Para recursos semelhantes aos do Amazon Timestream para, considere o Amazon Timestream LiveAnalytics para InfluxDB. Ele oferece ingestão de dados simplificada e tempos de resposta de consulta de um dígito em milissegundos para análises em tempo real. Saiba mais [aqui](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso para o Amazon Timestream para LiveAnalytics
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar o Timestream para obter recursos. LiveAnalytics O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Timestream for funciona com o IAM LiveAnalytics](security_iam_service-with-iam.md)
+ [AWS políticas gerenciadas para o Amazon Timestream Live Analytics](security-iam-awsmanpol.md)
+ [Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Solução de problemas do Amazon Timestream LiveAnalytics para identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas do Amazon Timestream LiveAnalytics para identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Timestream for funciona com o IAM LiveAnalytics](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para obter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Timestream for funciona com o IAM LiveAnalytics
Antes de usar o IAM para gerenciar o acesso ao Timestream LiveAnalytics, você deve entender quais recursos do IAM estão disponíveis para uso com o Timestream. LiveAnalytics Para ter uma visão de alto nível de como o Timestream LiveAnalytics e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) usuário do *IAM*.
**Topics**
+ [Cronograma para LiveAnalytics políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)
+ [Cronograma para LiveAnalytics políticas baseadas em recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada no Timestream para tags LiveAnalytics](#security_iam_service-with-iam-tags)
+ [Cronograma para LiveAnalytics funções do IAM](#security_iam_service-with-iam-roles)
## Cronograma para LiveAnalytics políticas baseadas em identidade
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Timestream for LiveAnalytics suporta ações e recursos específicos e chaves de condição. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Você pode especificar as seguintes ações no elemento Ação de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API, ao comando da CLI ou ao comando SQL com o mesmo nome.
Em alguns casos, uma única ação controla o acesso a uma operação de API e a um comando SQL. Como alternativa, algumas operações exigem várias ações diferentes.
Para obter uma lista de Timestream compatíveis com s LiveAnalytics `Action`, consulte a tabela abaixo:
**nota**
Para todos os `Actions` específicos de bancos de dados, você pode especificar um ARN de banco de dados para limitar a ação a um banco de dados específico.
| Ações | Descrição | Nível de acesso | Tipos de recursos (\$1necessários) |
| --- | --- | --- | --- |
| DescribeEndpoints | Retorna o endpoint do Timestream para o qual as solicitações subsequentes devem ser feitas. | Todos | \$1 |
| Select | Execute consultas no Timestream que selecionam dados de uma ou mais tabelas. [Consulte esta nota para uma explicação detalhada](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | Ler | tabela\$1 |
| CancelQuery | Cancele uma consulta. | Ler | \$1 |
| ListTables | Obtenha a lista de tabelas. | Lista | banco de dados\$1 |
| ListDatabases | Obtenha a lista de bancos de dados. | Lista | \$1 |
| ListMeasures | Obtenha a lista de medidas. | Ler | tabela\$1 |
| DescribeTable | Obtenha a descrição da tabela. | Ler | tabela\$1 |
| DescribeDatabase | Obtenha uma descrição do banco de dados. | Ler | banco de dados\$1 |
| SelectValues | Execute consultas que não exijam a especificação de um recurso específico. [Consulte esta nota para uma explicação detalhada](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues). | Ler | \$1 |
| WriteRecords | Insira os dados no Timestream. | Gravar | tabela\$1 |
| CreateTable | Crie uma tabela. | Gravar | banco de dados\$1 |
| CreateDatabase | Crie um banco de dados. | Gravar | \$1 |
| DeleteDatabase | Exclua um banco de dados. | Gravar | \$1 |
| UpdateDatabase | Atualize um banco de dados. | Gravar | \$1 |
| DeleteTable | Exclua uma tabela. | Gravar | banco de dados\$1 |
| UpdateTable | Atualize uma tabela. | Gravar | banco de dados\$1 |
#### SelectValues versus selecionar:
`SelectValues` é um `Action` que é usado para consultas que *não* exigem um recurso. Veja um exemplo de consulta que não exige um recurso a seguir:
```
SELECT 1
```
Observe que essa consulta não se refere a um determinado Timestream para LiveAnalytics o recurso. Considere outro exemplo:
```
SELECT now()
```
Essa consulta retorna o timestamp atual usando a `now()` função, mas não exige que um recurso seja especificado. `SelectValues`é frequentemente usado para testes, para que o Timestream for LiveAnalytics possa executar consultas sem recursos. Agora, considere uma consulta `Select`:
```
SELECT * FROM database.table
```
Esse tipo de consulta requer um recurso, especificamente um formulário Timestream LiveAnalytics `table`, para que os dados especificados possam ser buscados na tabela.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
No Timestream, LiveAnalytics bancos de dados e tabelas podem ser usados no `Resource` elemento de permissões do IAM.
O recurso Timestream para LiveAnalytics banco de dados tem o seguinte ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
O recurso Timestream for LiveAnalytics table tem o seguinte ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por exemplo, para especificar o espaço de chaves `database` em sua instrução, use o seguinte ARN:
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
Para especificar todos os bancos de dados que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
Alguns fluxos de tempo para LiveAnalytics ações, como aqueles para criar recursos, não podem ser executados em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
### Chaves de condição
O Timestream for LiveAnalytics não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
### Exemplos
Para ver exemplos de Timestream para políticas LiveAnalytics baseadas em identidade, consulte. [Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
## Cronograma para LiveAnalytics políticas baseadas em recursos
O Timestream for LiveAnalytics não oferece suporte a políticas baseadas em recursos. Para visualizar um exemplo de uma política baseada em recurso detalhada, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorização baseada no Timestream para tags LiveAnalytics
Você pode gerenciar o acesso ao seu Timestream para LiveAnalytics recursos usando tags. Para gerenciar o acesso a recursos baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as chaves de condição `timestream:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Para obter mais informações sobre como marcar Timestream para LiveAnalytics recursos, consulte. [Adicionar tags e rótulos a recursos](tagging-keyspaces.md)
Para visualizar exemplos de políticas baseadas em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Cronograma para acesso a LiveAnalytics recursos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Cronograma para LiveAnalytics funções do IAM
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usando credenciais temporárias com o Timestream para LiveAnalytics
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
### Perfis vinculados ao serviço
O Timestream for LiveAnalytics não oferece suporte a funções vinculadas a serviços.
### Perfis de serviço
O Timestream for LiveAnalytics não oferece suporte a funções de serviço.
# AWS políticas gerenciadas para o Amazon Timestream Live Analytics
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**Topics**
+ [AmazonTimestreamInfluxDBFullAcesso](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [Atualizações da política](#security-iam-awsmanpol-updates)
## AWS política gerenciada: AmazonTimestreamInflux DBFull Acesso
Você pode anexar `AmazonTimestreamInfluxDBFullAccess` aos seus usuários, grupos e funções. O acesso de política para criar, atualizar, excluir e listar instâncias do Amazon Timestream InfluxDB.
**Detalhes de permissões**
Esta política inclui a seguinte permissão:
+ `Amazon Timestream` – fornece acesso administrativo total para criar, atualizar, excluir e listar instâncias do Amazon Timestream InfluxDB e criar e listar grupos de parâmetros.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html).
## AWS política gerenciada: AmazonTimestreamReadOnlyAccess
Você pode anexar `AmazonTimestreamReadOnlyAccess` aos seus usuários, grupos e funções. A política fornece acesso somente leitura ao Amazon Timestream.
**Detalhes de permissões**
Esta política inclui a seguinte permissão:
+ `Amazon Timestream` – fornece acesso somente leitura ao Amazon Timestream. Essa política também concede permissão para cancelar qualquer consulta em execução.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html).
## AWS política gerenciada: AmazonTimestreamConsoleFullAccess
Você pode anexar `AmazonTimestreamConsoleFullAccess` aos seus usuários, grupos e funções.
A política fornece acesso total para gerenciar o Amazon Timestream usando o Console de gerenciamento da AWS. Essa política também concede permissões para determinadas AWS KMS operações e operações para gerenciar suas consultas salvas.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `Amazon Timestream` – Concede às entidades principais acesso total ao Amazon Timestream.
+ `AWS KMS`: permite que as entidades principais listem aliases e descrevam chaves.
+ `Amazon S3` – permite que as entidades principais listem todos os buckets do Amazon S3.
