access management aws identity and nova função apareceu na minha conta do aws..... 441 não...

AWS Identity andAccess Management

Guia do usurio

AWS Identity and Access Management Guia do usurio

AWS Identity and Access Management: Guia do usurioCopyright 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsO que o IAM? ................................................................................................................................. 1

Vdeo de introduo ao IAM ......................................................................................................... 1Recursos do IAM ........................................................................................................................ 1Acessando o IAM ....................................................................................................................... 3Como funciona o IAM ................................................................................................................. 3

Principal ............................................................................................................................ 4Solicitao ......................................................................................................................... 4Autenticao ...................................................................................................................... 5Autorizao ........................................................................................................................ 5Aes ............................................................................................................................... 5Recursos ........................................................................................................................... 6

Viso geral: usurios .................................................................................................................. 6Somente primeiro acesso: credenciais do usurio raiz .............................................................. 6Usurios do IAM ................................................................................................................ 7Federao de usurios existentes ......................................................................................... 7

Viso geral: permisses e polticas ............................................................................................... 8Polticas e usurios ............................................................................................................. 9Polticas e grupos ............................................................................................................. 10Usurios federados e funes ............................................................................................ 10Polticas baseadas em identidade e em recursos ................................................................... 10

Recursos de segurana fora do IAM ............................................................................................ 12Links rpidos para tarefas comuns .............................................................................................. 13

Configurar ........................................................................................................................................ 15Uso do IAM para conceder aos usurios acesso aos recursos da AWS ............................................. 15 necessrio se cadastrar no IAM? ............................................................................................. 16Recursos adicionais .................................................................................................................. 16

Conceitos bsicos ............................................................................................................................. 17Criao de um usurio administrador e grupo do IAM .................................................................... 18

Criao de um usurio administrador e um grupo do IAM (console) .......................................... 18Criao de um grupo e um usurio do IAM (AWS CLI) ........................................................... 19Recursos relacionados ....................................................................................................... 21

Como usurios fazem login em sua conta .................................................................................... 21Permisses necessrias para atividades de console ............................................................... 22Registro em log de detalhes do login no CloudTrail ................................................................ 22

Tutoriais .......................................................................................................................................... 23Tutorial: Delegar acesso ao console de faturamento ...................................................................... 23

Pr-requisitos ................................................................................................................... 24Etapa 1: Ativar o acesso aos dados de faturamento em sua conta de teste da AWS .................... 24Etapa 2: Criar polticas do IAM que concedam permisses para dados de faturamento ................. 24Etapa 3: Anexar polticas de faturamento aos seus grupos ...................................................... 25Etapa 4: Testar o acesso ao console de faturamento ............................................................. 26Recursos relacionados ....................................................................................................... 27Resumo ........................................................................................................................... 27

Tutorial: Delegar acesso entre contas da AWS usando funes ....................................................... 27Pr-requisitos ................................................................................................................... 28Etapa 1 Criar uma funo ............................................................................................... 29Etapa 2 Conceder acesso funo .................................................................................. 31Etapa 3 Testar o acesso alternando funes ...................................................................... 32Recursos relacionados ....................................................................................................... 36Resumo ........................................................................................................................... 36

Tutorial: crie uma poltica gerenciada pelo cliente .......................................................................... 36Pr-requisitos ................................................................................................................... 37Etapa 1: crie a poltica ...................................................................................................... 37Etapa 2: anexe a poltica ................................................................................................... 38

iii


Etapa 3: acesso ao usurio de teste .................................................................................... 38Recursos relacionados ....................................................................................................... 38Resumo ........................................................................................................................... 38

Tutorial: Ative usurios para configurar suas prprias credenciais e configuraes de MFA ................... 39Pr-requisitos ................................................................................................................... 39Etapa 1: Criar uma poltica para impor o login com MFA ......................................................... 40Etapa 2: Anexar polticas ao seu grupo de teste .................................................................... 43Etapa 3: Testar o acesso do usurio ................................................................................... 43Recursos relacionados ....................................................................................................... 44

Melhores prticas e casos de uso ....................................................................................................... 45Melhores prticas ...................................................................................................................... 45

Bloqueie as chaves de acesso de usurio raiz de sua conta da AWS ........................................ 45Crie usurios individuais do IAM ......................................................................................... 46Use grupos para atribuir permisses para usurios do IAM ..................................................... 46Use polticas definidas pela AWS para atribuir permisses sempre que possvel ......................... 47Conceda privilgio mnimo ................................................................................................. 47Use nveis de acesso para revisar permisses do IAM ........................................................... 48Configure uma poltica de senha forte para seus usurios ....................................................... 48Habilite a MFA para usurios privilegiados ........................................................................... 48Use funes para aplicativos que so executados em instncias do Amazon EC2 ....................... 49Delegue usando funes em vez de compartilhar credenciais .................................................. 49Troque as credenciais regularmente .................................................................................... 49Remova credenciais desnecessrias .................................................................................... 49Use condies de poltica para segurana extra .................................................................... 50Monitorar atividades em sua conta da AWS .......................................................................... 50Apresentao de vdeo sobre as melhores prticas do IAM ..................................................... 51

Casos de uso corporativos ......................................................................................................... 51Configurao inicial de Exemplo Corp .................................................................................. 52Caso de uso para IAM com Amazon EC2 ............................................................................ 52Caso de uso para IAM com Amazon S3 .............................................................................. 53

Console do IAM e pgina de login ...................................................................................................... 55A pgina de login do usurio do IAM ........................................................................................... 55A pgina de login do usurio raiz da conta da AWS ....................................................................... 56Controle do acesso de usurios ao Console de gerenciamento da AWS ............................................ 57O ID da sua conta da AWS e seu alias ....................................................................................... 58

Como encontrar seu ID da conta da AWS ............................................................................ 58Sobre aliases de contas .................................................................................................... 58Criao, excluso e listagem de um alias de conta da AWS .................................................... 58

Uso de dispositivos MFA com sua pgina de login do IAM .............................................................. 59Pesquisa no console do IAM ...................................................................................................... 60

Uso de pesquisa no console do IAM ................................................................................... 60cones nos resultados de pesquisa no console do IAM ........................................................... 61Exemplos de frases de pesquisa ......................................................................................... 61

Identidades ...................................................................................................................................... 63O usurio raiz da conta da AWS ................................................................................................. 63Usurios do IAM ....................................................................................................................... 63Grupos do IAM ......................................................................................................................... 63Funes do IAM ....................................................................................................................... 64Credenciais temporrias ............................................................................................................. 64Quando criar um usurio do IAM (em vez de uma funo) .............................................................. 64Quando criar uma funo do IAM (em vez de um usurio) .............................................................. 65Usurios .................................................................................................................................. 65

Como a AWS identifica um usurio do IAM .......................................................................... 65Usurios e credenciais ...................................................................................................... 66Usurios e permisses ...................................................................................................... 67Usurios e contas ............................................................................................................. 67Usurios como contas de servio ........................................................................................ 67

iv


Incluso de um usurio ..................................................................................................... 67Como usurios do IAM fazem login na AWS ......................................................................... 71Gerenciamento de usurios ................................................................................................ 73Alterao de permisses para um usurio ............................................................................ 76Senhas ............................................................................................................................ 79Chaves de acesso ............................................................................................................ 90Recuperao de senhas ou chaves de acesso perdidas ......................................................... 96Autenticao multifator (MFA) ............................................................................................. 97Localizao de credenciais no utilizadas ........................................................................... 126Como obter relatrios de credenciais ................................................................................. 129Uso do IAM com AWS CodeCommit: credenciais do Git, chaves SSH e chaves de acesso daAWS ............................................................................................................................. 133Como trabalhar com certificados de servidor ....................................................................... 135

Grupos .................................................................................................................................. 139Criao de grupos ........................................................................................................... 140Gerenciamento de grupos ................................................................................................ 141

Funes ................................................................................................................................. 145Termos e conceitos ......................................................................................................... 146Cenrios comuns ............................................................................................................ 148Provedores de identidade e federao ............................................................................... 154Funes vinculadas ao servio .......................................................................................... 190Criar funes .................................................................................................................. 197Uso de funes .............................................................................................................. 220Gerenciamento de funes ............................................................................................... 241Polticas baseadas em recursos versus funes .................................................................. 251

Credenciais de segurana temporrias ....................................................................................... 253AWS STS e regies da AWS ............................................................................................ 253Cenrios comuns para credenciais temporrias ................................................................... 254Solicitao de credenciais de segurana temporrias ............................................................ 255Uso de credenciais de segurana temporrias para solicitar acesso aos recursos da AWS .......... 266Controle de permisses para credenciais de segurana temporrias ....................................... 270Ativao e desativao do AWS STS em uma regio da AWS ............................................... 281Exemplos de aplicativos que usam credenciais temporrias ................................................... 283Recursos adicionais para credenciais temporrias ................................................................ 284

O usurio raiz ......................................................................................................................... 285Ativar MFA no usurio raiz da conta da AWS ...................................................................... 285Criar chaves de acesso para o usurio raiz ........................................................................ 285Excluir chaves de acesso do usurio raiz ........................................................................... 286Alterar a senha do usurio raiz ......................................................................................... 287

Registro em log de eventos com o CloudTrail ............................................................................. 287Tipos de informaes do IAM registradas no CloudTrail ........................................................ 287Exemplos de eventos registrados em arquivos do CloudTrail ................................................. 290Como evitar entradas de log duplicadas no CloudTrail .......................................................... 297

Gerenciamento de acesso ................................................................................................................ 299Recursos de gerenciamento do acesso ...................................................................................... 300Polticas ................................................................................................................................. 300

Polticas baseadas em identidade ...................................................................................... 300Polticas com base em recurso ......................................................................................... 301Viso geral das polticas JSON ......................................................................................... 301Polticas gerenciadas e embutidas ..................................................................................... 305Identidade vs recurso ...................................................................................................... 310Controlar acesso usando polticas ..................................................................................... 312Exemplo de polticas ....................................................................................................... 320

Gerenciamento de polticas do IAM ........................................................................................... 343Como criar polticas do IAM .............................................................................................. 344Validar polticas JSON ..................................................................................................... 349Como testar polticas do IAM ............................................................................................ 349

v


Como anexar e desanexar polticas do IAM ........................................................................ 359Versionamento de polticas do IAM .................................................................................... 364Editar polticas do IAM ..................................................................................................... 366Excluir polticas do IAM .................................................................................................... 370Reduzir escopo da poltica ............................................................................................... 371

Noes bsicas sobre polticas ................................................................................................. 377Resumo da poltica (lista de servios) ................................................................................ 378Resumo de servios (lista de aes) .................................................................................. 388Resumo da ao (lista de recursos) ................................................................................... 393Exemplo de resumos de polticas ...................................................................................... 396

Permisses obrigatrias ........................................................................................................... 404Permisses para administrao de identidades do IAM ......................................................... 404Permisses para trabalhar no Console de gerenciamento da AWS .......................................... 405Concesso de permisses entre contas da AWS ................................................................. 406Permisses para um servio acessar outro ......................................................................... 406Aes necessrias .......................................................................................................... 406Exemplos de polticas para o IAM ..................................................................................... 407

Soluo de problemas do IAM .......................................................................................................... 414Soluo de problemas gerais .................................................................................................... 414

Perdi minhas chaves de acesso ........................................................................................ 414Preciso acessar uma conta antiga ..................................................................................... 415No consigo fazer login na minha conta ............................................................................. 415Eu recebo a mensagem de "acesso negado" quando fao uma solicitao para um servio daAWS ............................................................................................................................. 416Eu recebo uma mensagem de "acesso negado" quando fao uma solicitao com credenciais desegurana temporrias ..................................................................................................... 416As variveis da poltica no esto funcionando .................................................................... 416As alteraes que eu fao nem sempre ficam imediatamente visveis ...................................... 417

Polticas de soluo de problemas ............................................................................................. 417Soluo de problemas usando o editor visual ...................................................................... 418Soluo de problemas usando resumos de polticas ............................................................. 422Soluo de problemas de gerenciamento de polticas ........................................................... 428Soluo de problemas de documentos de polticas JSON ..................................................... 428

Soluo de problemas das funes do IAM ................................................................................ 432No consigo assumir uma funo ...................................................................................... 432Uma nova funo apareceu na minha conta do AWS ........................................................... 433No consigo editar ou excluir uma funo na minha conta do AWS ......................................... 433No estou autorizado a executar: iam:PassRole .................................................................. 434Por que no possvel assumir uma funo com uma sesso de 12 horas? (AWS CLI, API daAWS) ............................................................................................................................ 434

Soluo de problemas do Amazon EC2 e do IAM ........................................................................ 434Ao tentar executar uma instncia, eu no vejo a funo que eu esperava ver na lista de funesdo IAM no console do Amazon EC2. ................................................................................. 435As credenciais na minha instncia so para a funo errada. ................................................. 435Quando eu tento chamar o AddRoleToInstanceProfile, recebo o erro AccessDenied. ....... 435Amazon EC2: Quando tento executar uma instncia com uma funo, recebo o erroAccessDenied. ............................................................................................................. 436No consigo acessar as credenciais de segurana temporrias em minha instncia do EC2. ....... 436O que os erros do documento info na subrvore do IAM significam? ..................................... 437

Soluo de problemas do Amazon S3 e do IAM .......................................................................... 438Como fao para conceder acesso annimo a um bucket do Amazon S3? ................................. 438Eu estou conectado como Usurio raiz da conta da AWS. Por que eu no consigo acessar umbucket do Amazon S3 na minha conta? ............................................................................. 438

Soluo de problemas da Federao SAML 2.0 com a AWS ......................................................... 438Resposta do SAML invlida .............................................................................................. 439RoleSessionName obrigatrio ......................................................................................... 439No autorizado para AssumeRoleWithSAML ....................................................................... 439

vi


Caracteres do RoleSessionName invlidos ......................................................................... 440Resposta da assinatura invlida ........................................................................................ 440Falha ao assumir funo .................................................................................................. 440No foi possvel analisar os metadados .............................................................................. 440DurationSeconds excede MaxSessionDuration ..................................................................... 441Como visualizar uma resposta do SAML no navegador para soluo de problemas .................... 441

Referncia ...................................................................................................................................... 444Identificadores do IAM ............................................................................................................. 444

Nomes e caminhos amigveis ........................................................................................... 444ARNs do IAM ................................................................................................................. 445IDs exclusivos ................................................................................................................ 447

Limites ................................................................................................................................... 448Limites de nome de entidade do IAM ................................................................................. 449Limites de objeto de entidade do IAM ................................................................................ 449Limites de caracteres de entidade do IAM .......................................................................... 450

Servios que funcionam com o IAM ........................................................................................... 452Computao ................................................................................................................... 453Armazenamento e migrao ............................................................................................. 454Database ....................................................................................................................... 454Redes e entrega de contedo ........................................................................................... 455Ferramentas de desenvolvedor ......................................................................................... 455Ferramentas de gerenciamento ......................................................................................... 456Mdia ............................................................................................................................. 456Aprendizagem automtica ................................................................................................ 457Anlise .......................................................................................................................... 457Segurana, identidade e conformidade ............................................................................... 458Mobilidade ...................................................................................................................... 459Integrao de aplicativo ................................................................................................... 459Produtividade empresarial ................................................................................................ 459Streaming de desktop e aplicaes .................................................................................... 460Internet das Coisas ......................................................................................................... 460Desenvolvimento de jogos ................................................................................................ 460Software ........................................................................................................................ 461Recursos adicionais ......................................................................................................... 461

Referncia de polticas ............................................................................................................. 461Referncia de elemento JSON .......................................................................................... 462Lgica de avaliao de polticas JSON do IAM .................................................................... 496Gramtica das polticas .................................................................................................... 502Polticas gerenciadas pela AWS para funes de trabalho ..................................................... 508Chaves de condio globais ............................................................................................. 516Chaves de condio de IAM ............................................................................................. 522

Recursos ....................................................................................................................................... 529Usurios e grupos ................................................................................................................... 529Credenciais (senhas, chaves de acesso e dispositivos MFA) ......................................................... 529Polticas e permisses ............................................................................................................. 529Federao e delegao ............................................................................................................ 530IAM e outros produtos da AWS ................................................................................................. 530

Uso do IAM com o Amazon EC2 ....................................................................................... 530Uso do IAM com o Amazon S3 ......................................................................................... 530Uso do IAM com o Amazon RDS ...................................................................................... 531Uso do IAM com o Amazon DynamoDB ............................................................................. 531

Prticas de segurana gerais .................................................................................................... 531Recursos gerais ...................................................................................................................... 531

Como fazer solicitaes de consulta .................................................................................................. 533Endpoints ............................................................................................................................... 533HTTPS obrigatrio ................................................................................................................... 534Assinatura de solicitaes de API do IAM ................................................................................... 534

vii


AWS Glossary ................................................................................................................................ 535

viii

AWS Identity and Access Management Guia do usurioVdeo de introduo ao IAM

O que o IAM?

O AWS Identity and Access Management (IAM) um servio da web que ajuda voc a controlar o acessoaos recursos da AWS de forma segura. Voc usa o IAM para controlar quem autenticado (fez login) eautorizado (tem permisses) a usar os recursos.

Ao criar uma conta do AWS pela primeira vez, voc comea com uma nica identidade de login quetem acesso completo a todos os servios e recursos da AWS na conta. Essa identidade denominadausurio raiz da conta da AWS e acessada pelo login com o endereo de e-mail e a senha que voc usoupara criar a conta. Recomendamos que no use o usurio raiz para suas tarefas dirias, nem mesmoas administrativas. Em vez disso, siga as melhores prticas de usar o usurio raiz apenas para criar seuprimeiro usurio do IAM. Depois, armazene as credenciais usurio raiz com segurana e use-as paraexecutar apenas algumas tarefas de gerenciamento de contas e de servios.

Tpicos Vdeo de introduo ao IAM (p. 1) Recursos do IAM (p. 1) Acessando o IAM (p. 3) Como funciona o IAM (p. 3) Viso geral do gerenciamento de identidades: usurios (p. 6) Viso geral do gerenciamento de acesso: permisses e polticas (p. 8) Recursos de segurana fora do IAM (p. 12) Links rpidos para tarefas comuns (p. 13)

Vdeo de introduo ao IAMO treinamento e certificao da AWS oferece uma introduo de vdeo de 10 minutos para o IAM:

Introduo ao AWS Identity and Access Management

Recursos do IAMO IAM oferece os seguintes recursos:

Acesso compartilhado sua conta da AWS

Voc pode conceder permisses a outras pessoas para administrar e usar recursos em sua conta daAWS sem a necessidade de compartilhar sua senha ou chave de acesso.

Permisses granulares

Voc pode conceder permisses diferentes a pessoas diferentes para diferentes recursos. Porexemplo, voc pode conceder acesso completo a alguns usurios ao Amazon Elastic Compute Cloud

1

https://twitter.com/AWSSecurityInfohttp://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-usershttp://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-usershttps://www.aws.training/learningobject/video?id=16448

AWS Identity and Access Management Guia do usurioRecursos do IAM

(Amazon EC2), ao Amazon Simple Storage Service (Amazon S3), ao Amazon DynamoDB, ao AmazonRedshift, e a outros servios da AWS. Para outros usurios, voc pode permitir acesso somenteleitura a apenas alguns buckets do S3 ou permisso para administrar apenas algumas instncias doEC2 ou para acessar suas informaes de faturamento, mas nada mais.

Acesso seguro a recursos da AWS para aplicativos que so executados no Amazon EC2

Voc pode usar recursos do IAM para fornecer credenciais de forma segura aos aplicativos que soexecutados em instncias do EC2. Essas credenciais fornecem permisses ao aplicativo para acessaroutros recursos da AWS. Os exemplos incluem buckets do S3 e tabelas do DynamoDB.

Autenticao multifator (MFA)

Voc pode adicionar a autenticao de dois fatores sua conta e a usurios individuais paraproporcionar segurana extra. Com a MFA, voc ou seus usurios devem fornecer no apenas umasenha ou chave de acesso para trabalhar com a sua conta, mas tambm um cdigo de um dispositivoespecialmente configurado.

Federao de identidades

Voc pode permitir que os usurios que j tm senhas em outro lugar por exemplo, em sua redecorporativa ou com um provedor de identidade de Internet obtenham acesso temporrio sua contada AWS.

informaes de identidade para garantia

Se voc usar o AWS CloudTrail, receber registros de log com informaes sobre quem fezsolicitaes de recursos na sua conta. Essas informaes so baseadas em identidades do IAM.

Conformidade do PCI DSS

IAM oferece suporte a processamento, armazenamento e transmisso de dados de carto de crditopor um comerciante ou provedor de servios, e foi validado como em conformidade com o DataSecurity Standard (DSS Padro de segurana de dados) da Payment Card Industry (PCI Setor decarto de crdito). Para obter mais informaes sobre PCI DSS, incluindo como solicitar uma cpia dopacote de conformidade com PCI da AWS, consulte Nvel 1 do PCI DSS.

Integrados com muitos servios da AWS

Para obter uma lista de servios da AWS que funcionam com o IAM, consulte Servios da AWScompatveis com o IAM (p. 452).

Finalmente consistente

O IAM, como muitos outros servios da AWS, finalmente consistente. O IAM atinge altadisponibilidade ao replicar dados em vrios servidores dentro de datacenters da Amazon emtodo o mundo. Se uma solicitao para alterar alguns dados for bem-sucedida, a alterao estarcomprometida e armazenada com segurana. No entanto, a alterao dever ser replicada em todo oIAM, o que pode levar algum tempo. Essas alteraes incluem a criao ou a atualizao de usurios,grupos, funes ou polticas. Recomendamos que voc no inclua essas alteraes do IAM noscaminhos de cdigo crtico de alta disponibilidade do seu aplicativo. Em vez disso, faa alteraesdo IAM em uma rotina de inicializao ou de configurao separada que voc executa com menosfrequncia. Alm disso, certifique-se de verificar se as alteraes foram propagadas antes que osfluxos de trabalho de produo dependam delas. Para obter mais informaes, consulte As alteraesque eu fao nem sempre ficam imediatamente visveis (p. 417).

Uso gratuito

O AWS Identity and Access Management (IAM) e o AWS Security Token Service (AWS STS) sorecursos da sua conta da AWS oferecidos sem custos adicionais. Voc s ser cobrado quandoacessar outros servios da AWS usando os usurios do IAM ou as credenciais de seguranatemporrias do AWS STS. Para obter informaes sobre a definio de preo de outros produtos daAWS, consulte a pgina de definio de preo do Amazon Web Services.

2

https://aws.amazon.com/cloudtrail/https://aws.amazon.com/compliance/pci-dss-level-1-faqs/https://wikipedia.org/wiki/Eventual_consistencyhttps://aws.amazon.com/pricing/

AWS Identity and Access Management Guia do usurioAcessando o IAM

Acessando o IAMVoc pode trabalhar com o AWS Identity and Access Management de qualquer uma das seguintes formas.

Console de gerenciamento da AWS

O console uma interface baseada em navegador para gerenciar recursos do IAM e da AWS. Paraobter mais informaes sobre como acessar o IAM por meio do console, consulte O console do IAM ea pgina de login (p. 55). Para ver um tutorial que guie voc pelo console, consulte Criao de seuprimeiro usurio administrador e grupo do IAM (p. 18).

Ferramentas da linha de comando da AWS

Voc pode usar as ferramentas de linha de comando da AWS para emitir comandos na linha decomando de seu sistema e realizar tarefas do IAM e da AWS. Usar a linha de comando pode ser maisrpido e mais conveniente do que o console. As ferramentas da linha de comando tambm so teisse voc quiser criar scripts que realizem tarefas da AWS.

A AWS fornece dois conjuntos de ferramentas de linha de comando: AWS Command Line Interface(AWS CLI) e AWS Tools para Windows PowerShell. Para obter informaes sobre a instalao e ouso da AWS CLI, consulte Guia do usurio do AWS Command Line Interface. Para obter informaessobre a instalao e o uso da Tools para Windows PowerShell, consulte Guia do usurio do AWSTools para Windows PowerShell.

AWS SDKs

A AWS fornece SDKs (kits de desenvolvimento de software) que consistem em bibliotecas e cdigosde exemplo para vrias linguagens de programao e plataformas (Java, Python, Ruby, .NET, iOS,Android, etc.). Os SDKs constituem uma forma conveniente de criar acesso programtico para o IAMe a AWS. Por exemplo, os SDKs processam tarefas como assinatura criptogrfica de solicitaes,gerenciamento de erros e novas tentativas automticas de solicitaes. Para obter informaes sobreos SDKs da AWS, incluindo como fazer download e instal-los, consulte a pgina Ferramentas para aAmazon Web Services.

API de HTTPS do IAM

Voc pode acessar o IAM e a AWS de forma programtica usando a API de HTTPS do IAM, quepermite que voc atribua solicitaes HTTPS diretamente ao servio. Quando voc usa a API HTTPS,deve incluir cdigo para assinar digitalmente solicitaes usando suas credenciais. Para obter maisinformaes, consulte Chamada da API por meio de solicitaes de consulta HTTP (p. 533) e IAMAPI Reference.

Como funciona o IAMAntes de criar usurios, voc deve entender como o IAM funciona. O IAM fornece a infraestruturanecessria para controlar a autenticao e autorizao da sua conta. A infraestrutura do IAM inclui osseguintes elementos:

Tpicos Principal (p. 4) Solicitao (p. 4) Autenticao (p. 5) Autorizao (p. 5) Aes (p. 5) Recursos (p. 6)

3

https://aws.amazon.com/cli/https://aws.amazon.com/powershell/http://docs.aws.amazon.com/cli/latest/userguide/http://docs.aws.amazon.com/powershell/latest/userguide/http://docs.aws.amazon.com/powershell/latest/userguide/https://aws.amazon.com/tools/https://aws.amazon.com/tools/http://docs.aws.amazon.com/IAM/latest/APIReference/http://docs.aws.amazon.com/IAM/latest/APIReference/

AWS Identity and Access Management Guia do usurioPrincipal

PrincipalUm principal uma entidade que pode realizar uma ao em um recurso da AWS. Seu usurioadministrador do IAM a primeira entidade principal. medida que o tempo passa, voc pode permitir queos usurios e servios assumam uma funo. Voc pode oferecer suporte a usurios federados ou acessoprogramtico para permitir que um aplicativo acesse sua conta da AWS. Os usurios, funes, usuriosfederados e aplicativos so todos entidades principais da AWS.

SolicitaoQuando uma entidade principal tenta usar o Console de gerenciamento da AWS, a API da AWS ou a AWSCLI, ela envia uma solicitao para a AWS. Uma solicitao especifica as seguintes informaes:

Aes (ou operaes) que a entidade principal deseja executar Recursos nos quais as aes so executadas Informaes principais, incluindo o ambiente a partir do qual a solicitao foi feita

As informaes sobre a solicitao so obtidas a partir de vrias origens:

4

AWS Identity and Access Management Guia do usurioAutenticao

Entidade principal (o solicitante), que determinada com base nos dados da autorizao. Isso inclui aspermisses agregadas que so associadas entidade principal.

Dados do ambiente, como endereo IP, agente do usurio, status do SSL ativado ou hora do dia. Essainformao determinada a partir da solicitao.

Dados do recurso ou relacionados ao recurso que est sendo solicitado. Isso pode incluir informaescomo um nome da tabela do DynamoDB ou uma tag em uma instncia do Amazon EC2. Essainformao determinada a partir da solicitao.

O AWS rene essas informaes em um contexto de solicitao, que usado para avaliar e autorizar asolicitao.

AutenticaoComo uma entidade principal, voc deve ser autenticado (fazer login na AWS) para enviar uma solicitaopara a AWS. Como alternativa, alguns servios, como o Amazon S3, permitem solicitaes de usuriosannimos. Para autenticar a partir do console, voc deve fazer login com seu nome de usurio e senha.Para autenticar a partir da API ou da CLI, voc deve fornecer sua chave de acesso e chave secreta.Tambm pode ser necessrio fornecer informaes adicionais de segurana. A AWS recomendao uso da autenticao multifator (MFA) para aumentar a segurana de sua conta. Para saber maissobre as identidades do IAM que a AWS pode autenticar, consulte Identidades (usurios, grupos efunes) (p. 63).

AutorizaoAo fazer uma autorizao, o IAM usa os valores do contexto da solicitao para buscar as polticascorrespondentes e determinar se ela ser consentida ou negada. As polticas so armazenadas no IAMcomo documentos JSON e especificam as permisses que so consentidas ou negadas s entidadesprincipais (polticas baseadas em identidade) ou a recursos (polticas baseadas em recursos).

O IAM verifica cada poltica que corresponde ao contexto da sua solicitao. Se uma nica poltica incluiruma ao negada, o IAM negar toda a solicitao e interromper a avaliao. Esse processo chamadode negao explcita. Como as solicitaes so negadas por padro, o IAM somente autorizar umasolicitao se cada parte da solicitao obtiver permisso das polticas correspondentes. A lgica daavaliao segue estas regras:

Por padro, todas as solicitaes so negadas. Uma permisso explcita substitui esse padro. Uma negao explcita substitui todas as permisses.

Note

Por padro, somente o Usurio raiz da conta da AWS (p. 285) tem acesso a todos os recursosna conta. Portanto, se voc no estiver conectado como usurio raiz, deve possuir as permissesconcedidas por uma poltica.

AesDepois que sua solicitao for autenticada e autorizada, a AWS aprovar as aes em sua solicitao. Asaes so definidas por um servio, e so as atividades que voc pode realizar com um recurso, comovisualizar, criar, editar e excluir esse recurso. Por exemplo, o IAM oferece suporte a cerca de 40 aespara um recurso de usurio, incluindo as seguintes aes:

CreateUser DeleteUser

5

AWS Identity and Access Management Guia do usurioRecursos

GetUser UpdateUser

Para permitir que uma entidade principal realize uma ao, voc deve incluir as aes necessrias emuma poltica que se aplique entidade principal ou ao recurso afetado.

RecursosDepois que a AWS aprova as aes em sua solicitao, essas aes podem ser executadas nos recursosrelacionados em sua conta. Um recurso uma entidade que existe dentro de um servio. Alguns exemplosso uma instncia do Amazon EC2, um usurio do IAM e um bucket do Amazon S3. O servio define umconjunto de aes que podem ser executadas em cada recurso. Se voc criar uma solicitao para realizaruma ao no relacionada em um recurso, essa solicitao ser negada. Por exemplo, se voc solicitar aexcluso de uma funo do IAM mas fornecer um recurso de grupo do IAM, a solicitao falhar.

Quando voc fornece permisses usando uma poltica baseada em identidade no IAM, est fornecendopermisses para acessar apenas os recursos na mesma conta. Se voc precisar fazer uma solicitaoem uma conta diferente, o recurso dessa conta deve ter uma poltica baseada em recurso anexada quepermita o acesso da sua conta. Caso contrrio, voc precisar assumir uma funo nessa conta que tenhaas permisses necessrias. Para saber mais sobre as permisses entre contas, consulte Concesso depermisses entre contas da AWS (p. 406).

Viso geral do gerenciamento de identidades:usurios

Para obter maior segurana e organizao, voc pode conceder acesso sua conta da AWS a usuriosespecficos identidades que voc cria com permisses personalizadas. Voc pode simplificar ainda maiso acesso para esses usurios por meio da federao de identidades existentes na AWS.

Tpicos Somente primeiro acesso: credenciais do usurio raiz (p. 6) Usurios do IAM (p. 7) Federao de usurios existentes (p. 7)

Somente primeiro acesso: credenciais do usurio raizAo criar uma conta da AWS, voc cria uma identidade Usurio raiz da conta da AWS que usada parafazer login na AWS. Voc pode fazer login no Console de gerenciamento da AWS usando essa identidadeusurio raiz, ou seja, com o endereo de e-mail e a senha que voc fornece ao criar a conta. Essacombinao de seu endereo de e-mail e senha tambm chamada de credenciais de usurio raiz.

Ao usar suas credenciais de usurio raiz, voc tem acesso total e irrestrito a todos os recursos da suaconta da AWS, incluindo o acesso s informaes de faturamento e a capacidade de alterar a senha. Essenvel de acesso necessrio quando voc configura inicialmente a conta. No entanto, recomendamos quevoc no use as credenciais de usurio raiz para acesso dirio. Recomendamos tambm que voc nocompartilhe suas credenciais de usurio raiz com outras pessoas, pois isso oferece a eles acesso irrestrito sua conta. No possvel restringir as permisses que so concedidas ao usurio raiz.

As sees a seguir explicam como usar o IAM para criar e gerenciar a identidade e as permisses deusurio para conceder acesso limitado seguro aos recursos da AWS tanto para voc quanto para outraspessoas que precisam trabalhar com eles.

6

AWS Identity and Access Management Guia do usurioUsurios do IAM

Usurios do IAMO aspecto "identidade" do AWS Identity and Access Management (IAM) ajuda voc com a pergunta "Quem aquele usurio?", geralmente chamado de autenticao. Em vez de compartilhar suas credenciais deusurio raiz com outras pessoas, voc pode criar usurios individuais do IAM na conta que correspondamaos usurios na sua organizao. Os usurios do IAM no so contas separadas; eles so usurios dentrode sua conta. Cada usurio pode ter sua prpria senha para o acesso ao Console de gerenciamento daAWS. Voc tambm pode criar uma chave de acesso individual para cada usurio, para que ele possafazer solicitaes programticas para trabalhar com recursos em sua conta. Na figura a seguir, os usuriosBrad, Jim, DevApp1, DevApp2, TestApp1 e TestApp2 foram adicionados a uma nica conta da AWS. Cadausurio tem suas prprias credenciais.

Observe que alguns dos usurios so, na verdade, aplicativos (por exemplo, DevApp1). Um usurio doIAM no precisa representar uma pessoa real; voc pode criar um usurio do IAM para gerar uma chavede acesso para um aplicativo que seja executado em sua rede corporativa e precisa de acesso AWS.

Recomendamos que voc crie um usurio do IAM para voc e, em seguida, atribua permissesadministrativas sua conta. Em seguida, voc pode fazer login como esse usurio para adicionar maisusurios, conforme necessrio.

Federao de usurios existentesSe os usurios na sua organizao j tiverem uma forma de autenticao, por exemplo, ao fazer login nasua rede corporativa, voc no precisar criar usurios do IAM separados para eles. Em vez disso, vocpode criar a federao dessas identidades de usurios na AWS.

O diagrama a seguir mostra como um usurio pode usar o IAM para obter credenciais de seguranatemporrias da AWS para acessar recursos em sua conta da AWS.

7

AWS Identity and Access Management Guia do usurioViso geral: permisses e polticas

A federao especialmente til nos seguintes casos:

Seus usurios j tm identidades em um diretrio corporativo.

Se o seu diretrio corporativo for compatvel com Security Assertion Markup Language 2.0 (SAML 2.0),voc poder configurar o diretrio corporativo para fornecer acesso de logon nico (SSO) ao Consolede gerenciamento da AWS para seus usurios. Para obter mais informaes, consulte Cenrios comunspara credenciais temporrias (p. 254).

Se o seu diretrio corporativo no for compatvel com SAML 2.0, voc poder criar um aplicativoidentity broker para fornecer acesso de logon nico (SSO) ao Console de gerenciamento da AWS paraseus usurios. Para obter mais informaes, consulte Criao de um URL que permite que usuriosfederados acessem o Console de gerenciamento da AWS (Custom Federation Broker) (p. 182).

Se o seu diretrio corporativo for o Microsoft Active Directory, voc poder usar o AWS Directory Servicepara estabelecer confiana entre o diretrio corporativo e sua conta da AWS.

Seus usurios j tm identidades da Internet.

Se voc estiver criando um aplicativo mvel ou um aplicativo baseado na web que permita aos usuriosse identificar por meio de um provedor de identidade da Internet, como Login with Amazon, Facebook,Google ou qualquer provedor de identidade compatvel com OpenID Connect (OIDC), o aplicativopoder usar a federao para acessar a AWS. Para obter mais informaes, consulte Sobre a federaode identidades da web (p. 155).

Dica

Para usar a federao de identidades com provedores de identidade da Internet,recomendamos usar o Amazon Cognito.

Viso geral do gerenciamento de acesso:permisses e polticas

A parte de gerenciamento de acesso do AWS Identity and Access Management (IAM) ajuda voc a definiro que um usurio ou outra entidade pode fazer em uma conta, geralmente conhecido como autorizao.As permisses so concedidas por meio de polticas. Uma poltica uma entidade na AWS que, quandoanexada a uma identidade ou recurso, define suas permisses. A AWS avalia essas polticas quandouma entidade principal, como um usurio, faz uma solicitao. As permisses nas polticas determinamse a solicitao consentida ou negada. As polticas so armazenadas na AWS como documentos JSONanexados a entidades principais como polticas baseadas em identidade ou a recursos como polticasbaseadas em recursos.

8

https://aws.amazon.com/directoryservice/http://docs.aws.amazon.com/cognito/devguide/

AWS Identity and Access Management Guia do usurioPolticas e usurios

Polticas e usuriosPor padro, os usurios do IAM no podem acessar nada na sua conta. Voc concede permisses a umusurio criando uma poltica baseada em identidade, que uma poltica anexada ao usurio. O exemplo aseguir mostra uma poltica que concede permisso para executar todas as aes do Amazon DynamoDB(dynamodb:*) na tabela Livros na conta 123456789012, na regio us-east-2.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" }}

Quando voc anexa a poltica a um usurio do IAM, esse usurio recebe essas permisses do DynamoDB.Normalmente, os usurios em sua conta tm vrias polticas que juntas representam as permisses paraesse usurio.

Todas as aes ou recursos que no so explicitamente permitidos so negados por padro. Por exemplo,se a poltica acima for a nica poltica anexada a um usurio, esse usurio ter permisso para executarapenas as aes do DynamoDB na tabela Livros. As aes em todas as outras tabelas so proibidas.Da mesma forma, o usurio no pode realizar nenhuma ao no Amazon EC2, no Amazon S3 nem emqualquer outro servio da AWS, porque as permisses para trabalhar com esses servios no estoincludas na poltica.

O console do IAM inclui tabelas do resumo de polticas que descrevem o nvel de acesso, os recursos eas condies permitidas ou negadas para cada servio na poltica. As polticas so resumidas em trstabelas: o resumo de polticas (p. 378), o resumo de servios (p. 388) e o resumo de aes (p. 393).A tabela resumo de poltica inclui uma lista de servios. Escolha um servio para ver o resumo de servio.Esta tabela de resumo inclui uma lista das aes e permisses associadas para o servio escolhido. Vocpode escolher uma ao dessa tabela para visualizar o resumo da ao. Esta tabela inclui uma lista derecursos e condies para a ao escolhida.

Visualize os resumos das polticas na pgina Usurios para todas as polticas (gerenciadas e em linha)anexadas a esse usurio. Visualize os resumos na pgina Polticas para todas as polticas gerenciadas.

9

AWS Identity and Access Management Guia do usurioPolticas e grupos

Por exemplo, a poltica anterior resumida no Console de gerenciamento da AWS da seguinte forma:

Voc tambm pode visualizar o documento JSON para a poltica. Para obter informaes sobre comovisualizar o resumo ou o documento JSON, consulte Noes bsicas sobre as permisses concedidas poruma poltica (p. 377).

Polticas e gruposVoc pode organizar os usurios do IAM em Grupos do IAM e anexar uma poltica a um grupo. Nestecaso, os usurios individuais ainda tm suas prprias credenciais, mas todos os usurios em um grupotm as permisses que so anexadas ao grupo. Use grupos para facilitar o gerenciamento de permissese siga o nossas Melhores prticas do IAM (p. 45).

Os usurios ou os grupos podem ter vrias polticas anexadas a eles que concedem diferentespermisses. Neste caso, as permisses dos usurios so calculadas com base na combinao depolticas. No entanto, o princpio bsico ainda se aplica: se o usurio no recebeu uma permisso explcitapara uma ao e um recurso, ele no ter essas permisses.

Usurios federados e funesOs usurios federados no tm identidades permanentes em sua conta da AWS como os usurios do IAM.Para atribuir permisses a usurios federados, voc pode criar uma entidade denominada funo e definirpermisses para a funo. Quando um usurio federado fizer login na AWS, ele estar associado funoe ter as permisses definidas na funo. Para obter mais informaes, consulte Criao de uma funopara um provedor de identidade terceiro (federao) (p. 208).

Polticas baseadas em identidade e em recursosPolticas baseadas em identidade so polticas de permisso que voc pode anexar a uma entidadeprincipal (ou identidade), como um usurio, funo ou grupo do IAM. Polticas baseadas em recursos sodocumentos de poltica JSON que voc anexa a um recurso, como um bucket do Amazon S3.

As polticas baseadas em identidade controlam quais aes cada identidade pode realizar, em quaisrecursos e em que condies. As polticas baseadas em identidade podem ser categorizadas em:

10

AWS Identity and Access Management Guia do usurioPolticas baseadas em identidade e em recursos

Polticas gerenciadas Polticas baseadas em identidades independentes que podem ser anexadasa vrios usurios, grupos e funes na sua conta da AWS. Voc pode usar dois tipos de polticasgerenciadas: Polticas gerenciadas pela AWS polticas gerenciadas que so criadas e gerenciadas pela AWS.

Se voc no tiver experincia com o uso de polticas, recomendamos comear usando polticasgerenciadas pela AWS.

Polticas gerenciadas pelo cliente polticas gerenciadas que voc criar e gerenciar em sua conta daAWS. As polticas gerenciadas pelo cliente oferecem um controle mais preciso de suas polticas doque as polticas gerenciadas pela AWS. Voc pode criar e editar uma poltica do IAM no editor visualou criando diretamente o documento de poltica JSON. Para obter mais informaes, consulte Comocriar polticas do IAM (p. 344) e Editar polticas do IAM (p. 366).

Polticas em linha Polticas que voc cria e gerencia e que so incorporadas diretamente em um nicousurio, grupo ou funo.

As polticas baseadas em recursos controlam quais aes uma entidade principal pode realizar nessesrecursos, e em que condies. As polticas baseadas em recursos so polticas em linha, e no hpolticas gerenciadas que sejam baseadas em recurso.

Embora as identidades do IAM sejam tecnicamente recursos da AWS, no possvel anexar uma polticabaseada em recurso a uma identidade do IAM. Voc deve usar polticas baseadas em identidade no IAM.Para ver quais servios oferecem suporte a polticas baseadas em recursos, consulte Servios da AWScompatveis com o IAM (p. 452). Para saber mais sobre as polticas baseadas em recursos, consultePolticas baseadas em identidade e em recursos (p. 310).

