adultere o equipamento. AWS Outposts AWS Outposts o equipamento pode ser equipado com monitoramento de adulteração para garantir a conformidade com os [Termos AWS de Serviço](https://aws.amazon.com/service-terms/).
# Resiliência em AWS Outposts
AWS Outposts foi projetado para ser altamente disponível. Os racks do Outposts são projetados com potência redundante e equipamentos de rede. Para obter resiliência adicional, recomendamos que você forneça fontes de alimentação duplas e conectividade da rede redundante para seu Outpost.
Para alta disponibilidade, você pode provisionar capacidade adicional integrada e sempre ativa no rack do Outposts. As configurações de capacidade do Outpost foram projetadas para operar em ambientes de produção e oferecer suporte a instâncias N\$11 para cada família de instâncias quando você provisiona a capacidade para isso. A AWS recomenda alocar capacidade adicional suficiente para suas aplicações essenciais à missão a fim de permitir recuperação e failover se houver um problema de host subjacente. Você pode usar as métricas de disponibilidade de CloudWatch capacidade da Amazon e definir alarmes para monitorar a integridade de seus aplicativos, criar CloudWatch ações para configurar opções de recuperação automática e monitorar a utilização da capacidade de seus Outposts ao longo do tempo.
Ao criar um Posto Avançado, você seleciona uma Zona de Disponibilidade de uma AWS Região. Essa zona de disponibilidade oferece suporte a operações do plano de controle, como responder a chamadas de API, além de monitorar e atualizar o Outpost. Para se beneficiar da resiliência fornecida pelas zonas de disponibilidade, você pode implantar aplicativos em vários Outposts, cada um deles conectado a uma zona de disponibilidade diferente. Isso permite que você crie resiliência adicional de aplicativos e evite a dependência de uma zona de disponibilidade única. Para obter mais informações sobre regiões e zonas de disponibilidade, consulte [AWS Infraestrutura global](https://aws.amazon.com/about-aws/global-infrastructure/).
Você pode usar um grupo de posicionamento com uma estratégia de disseminação para garantir que as instâncias sejam posicionadas em racks distintos do Outposts. Isso pode ajudar a reduzir falhas correlacionadas. Para obter mais informações, consulte [Grupos de posicionamento em Outposts](outposts-optimizations.md#placement-groups-outpost).
Você pode executar instâncias no Outposts usando o Amazon EC2 Auto Scaling e criar um Application Load Balancer para distribuir o tráfego entre as instâncias. Para obter mais informações, consulte [Configurar um Application Load Balancer no AWS Outposts](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/).
# Validação de conformidade para AWS Outposts
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Acesso à Internet para AWS Outposts cargas de trabalho
Esta seção explica como AWS Outposts as cargas de trabalho podem acessar a Internet das seguintes formas:
+ Por meio da AWS região mãe
+ Por meio da rede do seu data center local
## Acesso à Internet através da AWS região principal
Nessa opção, as cargas de trabalho nos Outposts acessam a Internet por meio do link de serviço e, em seguida, pelo gateway de Internet (IGW) na região principal. AWS O tráfego de saída para a internet pode ser feito por meio do gateway NAT instanciado na VPC. Para obter segurança adicional para seu tráfego de entrada e saída, você pode usar serviços AWS de segurança como AWS WAF, AWS Shield, e Amazon CloudFront na AWS região.
Para a configuração da tabela de rotas na sub-rede do Outposts, consulte [Tabelas de rotas de gateway local](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Considerações
+ Use essa opção quando:
+ Você precisa de flexibilidade para proteger o tráfego da Internet com vários AWS serviços na AWS região.
+ Você não tiver um ponto de presença na internet no data center ou instalação de colocalização.
+ Nessa opção, o tráfego deve atravessar a AWS região principal, o que introduz latência.
+ Semelhante às cobranças de transferência de dados nas AWS regiões, a transferência de dados da Zona de Disponibilidade principal para o Posto Avançado incorre em cobranças. Para saber mais sobre a transferência de dados, consulte os [Preço sob demanda do Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
+ A utilização da largura de banda do link de serviço aumentará.
A imagem a seguir mostra o tráfego entre a carga de trabalho na instância Outposts e a Internet passando pela AWS região principal.
![\[Mostra o tráfego entre a carga de trabalho na instância do Outposts e a Internet passando pela AWS região principal.\]](http://docs.aws.amazon.com/pt_br/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## Acesso à internet por meio da rede do data center local
Nessa opção, as workloads que residem nos Outposts acessam a internet por meio do data center local. O tráfego da workload que acessa a internet atravessa o ponto de presença local na internet e sai localmente. A camada de segurança da rede do data center local é responsável por proteger o tráfego da workload do Outposts.
Para a configuração da tabela de rotas na sub-rede do Outposts, consulte [Tabelas de rotas de gateway local](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Considerações
+ Use essa opção quando:
+ As workloads exigem acesso de baixa latência aos serviços da internet.
+ Você prefere evitar cobranças de transferência de dados de saída (DTO).
+ Você deseja preservar a largura de banda do link de serviço para controlar o ambiente de gerenciamento.
+ Sua camada de segurança é responsável por proteger o tráfego da workload do Outposts.
+ Se você optar pelo Direct VPC Routing (DVR), deverá garantir que os Outposts CIDRs não entrem em conflito com os locais. CIDRs
+ Se a rota padrão (0/0) for propagada pelo gateway local (LGW), talvez as instâncias não consigam chegar aos endpoints do serviço. Como alternativa, você pode escolher endpoints da VPC para alcançar o serviço desejado.
A imagem a seguir mostra o tráfego entre a workload na instância do Outposts e a internet passando pelo data center local.
![\[Mostra o tráfego entre a workload na instância do Outposts e a internet passando pela rede do data center.\]](http://docs.aws.amazon.com/pt_br/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)