+ `Amazon SNS` – permite que as entidades principais listem e criem tópicos do Amazon SNS.
+ `IAM` – permite que as entidades principais listem os perfis do IAM.
+ `DBQMS`: permite que as entidades principais acessem, criem, excluam, descrevam e atualizem consultas. O Database Query Metadata Service (dbqms) é um serviço somente interno. Ele fornece suas consultas recentes e salvas para o editor de consultas em várias Serviços da AWS, incluindo o Console de gerenciamento da AWS Amazon Timestream.
+ `Pricing` – Permite que as entidades principais acessem a estimativa de preços para a configuração dos recursos do InfluxDB durante a criação.
+ `Marketplace`: Permite que as entidades principais acessem os recursos do mercado e criem contratos para a criação do InfluxDB Cluster com réplicas de leitura.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html).
## AWS política gerenciada: AmazonTimestreamFullAccess
Você pode anexar `AmazonTimestreamFullAccess` aos seus usuários, grupos e funções.
A política fornece acesso total ao Amazon Timestream. Essa política também concede permissões para determinadas AWS KMS operações.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `Amazon Timestream` – Concede às entidades principais acesso total ao Amazon Timestream.
+ `AWS KMS`: permite que as entidades principais listem aliases e descrevam chaves.
+ `Amazon S3` – permite que as entidades principais listem todos os buckets do Amazon S3.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html).
## Atualizações do Timestream Live Analytics para AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Timestream Live Analytics desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações nesta página, inscreva-se no RSS feed na página de [histórico de documentos do Timestream Live Analytics](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): atualizar para uma política existente | O Timestream para InfluxDB adicionou o ID do produto do Influx Enterprise Marketplace à política gerenciada `AmazonTimestreamInfluxDBFullAccess` existente para oferecer suporte à assinatura de ofertas do mercado corporativo. Essas permissões são restritas a produtos específicos do AWS Marketplace por meio de uma condição que limita o acesso a apenas alguns`ProductIds`. Consulte [AmazonTimestreamInfluxDBFullAcesso](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies). | 17 de outubro de 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | Foram adicionadas as permissões do AWS Marketplace à política `AmazonTimestreamConsoleFullAccess` gerenciada existente para acessar os recursos do marketplace e criar acordos para a criação do InfluxDB Cluster with Read Replicas. O Timestream Live Analytics também atualizou essa política gerenciada adicionando um campo `Sid`. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 20 de agosto de 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | A ação `pricing:GetProducts` foi adicionada à política gerenciada `AmazonTimestreamConsoleFullAccess` existente para fornecer estimativas de preços para as configurações de recursos do InfluxDB durante a criação. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 10 de junho de 2025 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – atualização para uma política existente | Ação `timestream:DescribeAccountSettings` adicionada à política gerenciada da `AmazonTimestreamReadOnlyAccess` existente. Essa ação é usada para descrever Conta da AWS as configurações. O Timestream Live Analytics também atualizou essa política gerenciada adicionando um campo `Sid`. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamReadOnlyAccess`. | 03 de junho de 2024 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – atualização para uma política existente | Ações `timestream:DescribeBatchLoadTask` e `timestream:ListBatchLoadTasks` adicionadas à política gerenciada da `AmazonTimestreamReadOnlyAccess` existente. Essas ações são usadas ao listar e descrever tarefas de carregamento em lote. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamReadOnlyAccess`. | 24 de fevereiro de 2023 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – atualização para uma política existente | Ações `timestream:DescribeScheduledQuery` e `timestream:ListScheduledQueries` adicionadas à política gerenciada da `AmazonTimestreamReadOnlyAccess` existente. Essas ações são usadas ao listar e descrever consultas agendadas existentes. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamReadOnlyAccess`. | 29 de novembro de 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | Ação `s3:ListAllMyBuckets` adicionada à política gerenciada da `AmazonTimestreamConsoleFullAccess` existente. Essa ação é usada quando você especifica um bucket do Amazon S3 para o Timestream para registrar erros de gravação no armazenamento magnético. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 29 de novembro de 2021 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess) – atualização para uma política existente | Ação `s3:ListAllMyBuckets` adicionada à política gerenciada da `AmazonTimestreamFullAccess` existente. Essa ação é usada quando você especifica um bucket do Amazon S3 para o Timestream para registrar erros de gravação no armazenamento magnético. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamFullAccess`. | 29 de novembro de 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | Foram removidas ações redundantes da política gerenciada `AmazonTimestreamConsoleFullAccess` existente. Anteriormente, essa política incluía uma ação redundante `dbqms:DescribeQueryHistory`. A política atualizada remove a ação redundante. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 23 de abril de 2021 |
| O Timestream Live Analytics começou a monitorar as alterações | O Timestream Live Analytics começou a monitorar as alterações em suas políticas AWS gerenciadas. | 21 de abril de 2021 |
# Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade
Por padrão, os usuários e funções do IAM não têm permissão para criar ou modificar o Timestream para LiveAnalytics recursos. Eles também não podem realizar tarefas usando o Console de gerenciamento da AWS, o CQLSH ou AWS a AWS CLI API. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o Timestream para console LiveAnalytics](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Operações comuns no Timestream para LiveAnalytics](#security_iam_id-based-policy-examples-common-operations)
+ [Cronograma para acesso a LiveAnalytics recursos com base em tags](#security_iam_id-based-policy-examples-tags)
+ [Consultas programadas](#security_iam_id-based-policy-examples-sheduledqueries)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir o Timestream para LiveAnalytics recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o Timestream para console LiveAnalytics
O Timestream for LiveAnalytics não exige permissões específicas para acessar o Amazon Timestream para console. LiveAnalytics Você precisa de pelo menos permissões de somente leitura para listar e visualizar detalhes sobre o Timestream dos LiveAnalytics recursos em sua conta. AWS Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Operações comuns no Timestream para LiveAnalytics
Abaixo estão exemplos de políticas do IAM que permitem operações comuns no Timestream for LiveAnalytics service.
**Topics**
+ [Permitindo todas as operações](#security_iam_id-based-policy-examples-common-operations.all)
+ [Permitindo operações SELECT](#security_iam_id-based-policy-examples-common-operations.select)
+ [Permitindo operações SELECT em vários recursos](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [Permitindo operações de metadados](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [Permitindo operações INSERT](#security_iam_id-based-policy-examples-common-operations.insert)
+ [Permitindo operações CRUD](#security_iam_id-based-policy-examples-common-operations.crud)
+ [Cancelar consultas e selecionar dados sem especificar recursos](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [Criar, descrever, excluir e descrever um banco de dados](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [Limitar bancos de dados listados por tag `{"Owner": "${username}"}`](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [Listar todas as tabelas em um banco de dados](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [Criar, descrever, excluir, atualizar e selecionar em uma tabela](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [Limitar uma consulta por tabela](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### Permitindo todas as operações
A seguir está um exemplo de política que permite todas as operações no Timestream para. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações SELECT
A amostra de política a seguir permite consultas em estilo `SELECT` em um recurso específico.
**nota**
Substitua `` pelo ID da sua conta Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações SELECT em vários recursos
A amostra de política a seguir permite consultas em estilo `SELECT` em vários recursos.
**nota**
Substitua `` pelo ID da sua conta Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações de metadados
O exemplo de política a seguir permite que o usuário realize consultas de metadados, mas não permite que o usuário execute operações que leiam ou gravem dados reais no Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações INSERT
A amostra de política a seguir permite que um usuário execute uma operação `INSERT` no `database/sampleDB/table/DevOps` na conta ``.
**nota**
Substitua `` pelo ID da sua conta Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### Permitindo operações CRUD
O exemplo de política a seguir permite que um usuário execute operações CRUD no Timestream para. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### Cancelar consultas e selecionar dados sem especificar recursos
A amostra de política a seguir permite que um usuário cancele consultas e realize consultas `Select` em dados que não exigem especificação de recursos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Criar, descrever, excluir e descrever um banco de dados
A amostra de política a seguir permite que um usuário crie, descreva, exclua e descreva o banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### Limitar bancos de dados listados por tag `{"Owner": "${username}"}`
A amostra de política a seguir permite que um usuário liste todos os bancos de dados marcados com o par de valor-chave `{"Owner": "${username}"}`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### Listar todas as tabelas em um banco de dados
A amostra de política a seguir lista todas as tabelas no banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### Criar, descrever, excluir, atualizar e selecionar em uma tabela
A amostra de política a seguir permite que um usuário crie tabelas, descreva tabelas, exclua tabelas, atualize tabelas e realize consultas `Select` em uma tabela `DevOps` no banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### Limitar uma consulta por tabela
A amostra de política a seguir permite que um usuário consulte todas as tabelas, exceto `DevOps` no banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## Cronograma para acesso a LiveAnalytics recursos com base em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso ao Timestream para LiveAnalytics recursos com base em tags. Esta seção fornece alguns exemplos.
O exemplo a seguir mostra como você pode criar uma política que conceda permissões a um usuário para visualizar uma tabela se o `Owner` da tabela contiver o valor do nome do usuário em questão.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário chamado `richard-roe` tentar visualizar um Timestream para uma LiveAnalytics tabela, a tabela deverá ser marcada com `Owner=richard-roe` ou. `owner=richard-roe` Caso contrário, ele terá o acesso negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
A política a seguir concede permissões a um usuário para criar tabelas com tags se a tag passada na solicitação tiver uma chave `Owner` e um valor `username`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
A política abaixo permite o uso da API `DescribeDatabase` em qualquer instância de banco de dados que tenha a tag `env` definida como `dev` ou `test`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
Esta política usa uma chave `Condition` para permitir que uma tag com a chave `env` e o valor `test`, `qa` ou `dev` seja adicionada a um recurso.
## Consultas programadas
### Listar, excluir, atualizar, executar ScheduledQuery
A amostra de política a seguir permite que um usuário liste, exclua, atualize e execute consultas agendadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### CreateScheduledQuery usando uma chave KMS gerenciada pelo cliente
O exemplo de política a seguir permite que um usuário crie uma consulta agendada criptografada usando uma chave KMS gerenciada pelo cliente;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### DescribeScheduledQuery usando uma chave KMS gerenciada pelo cliente
O exemplo de política a seguir permite que um usuário descreva uma consulta agendada que foi criada usando uma chave KMS gerenciada pelo cliente;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### Permissões do perfil de execução (usando uma chave KMS gerenciada pelo cliente para consultas agendadas e SSE-KMS para relatórios de erros)
Anexe a amostra de política a seguir ao perfil do IAM especificado no parâmetro `ScheduledQueryExecutionRoleArn`, da API `CreateScheduledQuery` que usa a chave KMS gerenciada pelo cliente para a criptografia da consulta agendada e criptografia `SSE-KMS` para relatórios de erros.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### Relação de confiança do perfil de execução
Veja a seguir a relação de confiança do perfil do IAM especificado no parâmetro `ScheduledQueryExecutionRoleArn` da API `CreateScheduledQuery`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Permitir acesso a todas as consultas agendadas criadas em uma conta
Anexe o exemplo de política a seguir à função do IAM especificada no `ScheduledQueryExecutionRoleArn` parâmetro, da `CreateScheduledQuery` API, para permitir o acesso a todas as consultas agendadas criadas em uma conta*Account\$1ID*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### Permitir acesso a todas as consultas agendadas com um nome específico
Anexe o exemplo de política a seguir à função do IAM especificada no `ScheduledQueryExecutionRoleArn` parâmetro, da `CreateScheduledQuery` API, para permitir o acesso a todas as consultas agendadas com um nome que comece com*Scheduled\$1Query\$1Name*, dentro da conta*Account\$1ID*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Solução de problemas do Amazon Timestream LiveAnalytics para identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Timestream for LiveAnalytics e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação no Timestream para LiveAnalytics](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meu Timestream para obter recursos LiveAnalytics](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no Timestream para LiveAnalytics
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O exemplo de erro a seguir ocorre quando o usuário do `mateojackson` IAM tenta usar o console para ver detalhes sobre um*table*, mas não tem `timestream:Select` permissões para a tabela.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `mytable` usando a ação `timestream:Select`.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para a Timestream. LiveAnalytics
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no Timestream for. LiveAnalytics No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meu Timestream para obter recursos LiveAnalytics
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Timestream for LiveAnalytics oferece suporte a esses recursos, consulte. [Como o Amazon Timestream for funciona com o IAM LiveAnalytics](security_iam_service-with-iam.md)
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.