Polticas de confiana so polticas baseadas em recursos anexadas a uma funo que define quaisentidades principais podem assumir a funo. Quando voc cria uma funo no IAM, ela deve ter doisitens: o primeiro uma poltica de confiana que indica quem pode assumir a funo. O segundo umapoltica de permisses que indica o que pode ser feito com essa funo. Lembre-se de que adicionar umaconta poltica de confiana de uma funo apenas metade da tarefa de estabelecer o relacionamentode confiana. Por padro, nenhum usurio nas contas confiveis pode assumir a funo at que oadministrador da conta em questo conceda aos usurios a permisso para assumir a funo. Para obtermais informaes, consulte Concesso de permisses a um usurio para alternar funes (p. 223).

Important

Em toda a documentao da AWS, quando nos referirmos a uma poltica do IAM sem mencionaruma das categorias especficas acima, estaremos nos referindo a uma poltica baseada emidentidade e gerenciada pelo cliente.

Quando um usurio tenta executar uma operao na AWS, o IAM verifica todas as polticas existentes nousurio, em seus grupos ou no recurso afetado. Se houver uma poltica baseada em identidade e umapoltica baseada em recursos que se aplicam mesma operao, ambas devem permitir a operao. Issosignifica que a poltica baseada em identidade deve permitir a ao no recurso. Isso tambm significa quea poltica baseada em recursos deve permitir a ao da entidade principal que est fazendo a chamada.

Por exemplo, no Amazon S3, voc pode anexar uma poltica baseada em recursos a um bucket. Issose chama poltica de bucket. O exemplo a seguir mostra uma poltica de bucket do S3 que permite queum usurio do IAM chamado bob na conta da AWS 777788889999 coloque objetos no bucket ao qual apoltica est anexada.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::777788889999:user/bob"}, "Action": [ "s3:PutObject", "s3:PutObjectAcl"

11

AWS Identity and Access Management Guia do usurioRecursos de segurana fora do IAM

] }}

As polticas baseadas em recursos incluem um elemento Principal que especifica quem recebe aspermisses. No exemplo anterior, o elemento Principal definido como o nome de recurso da Amazon(ARN) de um usurio do IAM chamado bob na conta da AWS 777788889999. Isso indica que o recurso(nesse caso, o bucket do S3) acessvel a esse usurio do IAM, mas a ningum mais.

Recursos de segurana fora do IAMVoc usa o IAM para controlar o acesso a tarefas que so executadas usando o Console degerenciamento da AWS, as Ferramentas de linha de comando da AWS ou operaes da API de serviousando os SDKs da AWS. Alguns produtos da AWS tm outras maneiras de proteger seus recursos. Alista a seguir fornece alguns exemplos, embora no seja completa.

Amazon EC2

No Amazon Elastic Compute Cloud voc faz login em uma instncia com um par de chaves (parainstncias do Linux) ou usando um nome de usurio e senha (para instncias do Microsoft Windows).

Para obter mais informaes, consulte a documentao a seguir: Conceitos bsicos do Amazon EC2 para instncias do Linux no Guia do usurio do Amazon EC2

para instncias do Linux Conceitos bsicos do Amazon EC2 para instncias do Windows no Guia do usurio do Amazon

EC2 para instncias do WindowsAmazon RDS

No Amazon Relational Database Service voc faz login no mecanismo de banco de dados com umnome de usurio e senha vinculados ao banco de dados.

Para obter mais informaes, consulte Conceitos bsicos do Amazon RDS no Guia do usurio daAmazon RDS.

Amazon EC2 e Amazon RDS

No Amazon EC2 e no Amazon RDS voc usa security groups para controlar o trfego para umainstncia ou banco de dados.

Para obter mais informaes, consulte a documentao a seguir: Security Groups do Amazon EC2 para instncias do Linux no Guia do usurio do Amazon EC2 para

instncias do Linux Security Groups do Amazon EC2 para instncias do Windows no Guia do usurio do Amazon EC2

para instncias do Windows Security Groups do Amazon RDS no Guia do usurio da Amazon RDS

Amazon WorkSpaces

No Amazon WorkSpaces, os usurios fazem login em uma rea de trabalho com um nome de usurioe senha.

Para obter mais informaes, consulte Conceitos bsicos do Amazon WorkSpaces no AmazonWorkSpaces Administration Guide.

Amazon WorkDocs

No Amazon WorkDocs, os usurios obtm acesso aos documentos compartilhados entrando com umnome de usurio e senha.

12

http://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.htmlhttps://aws.amazon.com/tools/#Command_Line_Toolshttps://aws.amazon.com/tools/http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.htmlhttp://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2Win_GetStarted.htmlhttp://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.htmlhttp://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.htmlhttp://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.htmlhttp://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.htmlhttp://docs.aws.amazon.com/workspaces/latest/adminguide/getting_started.html

AWS Identity and Access Management Guia do usurioLinks rpidos para tarefas comuns

Para obter mais informaes, consulte Conceitos bsicos do Amazon WorkDocs no Guia deadministrao do Amazon WorkDocs.

Esses mtodos de controle de acesso no fazem parte do IAM. O IAM permite controlar como essesprodutos da AWS so administrados criando ou encerrando uma instncia do Amazon EC2, configurandonovos desktops do Amazon WorkSpaces, etc. Ou seja, o IAM ajuda voc a controlar as tarefas que sorealizadas ao fazer solicitaes para uma conta do Amazon Web Services e ajuda a controlar o acesso aoConsole de gerenciamento da AWS. No entanto, o IAM no ajuda a gerenciar a segurana para tarefascomo fazer login em um sistema operacional (Amazon EC2), banco de dados (Amazon RDS), desktop(Amazon WorkSpaces) ou site de colaborao (Amazon WorkDocs).

Quando voc trabalha com um produto especfico da AWS, no deixe de ler a documentao para saberas opes de segurana para todos os recursos que pertencem a esse produto.

Links rpidos para tarefas comunsUse os links a seguir para obter ajuda com as tarefas comuns associadas ao IAM.

Faa login como usurio do IAM

Consulte Como usurios do IAM fazem login na AWS (p. 71).Gerenciar senhas para usurios do IAM

Voc precisa de uma senha para acessar o Console de gerenciamento da AWS, incluindo acesso ainformaes de faturamento.

Para seu Usurio raiz da conta da AWS, consulte Alterao da senha do usurio raiz da conta daAWS (p. 79).

Para um usurio do IAM, consulte Gerenciamento de senhas para usurios do IAM (p. 84).Gerenciar permisses para usurios do IAM

Voc pode usar polticas para conceder permisses para usurios do IAM em sua conta da AWS.Quando so criados, os usurios do IAM no tm permisses, portanto, voc precisa adicionarpermisses para que eles possam usar os recursos da AWS.

Para obter mais informaes, consulte Gerenciamento de polticas do IAM (p. 343).Listar todos os usurios em sua conta da AWS e obter informaes sobre suas credenciais

Consulte Como obter relatrios de credenciais para sua conta da AWS (p. 129).Adicionar autenticao multifator (MFA)

Para adicionar um dispositivo MFA virtual para seu Usurio raiz da conta da AWS, consulte Habiliteum dispositivo MFA virtual para o usurio raiz de sua conta da AWS (console) (p. 101).

Para adicionar um dispositivo MFA de hardware para o usurio raiz, consulte Habilite um dispositivoMFA de hardware para o usurio raiz da conta da AWS (Console) (p. 104).

Para adicionar um dispositivo MFA virtual para um usurio do IAM, consulte Habilite um dispositivoMFA virtual para um usurio do IAM (Console de gerenciamento da AWS) (p. 100).

Para adicionar um dispositivo MFA de hardware para um usurio do IAM, consulte Habilite umdispositivo MFA de hardware para um usurio do IAM (Console) (p. 104).

Para adicionar um dispositivo MFA de hardware para o usurio raiz de sua conta da AWS ou umusurio do IAM, consulte Habilitar um dispositivo MFA de hardware (Console) (p. 103).

13

http://docs.aws.amazon.com/workdocs/latest/adminguide/getting_started.html

AWS Identity and Access Management Guia do usurioLinks rpidos para tarefas comuns

Obter uma chave de acesso

Voc precisa de uma chave de acesso para fazer solicitaes da AWS usando os SDKs da AWS, asFerramentas de linha de comando da AWS, o Tools para Windows PowerShell ou as operaes deAPI.

Important

Voc pode visualizar e fazer download de sua chave de acesso secreta somente ao criar achave de acesso. Voc no pode visualizar nem recuperar uma chave de acesso secretamais tarde. No entanto, se perder sua chave de acesso secreta, voc poder criar uma novachave de acesso.

Para sua conta da AWS, consulte Gerenciamento de chaves de acesso para a sua conta da AWS.

Para um usurio do IAM, consulte Gerenciamento de chaves de acesso para usurios doIAM (p. 90).

Comece a usar todos os recursos da AWS

Esse conjunto de documentao aborda principalmente o servio IAM. Para conhecer as noesbsicas da AWS e do uso de vrios servios para resolver um problema, como criar e executar seuprimeiro projeto, consulte o Centro de recursos de conceitos bsicos.

14

https://aws.amazon.com/tools/https://aws.amazon.com/tools/#Command_Line_Toolshttps://aws.amazon.com/powershell/http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.htmlhttps://aws.amazon.com/getting-started/

AWS Identity and Access Management Guia do usurioUso do IAM para conceder aos

usurios acesso aos recursos da AWS

ConfigurarO AWS Identity and Access Management (IAM) ajuda voc a controlar com segurana o acesso AmazonWeb Services (AWS) e aos recursos de sua conta. O IAM tambm pode manter privadas as credenciaisda conta. Com o IAM, voc pode criar vrios usurios do IAM em sua conta da AWS ou ativar o acessotemporrio por meio da federao de identidades com o seu diretrio corporativo. Em alguns casos, voctambm pode habilitar o acesso a recursos entre contas da AWS.

No entanto, sem o IAM, voc deve criar vrias contas da AWS, cada uma com seu prprio faturamento eassinaturas de produtos da AWS, ou seus funcionrios devem compartilhar as credenciais de seguranade uma nica conta da AWS. Alm disso, sem o IAM, voc no tem controle sobre as tarefas que umdeterminado usurio ou sistema pode realizar e quais recursos da AWS ele pode usar.

Este guia fornece uma viso geral conceitual do IAM, descreve casos de uso de negcios e explica aspermisses e as polticas da AWS.

Tpicos Uso do IAM para conceder aos usurios acesso aos recursos da AWS (p. 15) necessrio se cadastrar no IAM? (p. 16) Recursos adicionais (p. 16)

Uso do IAM para conceder aos usurios acessoaos recursos da AWS

Veja a seguir como voc pode usar o IAM para controlar o acesso aos seus recursos da AWS.

Tipo de acesso Por que devo usar? Onde posso obter mais informaes?

Acesso parausurios nasua conta daAWS

Voc deseja adicionar usurios sua conta da AWS e usar o IAMpara criar usurios e gerenciarsuas permisses.

Para saber como usar o Console degerenciamento da AWS para criar usurios egerenciar suas permisses na sua conta do AWS,consulte Conceitos bsicos (p. 17).

Para saber como usar a API do IAM ou a AWSCommand Line Interface para criar usurios na suaconta da AWS, consulte Criao de seu primeirousurio administrador e grupo do IAM (p. 18).

Para obter mais informaes sobre como trabalharcom usurios do IAM, consulte Identidades(usurios, grupos e funes) (p. 63).

Acesso deusurios queno so daAWS por meioda federaode identidadesentre o sistemade autorizaoe a AWS

Voc tem usurios que no soda AWS em seu sistema deidentidade e autorizao, e elesprecisam acessar seus recursosda AWS.

Para saber como usar tokens de segurana parafornecer aos seus usurios acesso aos recursosda sua conta da AWS por meio de federao comseu diretrio corporativo, acesse Credenciaisde segurana temporrias (p. 253). Para obterinformaes sobre a API do AWS Security TokenService, acesse a Referncia de API do AWSSecurity Token Service.

15

http://docs.aws.amazon.com/STS/latest/APIReference/http://docs.aws.amazon.com/STS/latest/APIReference/

AWS Identity and Access Management Guia do usurio necessrio se cadastrar no IAM?

Tipo de acesso Por que devo usar? Onde posso obter mais informaes?

Acesso entrecontas da AWS

Voc quer compartilhar o acessoa determinados recursos da AWScom usurios em outras contasda AWS.

Para saber como usar o IAM para concederpermisses a outras contas da AWS, consulteTermos e conceitos das funes (p. 146).

necessrio se cadastrar no IAM?Se voc ainda no tem uma conta da AWS, precisar criar uma para usar o IAM. Voc no precisa secadastrar especificamente para usar o IAM. No h cobrana pelo uso do IAM.

Note

O IAM funciona somente com produtos da AWS integrados com o IAM. Para obter uma lista deservios compatveis com o IAM, consulte Servios da AWS compatveis com o IAM (p. 452).

Para cadastrar-se no AWS

1. Abra o https://aws.amazon.com/ e escolha em Criar uma conta da AWS.

Note

Isso pode estar indisponvel no seu navegador se, anteriormente, voc iniciou a sessono Console de gerenciamento da AWS. Nesse caso, escolha Fazer login com uma contadiferente e, em seguida, Criar uma nova conta da AWS.

2. Siga as instrues online.

Parte do procedimento de cadastro envolve uma chamada telefnica e a digitao de um PIN usandoo teclado do telefone.

Recursos adicionaisVeja a seguir alguns recursos para ajud-lo a realizar tarefas com o IAM.

Gerencie das credenciais de sua conta da AWS: Credenciais de segurana da AWS no AWS GeneralReference

Comece a usar o e saiba mais sobre O que o IAM? (p. 1) Obtenha a Interface da Linha de Comando (CLI) a ser usada com o IAM. Para a AWS CLI

multiplataforma, consulte a Interface de linha de comando da AWS e a Referncia da CLI do IAM. Voctambm pode gerenciar o IAM com o Windows PowerShell; consulte as Documentao das ferramentasda AWS para Windows PowerShell e Referncia do IAM Windows PowerShell.

Faa download de um SDK da AWS para obter acesso programtico conveniente ao IAM: Ferramentaspara a Amazon Web Services

Obtenha as perguntas frequentes: Perguntas frequentes sobre o AWS Identity and Access Management Obtenha suporte tcnico: AWS Support Center Obtenha suporte tcnico premium: AWS Premium Support Center Encontre definies de termos da AWS: Glossrio da Amazon Web Services Obtenha suporte da comunidade: Fruns de discusso do IAM Entre em contato com a AWS: Entre em contato conosco

16

https://aws.amazon.com/http://docs.aws.amazon.com/general/latest/gr/aws-security-credentials.htmlhttp://aws.amazon.com/documentation/cli/http://docs.aws.amazon.com/cli/latest/reference/iam/index.htmlhttp://aws.amazon.com/documentation/powershell/http://aws.amazon.com/documentation/powershell/http://docs.aws.amazon.com/powershell/latest/reference/items/AWS_Identity_and_Access_Management_cmdlets.htmlhttp://aws.amazon.com/tools/http://aws.amazon.com/tools/http://aws.amazon.com/iam/faqs/https://console.aws.amazon.com/support/home#/https://aws.amazon.com/premiumsupport/http://docs.aws.amazon.com/general/latest/gr/glos-chap.htmlhttps://forums.aws.amazon.com/forum.jspa?forumID=76http://aws.amazon.com/contact-us/


Conceitos bsicosEste tpico mostra como conceder acesso aos seus recursos da AWS criando usurios do AWS Identityand Access Management (IAM) em sua conta da AWS. Primeiro, voc conhecer os conceitos do IAMque deve compreender antes de criar grupos e usurios e, em seguida, veremos como executar as tarefasnecessrias usando o Console de gerenciamento da AWS. A primeira tarefa configurar um grupo deadministradores para a sua conta da AWS. No necessrio ter um grupo de administradores para a suaconta da AWS, mas altamente recomendvel.

Note

Esse conjunto de documentao aborda principalmente o servio IAM. Para conhecer as noesbsicas da AWS e do uso de vrios servios para resolver um problema, como criar e executarseu primeiro projeto, consulte o Centro de recursos de conceitos bsicos.

A figura a seguir mostra um exemplo simples de uma conta da AWS com trs grupos. Grupo um conjuntode usurios que tm responsabilidades semelhantes. Neste exemplo, um grupo para administradores(chamado administradores). H tambm um grupo Desenvolvedores e outro Teste. Cada grupo tem vriosusurios. Cada usurio pode estar em mais de um grupo, embora a figura no ilustre isso. Voc no podecolocar grupos dentro de outros grupos. Voc pode usar polticas para conceder permisses aos grupos.

No procedimento seguinte, voc executar as seguintes tarefas:

Criar um grupo Administradores e conceder a ele permisso para acessar todos os recursos da suaconta da AWS.

Criar um usurio para si e adicionar esse usurio ao grupo Administradores.

17

https://aws.amazon.com/getting-started/

AWS Identity and Access Management Guia do usurioCriao de um usurio administrador e grupo do IAM

Criar uma senha para seu usurio para fazer login no Console de gerenciamento da AWS.

