Identity and Access Management (IAM) no CloudFront - Amazon CloudFront

Identity and Access Management (IAM) no CloudFront

Para executar qualquer operação em recursos do CloudFront, como criar uma distribuição ou invalidar um objeto, o AWS Identity and Access Management (IAM) exige que você se autentique como um usuário aprovado da AWS. Se estiver usando o console do CloudFront, autentique sua identidade fornecendo seu nome de usuário e senha da AWS. Se estiver acessando o CloudFront de forma programática, a aplicação autenticará sua identidade usando chaves de acesso ou solicitações de assinatura.

Depois de autenticar sua identidade, o IAM controla o acesso à AWS verificando se você tem permissões para executar operações e acessar recursos. Se você for o administrador da conta, poderá usar o IAM para controlar o acesso de outros usuários aos recursos que estão associados à sua conta.

Este capítulo explica como usar o AWS Identity and Access Management (IAM) e o CloudFront para ajudar a proteger seus recursos.

Tópicos

Autenticação

Você pode acessar a AWS usando qualquer um dos seguintes tipos de identidade:

  • Usuário raiz da Conta da AWS: ao criar pela primeira vez uma Conta da AWS, você começa com uma única identidade de login que tem acesso total a todos os recursos e Serviços da AWS na conta. Essa identidade, denominada Conta da AWSusuário raiz da , é acessada por login com o endereço de e-mail e a senha que você usou para criar a conta. É recomendável não usar o usuário raiz para suas tarefas diárias, nem mesmo para as administrativas. Em vez disso, siga as práticas recomendadas sobre utilização de usuário raiz somente para criar seu primeiro usuário do IAM. Depois, guarde as credenciais do usuário raiz em um lugar seguro e utilize-as para executar somente algumas tarefas de gerenciamento de contas e serviços.

  • Usuário do IAM: usuário do IAM é uma identidade em sua Conta da AWS que tem permissões personalizadas específicas (por exemplo, permissões para criar uma distribuição no CloudFront). Você pode usar uma senha e um nome de usuário do IAM para fazer login em páginas da Web seguras da AWS, como AWS Management Console, fóruns de discussão da AWS ou o AWS Support Center.

    Além do nome de usuário e senha, você também pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar os Serviços da AWS de forma programática, seja com um dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas do SDK e da CLI usam as chaves de acesso para cadastrar criptograficamente sua solicitação. Se não utilizar ferramentas da AWS, você mesmo deve cadastrar a solicitação. O CloudFront é compatível com o Signature Version 4, um protocolo para autenticar solicitações de API de entrada. Para obter mais informações sobre solicitações de autenticação, consulte Processo de assinatura do Signature Version 4 na Referência geral da AWS.

  • Função do IAM: função do IAM é uma identidade do IAM que você pode criar em sua conta com permissões específicas. Uma função do IAM é semelhante a um usuário do IAM porque é uma identidade da AWS com políticas de permissão que determinam o que ela pode e não pode fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito da função é ser assumida por qualquer pessoa que precisar dela. Além disso, uma função não tem credenciais de longo prazo padrão associadas a ela, como senha ou chaves de acesso. Em vez disso, quando você assumir uma função, ela fornecerá credenciais de segurança temporárias para sua sessão de função. As funções do IAM com credenciais temporárias são úteis nas seguintes situações:

    • Acesso de usuário federado: em vez de criar um usuário do IAM, você poderá usar identidades existentes do AWS Directory Service, de seu diretório de usuários empresariais ou de um provedor de identidades da Web. Eles são conhecidos como usuários federados. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter mais informações sobre usuários federados, consulte Usuários federados e funções no Guia do usuário do IAM.

    • Acesso aos AWS service (Serviço da AWS): função de serviço é uma função do IAM assumida por um serviço para realizar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir uma função de serviço do IAM. Para obter mais informações, consulte Criar uma função para delegar permissões a um AWS service (Serviço da AWS) no Guia do usuário do IAM.

    • Aplicações em execução no Amazon EC2: é possível usar uma função do IAM com o objetivo de gerenciar credenciais temporárias para aplicações em execução em uma instância do EC2 e fazer solicitações da AWS CLI ou da API da AWS. É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todas as suas aplicações, crie um perfil de instância que esteja anexado a ela. Um perfil de instância contém a função e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Uso de uma função do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Controle de acesso

Para criar, atualizar, excluir ou listar recursos do CloudFront, você precisa de permissões para executar a operação e acessar os recursos correspondentes. Além disso, para realizar a operação de forma programática, você precisa de chaves de acesso válidas.

As seções a seguir descrevem como gerenciar permissões para o CloudFront: