

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controle de acesso à Detecção de Anomalias em Custos
<a name="accesscontrol-ad"></a>

É possível usar controles de acesso em nível de recurso e tags de controle de acesso por atributo (ABAC) para monitores de anomalias de custo e assinaturas de anomalias. Cada monitor de anomalias e recurso de assinatura de anomalias tem um nome do recurso da Amazon (ARN) exclusivo. Você também pode associar tags (pares de chave/valor) a cada recurso. Tanto os ARNs de recursos quanto as tags de ABAC podem ser usados para fornecer controle de acesso granular a perfis ou grupos de usuários nas suas Contas da AWS.

Para obter mais informações sobre controles de acesso em nível de recurso e tags de ABAC, consulte [Como AWS O gerenciamento de custos funciona com o IAM](security_iam_service-with-iam.md).

**nota**  
A detecção de anomalias de custo não oferece suporte a políticas baseadas em recursos. Resource-based as políticas estão diretamente vinculadas aos AWS recursos. Para obter mais informações sobre a diferença entre políticas e permissões, consulte [Identity-based políticas e políticas baseadas em recursos no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) do *usuário do IAM*.

## Controle de acesso usando políticas de nível de recurso
<a name="accesscontrol-ad-resource-level"></a>

Você pode usar permissões em nível de recurso para permitir ou negar acesso a um ou mais recursos da Detecção de Anomalias em Custos em uma política do IAM. Como alternativa, use permissões em nível de recurso para permitir ou negar acesso a todos os recursos da Detecção de Anomalias em Custos.

Ao criar um IAM, use os seguintes formatos de nome do recurso da Amazon (ARN):
+ Recurso ARN `AnomalyMonitor`

  `arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ Recurso ARN `AnomalySubscription`

  `arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`

Para permitir que a entidade do IAM obtenha e crie um monitor de anomalias ou uma assinatura de anomalias, use uma política semelhante a esta política de exemplo.

**nota**  
Para `ce:GetAnomalyMonitor` e `ce:GetAnomalySubscription`, os usuários têm todo ou nenhum controle de acesso em nível de recurso. Isso exige que a política use um ARN genérico na forma de `arn:${partition}:ce::${account-id}:anomalymonitor/*`, `arn:${partition}:ce::${account-id}:anomalysubscription/*` ou `*`.
Para `ce:CreateAnomalyMonitor` e `ce:CreateAnomalySubscription`, não temos um ARN de recurso para esse recurso. Portanto, a política sempre usa o ARN genérico mencionado no marcador anterior.
Para `ce:GetAnomalies`, use o parâmetro opcional `monitorArn`. Quando usado com esse parâmetro, confirmamos se o usuário tem acesso ao `monitorArn` passado.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}
```

------

Para permitir que a entidade do IAM atualize ou exclua monitores de anomalias, use uma política semelhante a esta política de exemplo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}
```

------

## Controlar o acesso usando tags (ABAC)
<a name="accesscontrol-ad-tags"></a>

É possível usar tags (ABAC) para controlar o acesso aos recursos da Detecção de anomalia de custo que oferecem suporte à atribuição de tags. Para controlar o acesso usando tags, forneça informações da tag no elemento `Condition` de uma política. Depois, é possível criar uma política do IAM que permite ou nega o acesso a um recurso com base na tag desse recurso. É possível usar as chaves de condição de tag para controlar o acesso a recursos, solicitações ou qualquer parte do processo de autorização. Para obter mais informações sobre perfis do IAM usando tags, consulte [Controle de acesso para usuários e perfis do IAM usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) no *Guia do usuário do IAM*.

Crie uma política baseada em identidade que permita a atualização de monitores de anomalia. Se a tag do monitor de `Owner` tiver o valor do nome de usuário, use uma política semelhante a esta política de exemplo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}
```

------