Voc conceder ao grupo Administradores permisso para acessar todos os recursos disponveis da suaconta da AWS. Os recursos disponveis so todos os produtos da AWS que voc usa ou nos quais voc secadastrou. Os usurios no grupo Administradores tambm podem acessar as informaes de sua conta daAWS, exceto as credenciais de segurana da sua conta da AWS.

Tpicos Criao de seu primeiro usurio administrador e grupo do IAM (p. 18) Como usurios fazem login em sua conta (p. 21)

Criao de seu primeiro usurio administrador egrupo do IAM

Important

Se voc chegou a esta pgina tentando habilitar o Amazon Advertising para seu aplicativo ou site,consulte Como tornar-se um desenvolvedor de API de publicidade de produtos.

Como uma melhor prtica (p. 45), no utilize o Usurio raiz da conta da AWS para nenhuma tarefa paraa qual ele no seja necessrio. Em vez disso, crie um novo usurio do IAM para cada pessoa que precisede acesso de administrador. Em seguida, torne esses usurios administradores colocando os usurios emum grupo "Administradores" para que voc anexe a poltica gerenciada AdministratorAccess.

Portanto, os usurios no grupo de administradores devem configurar os grupos, os usurios, etc., paraa conta da AWS. Todas as futuras interaes devem ser realizadas por meio dos usurios da contada AWS e suas prprias chaves em vez do usurio raiz. No entanto, para executar algumas tarefas degerenciamento de contas e servios, voc deve fazer login usando as credenciais de usurio raiz. Paravisualizar as tarefas que exigem que voc faa login como usurio raiz, consulte Tarefa da AWS querequerem o usurio raiz da conta.

Criao de um usurio administrador e um grupo doIAM (console)Este procedimento descreve como usar o Console de gerenciamento da AWS para criar um usurio doIAM para voc e adicionar esse usurio a um grupo com permisses administrativas de uma polticagerenciada anexada.

Para criar um usurio administrador para voc mesmo e adicionar o usurio a um grupo deadministradores (console)

1. Use seu endereo de e-mail e senha da conta da AWS para fazer login como Usurio raiz da conta daAWS no console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegao, escolha Usurios e depois Adicionar usurio.3. Para Nome de usurio, digite um nome de usurio, como Administrador. O nome pode consistir

em letras, dgitos e os seguintes caracteres: mais (+), igual (=), vrgula (,), ponto (.), arroba (@), relevo(_), e hfen (-). O nome no diferencia maisculas e minsculas e pode ter no mximo 64 caracteresde tamanho.

4. Marque a caixa de seleo ao lado do acesso do Console de gerenciamento da AWS, selecionePersonalizar senha e digite sua nova senha na caixa de texto. Se voc estiver criando o usurio paraoutra pessoa, poder selecionar Exigir redefinio de senha para forar o usurio a criar uma novasenha ao fazer login pela primeira vez.

18

http://docs.aws.amazon.com/AWSECommerceService/latest/DG/becomingDev.htmlhttp://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.htmlhttp://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.htmlhttp://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.htmlhttp://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.htmlhttps://console.aws.amazon.com/iam/

AWS Identity and Access Management Guia do usurioCriao de um grupo e um usurio do IAM (AWS CLI)

5. Escolha Prximo: Permisses.6. Na pgina Definir permisses para usurio, escolha Adicionar usurio ao grupo.7. Escolha Criar grupo.8. Na caixa de dilogo Criar grupo, digite o nome do novo grupo. O nome pode consistir em letras,

dgitos e os seguintes caracteres: mais (+), igual (=), vrgula (,), ponto (.), arroba (@), relevo (_), ehfen (-). O nome no diferencia maisculas e minsculas e pode ter no mximo 128 caracteres detamanho.

9. Na lista de polticas, marque a caixa de seleo ao lado de AdministratorAccess. A seguir escolhaCriar grupo.

10. Suporte a lista de grupos, selecione a caixa de seleo para seu novo grupo. Escolha Atualizar casonecessrio, para ver o grupo na lista.

11. Escolha Prximo: Anlise para ver uma lista de associaes de grupos a serem adicionadas ao novousurio. Quando voc estiver pronto para continuar, selecione Criar usurio.

Voc pode usar esse mesmo processo para criar mais grupos e usurios e conceder aos seus usuriosacesso aos recursos de sua conta da AWS. Para saber mais sobre o uso de polticas que restringem aspermisses do usurio a recursos especficos da AWS, consulte Gerenciamento de acesso (p. 299)e Exemplo de polticas (p. 320). Para adicionar outros usurios ao grupo depois de cri-los, consulteIncluso e remoo de usurios em um grupo do IAM (p. 142).

Criao de um grupo e um usurio do IAM (AWS CLI)Se seguiu as etapas na seo anterior, voc usou o Console de gerenciamento da AWS para configurarum grupo de administradores e, ao mesmo tempo, criou um usurio do IAM na sua conta da AWS. Esteprocedimento mostra um modo alternativo para criar um grupo.

Viso geral: Configurao de um grupo de administradores

1. Crie um grupo e atribua um nome a ele (por exemplo, Admins). Para obter mais informaes, consulteCriao de um grupo (AWS CLI) (p. 19).

2. Anexe uma poltica que conceda ao grupo permisses administrativas acesso a todos os recursose aes da AWS. Para obter mais informaes, consulte Como anexar uma poltica ao grupo (AWSCLI) (p. 20).

3. Adicione pelo menos um usurio ao grupo. Para obter mais informaes, consulte Criao de umusurio do IAM na sua conta da AWS (p. 67).

Criao de um grupo (AWS CLI)Esta seo mostra como criar um grupo no sistema do IAM.

Para criar um grupo de administradores (AWS CLI)

1. Digite o comando aws iam create-group com o nome escolhido para o grupo. Voc tambmpode incluir um caminho como parte do nome do grupo. Para obter mais informaes sobre caminhos,consulte Nomes e caminhos amigveis (p. 444). O nome pode consistir em letras, dgitos e osseguintes caracteres: mais (+), igual (=), vrgula (,), ponto (.), arroba (@), relevo (_), e hfen (-). Onome no diferencia maisculas e minsculas e pode ter no mximo 128 caracteres de tamanho.

Neste exemplo, voc cria um grupo chamado Admins.

aws iam create-group --group-name Admins{ "Group": { "Path": "/",

19

http://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html

AWS Identity and Access Management Guia do usurioCriao de um grupo e um usurio do IAM (AWS CLI)

"CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }}

2. Digite o comando aws iam list-groups para listar os grupos na sua conta da AWS e confirmarque o grupo foi criado.

aws iam list-groups{ "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ]}

A resposta inclui o nome de recurso da Amazon (ARN) para o seu novo grupo. O nome de recurso daAmazon (ARN) um formato padro que a AWS usa para identificar recursos. O nmero de 12 dgitosno nome de recurso da Amazon o ID de sua conta da AWS. O nome amigvel atribudo ao grupo(Admins) aparece no final do nome de recurso da Amazon (ARN) do grupo.

Como anexar uma poltica ao grupo (AWS CLI)Esta seo mostra como anexar uma poltica que permita a qualquer usurio do grupo realizar qualquerao em qualquer recurso na conta da AWS. Voc pode fazer isso anexando a poltica gerenciada pelaAWS (p. 305) denominada AdministratorAccess ao grupo Admins. Para obter mais informaes sobrepolticas de , consulte Gerenciamento de acesso (p. 299).

Para adicionar uma poltica concedendo permisses totais de administrador (AWS CLI)

1. Digite o comando aws iam attach-group-policy para anexar a poltica denominadaAdministratorAccess ao seu grupo Admins. O comando usa o nome de recurso da Amazon (ARN) dapoltica gerenciada pela AWS AdministratorAccess.

aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

Se o comando for bem-sucedido, no haver resposta.2. Digite o comando aws iam list-attached-group-policies para confirmar se a poltica foi

anexada ao grupo Admins.

aws iam list-attached-group-policies --group-name Admins

A resposta lista os nomes das polticas anexadas ao grupo Admins. Uma resposta como a seguintemostra que a poltica chamada AdministratorAccess foi anexada ao grupo Admins:

{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess",

20

http://docs.aws.amazon.com/cli/latest/reference/iam/list-groups.htmlhttp://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.htmlhttp://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html

AWS Identity and Access Management Guia do usurioRecursos relacionados

"PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false}

Voc pode confirmar o contedo de uma poltica especfica com o comando aws iam get-policy.

Important

Aps a configurao do grupo de administradores, voc deve adicionar pelo menos um usurio.Para obter mais informaes sobre a incluso de usurios em um grupo, consulte Criao de umusurio do IAM na sua conta da AWS (p. 67).

Recursos relacionadosPara obter as informaes relacionadas no Referncia geral do Amazon Web Services, consult

access management aws identity and nova função apareceu na minha conta do aws..... 441 não...

Documents