Identity and Access Management (IAM) no CloudFront - Amazon CloudFront

Identity and Access Management (IAM) no CloudFront

Para executar qualquer operação em recursos do CloudFront, como a criação de uma distribuição ou uma invalidação de objeto, o AWS Identity and Access Management (IAM) exige que você se autentique como um usuário aprovado da AWS. Se estiver usando o console do CloudFront, autentique sua identidade fornecendo seu nome de usuário e senha da AWS. Se estiver acessando o CloudFront de forma programática, sua aplicação autenticará a sua identidade usando chaves de acesso ou solicitações de assinatura.

Depois de autenticar a sua identidade, o IAM controla o seu acesso à AWS verificando se você tem permissões para executar operações e acessar recursos. Se você for um administrador de conta, poderá usar o IAM para controlar o acesso de outros usuários aos recursos que estão associados à sua conta.

Este capítulo explica como usar o AWS Identity and Access Management (IAM) e o CloudFront para ajudar a proteger seus recursos.

Tópicos

Authentication

Você pode acessar a AWS como alguns dos seguintes tipos de identidade:

  • Conta de usuário root da Conta da AWS: ao criar pela primeira vez uma Conta da AWS, você começa com uma única identidade de login que tem acesso total a todos os recursos e serviços da AWS na conta. Essa identidade é denominada usuário root da Conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta. Recomendamos que não use o usuário raiz para suas tarefas do dia a dia, nem mesmo as administrativas. Em vez disso, siga as práticas recomendadas para o uso do usuário root somente a fim de criar seu primeiro usuário do IAM. Depois, armazene as credenciais do usuário root com segurança e use-as para executar somente algumas tarefas de gerenciamento de contas e de serviços.

  • Usuário do IAM: um usuário do IAM é uma identidade em sua Conta da AWS que tem permissões personalizadas específicas (por exemplo, permissões para criar uma distribuição no CloudFront). Você pode usar uma senha e um nome do usuário do IAM para fazer login em páginas da Web seguras da AWS como AWS Management Console, Fóruns de discussão da AWS ou a Central de AWS Support.

     

    Além de um nome e senha de usuário, você também pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja com um dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas de SDK e de CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizar ferramentas da AWS, cadastre a solicitação você mesmo. O CloudFront é compatível com o Signature versão 4, um protocolo para autenticar solicitações de API de entrada. Para obter mais informações sobre solicitações de autenticação, consulte Processo de assinatura do Signature Version 4 na Referência geral da AWS.

     

  • Função do IAM: uma função do IAM é uma identidade do IAM que você pode criar em sua conta com permissões específicas. Uma função do IAM é semelhante a um usuário do IAM no sentido de ser uma identidade da AWS com políticas de permissão que determinam o que a identidade pode e não pode fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumida por qualquer pessoa que precisar dela. Além disso, uma função não tem credenciais de longo prazo padrão, como uma senha ou chaves de acesso, associadas a ela. Em vez disso, quando você assumir uma função, ela fornecerá credenciais de segurança temporárias para sua sessão de função. As funções do IAM com credenciais temporárias são úteis nas seguintes situações:

     

    • Acesso de usuário federado: em vez de criar um usuário do IAM, você poderá usar identidades de usuários existentes no AWS Directory Service, em seu diretório de usuários corporativos ou em um provedor de identidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter mais informações sobre usuários federados, consulte Usuários federados e funções no Guia do usuário do IAM.

       

    • Acesso ao serviço da AWS: uma função de serviço é uma função do IAM que um serviço assume para realizar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir uma função de serviço do IAM. Para obter mais informações, consulte Criar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

       

    • Aplicações em execução no Amazon EC2: é possível usar uma função do IAM para gerenciar credenciais temporárias para aplicações em execução em uma instância do EC2 e fazer solicitações da AWS CLI ou da API da AWS. É preferível fazer isso do que armazenar chaves de acesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfil de instância contém a função e permite que programas que estão em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte Usar uma função do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Controle de acesso

Para criar, atualizar, excluir ou listar recursos do CloudFront, você precisa de permissões para executar a operação e acessar os recursos correspondentes. Além disso, para realizar a operação de forma programática, você precisa de chaves de acesso válidas.

As seções a seguir descrevem como gerenciar permissões para o CloudFront: