As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceder acesso às visualizações do Explorador de Recursos para pesquisa
Antes de pesquisar com uma nova visualização, você deve conceder acesso às visualizações do Explorador de recursos da AWS. Para fazer isso, use uma política de permissão baseada em identidade para as entidades principais do AWS Identity and Access Management (IAM) que precisam pesquisar com a visualização.
Para fornecer o acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos no AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Create a permission set (Criação de um conjunto de permissões) no Guia do usuário do AWS IAM Identity Center.
-
Usuários gerenciados no IAM usando um provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Creating a role for an IAM user (Criação de um perfil para um usuário do IAM) no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adicionar permissões a um usuário (console) no Guia do usuário do IAM.
-
Você pode usar um destes dois métodos:
-
Use uma política gerenciada pela AWS existente. O Explorador de Recursos fornece várias políticas gerenciadas pela AWS predefinidas para seu uso. Para obter detalhes sobre todas as políticas gerenciadas pela AWS disponíveis, consulte AWS políticas gerenciadas para Explorador de recursos da AWS.
Por exemplo, você pode usar a política
AWSResourceExplorerReadOnlyAccesspara conceder permissões de pesquisa a todas as visualizações na conta. -
Crie sua própria política de permissão e atribuí-la às entidades principais. Se você criar sua própria política, poderá restringir o acesso a uma única visualização ou a um subconjunto das visualizações disponíveis especificando o nome do recurso da Amazon (ARN) de cada visualização no elemento
Resourceda instrução da política. Por exemplo, você pode usar o exemplo de política a seguir para conceder a essa entidade principal a capacidade de pesquisar usando somente essa única visualização.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-explorer-2:Search", "resource-explorer-2:GetView" ], "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111 } ] }Use o console do IAM para criar as políticas de permissão e use-as com as entidades principais que precisam dessas permissões. Para obter mais informações sobre as políticas de permissões do IAM, consulte os seguintes tópicos:
Usar autorização baseada em tags para controlar o acesso às visualizações
Se você escolher criar várias visualizações com filtros que só retornem resultados com determinados recursos, talvez também queira restringir o acesso a essas visualizações apenas às entidades principais que precisam ver tais recursos. Você pode fornecer esse tipo de segurança para as visualizações da sua conta usando uma estratégia de controle de acesso por atributo (ABAC). Os atributos usados pelo ABAC são as tags anexadas às entidades principais que tentam realizar operações na AWS e aos recursos que elas tentam acessar.
O ABAC usa as políticas de permissão padrão do IAM anexadas às entidades principais. As políticas usam os elementos Condition nas instruções das políticas para só permitir acesso quando as tags anexadas à entidade principal solicitante e as tags anexadas ao recurso afetado corresponderem aos requisitos da política.
Por exemplo, você pode anexar uma tag "Environment" = "Production" a todos os recursos da AWS compatíveis com a aplicação de produção da sua empresa. Para garantir que somente as entidades principais autorizadas a acessar o ambiente de produção possam ver esses recursos, crie uma visualização do Explorador de Recursos que use essa tag como filtro. Depois, para restringir o acesso à visualização somente às entidades principais apropriadas, você concede permissões usando uma política que tem uma condição semelhante aos elementos do exemplo a seguir.
{ "Effect": "Allow", "Action": [ "service:Action1", "service:Action2" ], "Resource": "arn:aws:arn-of-a-resource", "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} } }
A Condition do exemplo anterior especifica que a solicitação só será permitida se a tag Environment anexada à entidade principal solicitante corresponder à tag Environment anexada ao recurso especificado na solicitação. Se essas duas tags não corresponderem exatamente ou se alguma delas não estiver presente, o Explorador de Recursos negará a solicitação.
Importante
Para usar o ABAC com sucesso para proteger o acesso aos recursos, você deve primeiro restringir o acesso à capacidade de adicionar ou modificar as tags anexadas às entidades principais e aos recursos. Se um usuário puder adicionar ou modificar as tags anexadas a uma entidade principal ou a um recurso da AWS, ele poderá afetar as permissões controladas por essas tags. Em um ambiente seguro de ABAC, somente os administradores de segurança aprovados têm permissão para adicionar ou modificar as tags anexadas às entidades principais, e somente os administradores de segurança e os proprietários dos recursos podem adicionar ou modificar as tags anexadas aos recursos.
Para obter mais informações sobre como implementar com sucesso uma estratégia de ABAC, consulte os seguintes tópicos no Guia do usuário do IAM:
Depois de instalar a infraestrutura de ABAC necessária, você pode começar a usar tags para controlar quem pode pesquisar usando as visualizações do Explorador de Recursos em sua conta. Para obter exemplos de políticas que ilustram esse princípio, consulte os seguintes exemplos de políticas de permissões:
