Identity and Access Management para o Amazon EC2

As credenciais de segurança identificam você para os serviços na AWS e concedem uso ilimitado dos recursos da AWS, como os recursos do Amazon EC2. É possível usar recursos do Amazon EC2 e do AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicações usem seus recursos do Amazon EC2 sem compartilhar suas credenciais de segurança. É possível usar o IAM para controlar como outros usuários usam recursos em sua conta da AWS, e usar os grupos de segurança para controlar o acesso às instâncias do Amazon EC2. É possível escolher permitir uso completo ou limitado dos recursos do Amazon EC2.

Para práticas recomendadas de proteção dos seus recursos do AWS usando o IAM, consulte Práticas recomendadas de segurança no IAM.

Conteúdo

• Acesso à rede para a instância
• Atributos de permissões do Amazon EC2
• IAM e Amazon EC2
• Políticas do IAM no Amazon EC2
• Políticas gerenciadas pela AWS para o Amazon EC2
• Funções do IAM para Amazon EC2

Acesso à rede para a instância

Um grupo de segurança atua como um firewall que controla o tráfego permitido para acessar uma ou mais instâncias. Quando executa uma instância, você atribui um ou mais grupos de segurança a ela. Para cada grupo de segurança, você adiciona regras que controlam o tráfego para a instância. É possível modificar as regras de um grupo de segurança a qualquer momento. As novas regras são aplicadas automaticamente a todas as instâncias associadas ao grupo de segurança.

Para ter mais informações, consulte Regras de grupos de segurança.

Atributos de permissões do Amazon EC2

Sua organização pode ter várias contas da AWS. O Amazon EC2 permite que você especifique contas adicionais da AWS que podem usar as Imagens de máquinas da Amazon (AMIs) e snapshots do Amazon EBS. Essas permissões funcionam somente em nível de conta da AWS. Você não pode restringir as permissões a usuários específicos na conta da AWS especificada. Todos os usuários na conta da AWS que você especifica podem usar a AMI ou o snapshot.

Cada AMI tem um atributo LaunchPermission que controla quais contas da AWS podem acessar a AMI. Para obter mais informações, consulte Tornar um AMI pública.

Cada snapshot do Amazon EBS tem um atributo createVolumePermission que controla quais contas da AWS podem usar o snapshot. Para obter mais informações, consulte Compartilhar um snapshot do Amazon EBS no Guia do usuário do Amazon EBS.

IAM e Amazon EC2

O IAM permite que você:

• Crie usuários e grupos na sua Conta da AWS

• Atribua credenciais de segurança exclusivas a cada usuário em sua Conta da AWS

• Controle as permissões de cada usuário para executar tarefas usando recursos da AWS

• Permita que os usuários em outra Conta da AWS compartilhem seus recursos da AWS

• Crie perfis para sua Conta da AWS e defina os usuários ou os serviços que podem assumi-las

• Use identidades existentes em sua empresa a fim de conceder permissões para executar tarefas usando recursos da AWS

Ao usar o IAM com o Amazon EC2, é possível controlar se os usuários de sua organização podem executar uma tarefa usando ações específicas da API do Amazon EC2 e se podem usar recursos específicos da AWS.

Este tópico ajuda a responder as seguintes questões:

• Como criar grupos e usuários no IAM?

• Como criar uma política?

• Quais políticas do IAM são necessárias para realizar tarefas no Amazon EC2?

• Como conceder permissões para executar ações no Amazon EC2?

• Como conceder permissões para executar ações em recursos específicos do Amazon EC2?

Crie usuários, grupos e perfis

Você pode criar usuários e grupos para sua Conta da AWS e, em seguida, atribuir a eles as permissões necessárias. Como prática recomendada, os usuários devem adquirir as permissões assumindo perfis do IAM.

Um perfil do IAM é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Um perfil do IAM é semelhante a um usuário do IAM porque é uma identidade da AWS com políticas de permissão que determinam o que ela pode e não pode fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. Para obter mais informações sobre como criar perfis do IAM e conceder permissões a eles, consulte Funções do IAM para Amazon EC2.

Tópicos relacionados da

Para mais informações sobre IAM, consulte o seguinte:

• Políticas do IAM no Amazon EC2

• Funções do IAM para Amazon EC2

• AWS Identity and Access Management (IAM)

• Guia do usuário do IAM