As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tutorial: conceitos básicos do Acesso Verificado
Use este tutorial para começar Acesso Verificado pela AWS. Você aprenderá a criar e configurar recursos de Acesso Verificado.
Como parte deste tutorial, você adicionará uma aplicação ao Acesso Verificado. No final do tutorial, usuários específicos poderão acessar essa aplicação pela internet, sem usar VPN. Em vez disso, você usará Centro de Identidade do AWS IAM como provedor de confiança de identidade. Observe que este tutorial também não usa um provedor de dispositivos de confiança.
**Topics**
+ [Pré-requisitos do tutorial do Acesso Verificado](#getting-started-prerequisites)
+ [Etapa 1: criar um provedor de confiança do Acesso Verificado](#getting-started-configure-trust-provider)
+ [Etapa 2: criar uma instância do Acesso Verificado](#getting-started-create-instance)
+ [Etapa 3: criar um grupo do Acesso Verificado](#getting-started-create-group)
+ [Etapa 4: criar um endpoint do Acesso Verificado](#getting-started-create-endpoint)
+ [Etapa 5: configurar o DNS para o endpoint do Acesso verificado](#getting-started-configure-dns)
+ [Etapa 6: testar a conectividade com a aplicação](#getting-started-test)
+ [Etapa 7: adicionar uma política do Acesso Verificado ao nível do grupo](#getting-started-create-policy)
+ [Limpar os recursos do Acesso Verificado](#getting-started-cleanup)
## Pré-requisitos do tutorial do Acesso Verificado
Veja a seguir os pré-requisitos para concluir este tutorial:
+ Centro de Identidade do AWS IAM ativado no em Região da AWS que você está trabalhando. Em seguida, você pode usar o IAM Identity Center como um provedor confiável com Acesso Verificado. Para obter mais informações, consulte [Habilitar Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) no *Guia Centro de Identidade do AWS IAM do usuário*.
+ Um grupo de segurança para controlar o acesso à aplicação. Permita todo o tráfego de entrada do CIDR da VPC e todo o tráfego de saída.
+ Uma aplicação em execução por trás de um balanceador de carga interno do Elastic Load Balancing. Associe o grupo de segurança ao balanceador de carga.
+ Um certificado TLS autoassinado ou público em. AWS Certificate Manager Use um certificado RSA com um comprimento de chave de 1.024 ou 2.048.
+ Um domínio público hospedado e as permissões necessárias para atualizar os registros DNS do domínio.
+ Uma política do IAM com as permissões necessárias para criar uma Acesso Verificado pela AWS instância. Para obter mais informações, consulte [Política para criar instâncias de Acesso Verificado](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-instance).
## Etapa 1: criar um provedor de confiança do Acesso Verificado
Use o procedimento a seguir para se configurar Centro de Identidade do AWS IAM como seu provedor de confiança.
**Para criar um provedor de confiança do IAM Identity Center**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Fornecedores confiáveis de Acesso Verificado**.
1. Escolha **Criar provedor confiável de Acesso Verificado**.
1. (Opcional) Em **Tag de nome** e **Descrição**, insira um nome e uma descrição para o provedor confiável de Acesso Verificado.
1. Insira um identificador personalizado para usar posteriormente ao trabalhar com regras de política para o **nome de referência da política**. Por exemplo, insira: **idc**
1. Em **Tipo de provedor de confiança**, selecione **Provedor de confiança do usuário**.
1. Em **Tipo de provedor de confiança do usuário**, selecione **Centro de Identidade do IAM**.
1. Escolha **Criar provedor confiável de Acesso Verificado**.
## Etapa 2: criar uma instância do Acesso Verificado
Use o procedimento a seguir para criar uma instância do Acesso Verificado.
**Para criar uma instância do Acesso Verificado**
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Escolha **Criar instância de Acesso Verificado**.
1. (Opcional) Em **Nome** e **Descrição**, insira um nome e uma descrição para a instância do Acesso Verificado.
1. Para **provedor confiável de Acesso Verificado**, escolha seu provedor de confiança.
1. Escolha **Criar instância de Acesso Verificado**.
## Etapa 3: criar um grupo do Acesso Verificado
Siga o procedimento abaixo para criar um novo grupo de Acesso Verificado.
**Criar um grupo do acesso verificado**
1. No painel de navegação, escolha **Grupos de Acesso Verificado**.
1. Escolha **Criar grupo de Acesso Verificado**.
1. (Opcional) Em **Tag de nome** e **Descrição**, insira um nome e uma descrição para o grupo.
1. Para **instância de Acesso Verificado**, escolha sua instância de Acesso Verificado.
1. Mantenha em branco a **Definição de política**. Você adicionará uma política ao nível do grupo em uma etapa posterior.
1. Escolha **Criar grupo de Acesso Verificado**.
## Etapa 4: criar um endpoint do Acesso Verificado
Siga o procedimento abaixo para criar um endpoint do Acesso Verificado. Essa etapa pressupõe que você tem uma aplicação em execução por trás de um balanceador de carga interno do Elastic Load Balancing e um certificado de domínio público no AWS Certificate Manager.
**Criar um endpoint do acesso verificado**
1. No painel de navegação, escolha **Endpoints de Acesso Verificado**.
1. Escolha **Criar endpoint de Acesso Verificado**.
1. (Opcional) Em **Tag de nome** e **Descrição**, insira um nome e uma descrição para o endpoint.
1. Para **Grupo de Acesso Verificado**, escolha seu grupo de Acesso Verificado.
1. Em **Detalhes do endpoint**, faça o seguinte:
1. Para **Protocolo**, selecione **HTTPS** ou **HTTP**, dependendo da configuração do balanceador de carga.
1. Em **Tipo de anexo**, escolha **VPC**.
1. Em **Tipo de endpoint** escolha **balanceador de carga**.
1. Para **Porta**, insira o número da porta usada pelo receptor do balanceador de carga. Por exemplo, 443 para HTTPS ou 80 para HTTP.
1. Em **Load balancers ARN**, selecione seu balanceador de carga.
1. Em **Sub-redes**, selecione as sub-redes associadas ao seu balanceador de carga.
1. Para **Grupos de segurança**, selecione um grupo de segurança. Usar o mesmo grupo de segurança para o balanceador de carga e o endpoint permite o tráfego entre eles. Se você preferir não usar o mesmo grupo de segurança, referencie o grupo de segurança do endpoint do balanceador de carga para que ele aceite o tráfego do endpoint.
1. Em **Prefixo de domínio do Endpoint**, insira um identificador personalizado. Por exemplo, .**my-ava-app** Esse prefixo será anexado ao nome DNS que o Acesso Verificado gera.
1. Para **obter detalhes do aplicativo** faça o seguinte:
1. Em **Domínio do aplicativo**, insira o nome DNS do seu aplicativo. Esse domínio deve corresponder ao do seu certificado de domínio.
1. Para **ARN do certificado do domínio**, selecione o nome do recurso da Amazon (ARN) do certificado de domínio no AWS Certificate Manager.
1. Mantenha a opção **Detalhes da política** em branco. Você adicionará uma política de acesso ao nível do grupo em uma etapa posterior.
1. Escolha **Criar endpoint de Acesso Verificado**.
## Etapa 5: configurar o DNS para o endpoint do Acesso verificado
Nesta etapa, você mapeia o nome de domínio do seu aplicativo (por exemplo, www.myapp.example.com) para o nome de domínio do seu endpoint de Acesso Verificado. Para concluir o mapeamento do DNS, crie um Registro de Nome Canônico (CNAME) com seu provedor de DNS. Depois de criar o registro CNAME, todas as solicitações dos usuários ao seu aplicativo serão enviadas para o Acesso Verificado.
**Para obter o nome de domínio do endpoint.**
1. No painel de navegação, escolha **Endpoints de Acesso Verificado**.
1. Selecione o seu endpoint .
1. Escolha a guia **Detalhes**.
1. Copie o domínio de **Domínio do endpoint**. Veja a seguir um exemplo de nome de domínio de endpoint: `my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com`.
Siga as instruções fornecidas pelo provedor de DNS para criar um registro CNAME. Use o nome de domínio da aplicação como o nome do registro e o nome de domínio do endpoint do Acesso Verificado como o valor do registro.
## Etapa 6: testar a conectividade com a aplicação
Agora você pode testar a conectividade com seu aplicativo. Insira o nome de domínio do seu aplicativo em seu navegador da web. O comportamento padrão do Acesso Verificado é negar todas as solicitações. Como não adicionamos uma política do Acesso Verificado ao grupo ou endpoint, todas as solicitações foram negadas.
## Etapa 7: adicionar uma política do Acesso Verificado ao nível do grupo
Use o procedimento a seguir para modificar o grupo de Acesso Verificado e configurar uma política de acesso que permita a conectividade com seu aplicativo. Os detalhes da política dependerão dos usuários e grupos configurados no IAM Identity Center. Para mais informações, consulte [Políticas do Acesso Verificado](auth-policies.md).
**Para modificar um grupo de Acesso Verificado**
1. No painel de navegação, escolha **Grupos de Acesso Verificado**.
1. Selecione seu grupo.
1. Escolha **Ações**, **Modificar política de grupo de Acesso Verificado**.
1. Ative a opção **Habilitar política**.
1. Insira uma política que permita que os usuários do Centro de Identidade do IAM acessem a aplicação. Para obter exemplos, consulte [Exemplos de políticas do Acesso Verificado](trust-data-iam-add-pol.md).
1. Escolha **Modificar política de grupo de Acesso Verificado**.
1. Agora que a política de grupo está em vigor, repita o teste da etapa anterior para verificar se a solicitação é permitida. Se a solicitação for permitida, será exibida a página de login do Centro de Identidade do IAM para você se conectar. Depois de fornecer o nome de usuário e a senha, você poderá acessar a aplicação.
## Limpar os recursos do Acesso Verificado
Ao concluir este tutorial, use o procedimento a seguir para excluir os recursos do Acesso Verificado.
**Como excluir os recursos do Acesso Verificado**
1. No painel de navegação, escolha **Endpoints de Acesso Verificado**. Selecione o endpoint e escolha **Ações**, **Excluir endpoint do Acesso Verificado**.
1. No painel de navegação, escolha **Grupos de Acesso Verificado**. Selecione o grupo e escolha **Ações**, **Excluir grupo do Acesso Verificado**. O processo de exclusão do endpoint pode levar alguns minutos para ser concluído.
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**. Selecione a instância e escolha **Ações**, **Desanexar provedor de confiança do Acesso Verificado**. Selecione o provedor de confiança e escolha **Desanexar provedor de confiança do Acesso Verificado**.
1. No painel de navegação, escolha **Fornecedores confiáveis de Acesso Verificado**. Selecione o provedor de confiança e escolha **Ações**, **Excluir provedor de confiança do Acesso Verificado**.
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**. Selecione a instância e escolha **Ações**, **Excluir instância do Acesso Verificado**.