Políticas do IAM no Amazon EC2
Por padrão, os usuários não têm permissão para criar ou modificar recursos do Amazon EC2 ou para executar tarefas usando a API do Amazon EC2, o colsole do Amazon EC2 ou a CLI. Para permitir que os usuários criem ou modifiquem recursos e realizem tarefas, você precisa criar políticas do IAM que concedam aos usuários do permissão para usar os recursos específicos e as ações de API de que precisam e, então, anexar essas políticas aos usuários ou grupos, ou perfis do IAM que exijam essas permissões.
Quando você anexa uma política a um usuário, um grupo de usuários ou um perfil, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos recursos especificados. Para obter mais informações gerais sobre as políticas do IAM, consulte Permissões e políticas no IAM no Guia do usuário do IAM. Para obter mais informações sobre como gerenciar e criar políticas personalizadas do IAM, consulte Gerenciamento de políticas do IAM.
Conceitos Básicos
Uma política do IAM deve conceder ou negar permissões para usar uma ou mais ações do Amazon EC2. Ela também deve especificar os recursos que podem ser usados com a ação, que podem ser todos os recursos ou, em alguns casos, recursos específicos. A política também pode incluir condições que você aplica ao recurso.
O Amazon EC2 oferece suporte parcial a permissões em nível de recurso. Isso significa que, para algumas operações de API do EC2, não é possível especificar com qual recurso um usuário tem permissão para trabalhar para essa ação. Em vez disso, você precisa permitir que os usuários trabalhem com todos os recursos dessa ação.
| Tarefa | Tópico |
|---|---|
| Compreender a estrutura básica de uma política | Sintaxe da política |
| Definir ações em sua política | Ações do Amazon EC2 |
| Definir recursos específicos em sua política | Nomes de recurso da Amazon (ARNs) para o Amazon EC2 |
| Aplicar condições ao uso dos recursos | Chaves de condição do Amazon EC2 |
| Trabalhar com permissões disponíveis em nível de recurso para o Amazon EC2 | Ações, recursos e chaves de condição para o Amazon EC2 |
| Testar a política | |
| Gerar uma política do IAM | |
| Políticas de exemplo para uma CLI ou SDK | Políticas de exemplo para trabalhar com a AWS CLI ou um AWS SDK |
| Políticas de exemplo para o console do Amazon EC2 | Políticas de exemplo para trabalhar no console do Amazon EC2 |
Conceder permissões a usuários, grupos e perfis
A seguir estão exemplos de algumas políticas gerenciadas da AWS que estão disponíveis para utilização se atenderem às suas necessidades:
-
PowerUserAccess -
ReadOnlyAccess -
AmazonEC2FullAccess -
AmazonEC2ReadOnlyAccess
Para obter mais informações sobre as políticas gerenciadas da AWS disponíveis para trabalhar com o Amazon EC2, consulte Políticas gerenciadas da AWS para o Amazon Elastic Compute Cloud.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos no AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
