Limites de permissões para entidades do IAM - AWS Identity and Access Management

Limites de permissões para entidades do IAM

O AWS oferece suporte a limites de permissões para entidades do IAM (usuários ou funções). Um limite de permissões é um recurso avançado para usar uma política gerenciada para definir as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM. O limite de permissões de uma entidade permite que a entidade execute somente as ações permitidas por ambas as políticas baseadas em identidade e seus limites de permissões.

Para obter mais informações sobre tipos de política, consulte Tipos de políticas.

Você pode usar uma política gerenciada pelo AWS ou uma política gerenciada pelo cliente para definir o limite para uma entidade do IAM (usuário ou função). Essa política limita o número máximo de permissões para o usuário ou a função.

Por exemplo, suponha que a usuária do IAM chamada ShirleyRodriguez deve ter permissão para gerenciar apenas o Amazon S3, Amazon CloudWatch e Amazon EC2. Para impor essa regra, você pode usar a seguinte política para definir o limite de permissões para a usuária ShirleyRodriguez:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudwatch:*", "ec2:*" ], "Resource": "*" } ] }

Quando você usa uma política para definir o limite de permissões para um usuário, ela limita as permissões do usuário, mas não fornece permissões por conta própria. Neste exemplo, a política define o máximo de permissões de ShirleyRodriguez como todas as operações no Amazon S3, CloudWatch e Amazon EC2. Shirley nunca poderá executar operações em qualquer outro serviço, incluindo o IAM, mesmo que ela tenha uma política de permissões que permita isso. Por exemplo, você pode adicionar a política a seguir à usuária ShirleyRodriguez:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } }

Esta política permite criar um usuário no IAM. Se você anexar essa política de permissões à usuária ShirleyRodriguez, e Shirley tentar criar um usuário, a operação falhará. A falha ocorre porque o limite de permissões não permite a operação iam:CreateUser. Dadas essas duas políticas, Shirley não tem permissão para executar nenhuma operação na AWS. Você deve adicionar uma política de permissões diferente para permitir ações em outros serviços, como o Amazon S3. Opcionalmente, você pode atualizar o limite de permissões para permitir que ela crie um usuário no IAM.

Avaliar permissões efetivas com limites

O limite de permissões para uma entidade do IAM (usuário ou função) define o número máximo de permissões que a entidade pode ter. Isso pode alterar as permissões efetivas para esse usuário ou função. As permissões efetivas para uma entidade são as permissões que são concedidas por todas as políticas que afetam o usuário ou a função. Dentro de uma conta, as permissões para uma entidade podem ser afetadas por políticas baseadas em identidade, políticas baseadas em recurso, limites de permissões, SCPs de Organizations ou políticas de sessão. Para obter mais informações sobre os diversos tipos diferentes de políticas, consulte Políticas e permissões no IAM.

Se algum desses tipos de política negar explicitamente o acesso de uma operação, a solicitação será negada. As permissões concedidas a uma entidade por vários tipos de permissões são mais complexas. Para obter mais detalhes sobre como o AWS avalia as políticas, consulte Lógica da avaliação de política.

Políticas baseadas em identidade com limites – As políticas baseadas em identidade são embutidas ou gerenciadas que estão conectadas a um usuário, grupo de usuários ou função. As políticas baseadas em identidade concedem permissão para a entidade, e os limites de permissões limitam essas permissões. As permissões efetivas são a interseção de ambos os tipos de política. Uma negação explícita em qualquer uma dessas políticas substitui a permissão.


                Avaliação das políticas baseadas em identidade com limites de permissões

Políticas baseadas em recurso – As políticas baseadas em recurso controlam como o principal pode acessar o recurso ao qual a política está anexada.

Políticas baseadas em recursos para IAM usuários

Dentro de uma conta, uma negação implícita em um limite de permissões não limita as permissões concedidas a um usuário IAM por uma política baseada em recursos. Os limites de permissões reduzem as permissões concedidas a um usuário por políticas baseadas em identidade. As políticas baseadas em recursos podem fornecer permissões adicionais ao usuário.


                            Avaliação de uma política baseada em recurso, limite as permissões e política baseada em identidade
Políticas baseadas em recursos para funções do IAM e usuários federados

Em uma conta, uma negação implícita em um limite de permissões limita as permissões concedidas ao ARN da função subjacente IAMou usuárioIAM pela política baseada em recursos. No entanto, se a política baseada em recursos conceder permissões diretamente ao principal da sessão (o ARN de função assumida ou ARN de usuário federado), uma negação implícita no limite de permissões não limita essas permissões. Para obter mais informações sobre permissões efetivas para sessões de função assumidas ou sessões de usuários federados, consulte as Políticas de sessão.

SCPs do Organizations – As SCPs são aplicadas a uma conta inteira do AWS. Eles limitam as permissões para todas as solicitações feitas por um principal na conta. Uma entidade do IAM (usuário ou função) pode fazer uma solicitação que é afetada por uma SCP, um limite de permissões e uma política baseada em identidade. Nesse caso, a solicitação é permitida somente se todos os três tipos de política a permitem. As permissões efetivas são a interseção de todos os três tipos de política. Uma negação explícita em qualquer uma dessas políticas substitui a permissão.


                Avaliação de um SCP, limite de permissões e política baseada em identidade

Você pode saber se sua conta é membro de uma organização no AWS Organizations. Os membros da organização podem ser afetados por uma SCP. Para visualizar esses dados usando o comando da AWS CLI ou operação de API da AWS, você deve ter permissões para a ação organizations:DescribeOrganization da sua entidade do Organizations. Você deve ter permissões adicionais para executar a operação no console do Organizations. Para saber se uma SCP está negando acesso a uma solicitação específica ou alterar as permissões efetivas, entre em contato com o administrador do AWS Organizations.

Políticas de sessão – as políticas de sessão são políticas avançadas que você transmite como um parâmetro quando cria de forma programática uma sessão temporária para uma função ou um usuário federado. As permissões para uma sessão vêm da entidade do IAM (usuário ou função) usada para criar a sessão e da política da sessão. As permissões de política baseada em identidade da entidade são limitadas pela política de sessão e pelo limite de permissões. As permissões efetivas para esse conjunto de tipos de política são a interseção de todos os três tipos de política. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações as políticas de sessão, consulte Políticas de Sessão.


                Avaliação de uma política de sessão, limite as permissões e política baseada em identidade

Delegar responsabilidade para outras pessoas usando limites de permissões

Você pode usar limites de permissões para delegar tarefas de gerenciamento de permissões, como a criação de usuários, aos usuários do IAM em sua conta. Isso permite que outras pessoas executem tarefas em seu nome com um limite específico de permissões.

Por exemplo, suponha que María seja a administradora da conta da AWS da X-Company. Ela quer delegar as tarefas de criação de usuários para Zhang. No entanto, ela deve garantir que Zhang crie usuários que sigam as seguintes regras da empresa:

  • Os usuários não podem usar o IAM para criar ou gerenciar usuários, grupos, funções ou políticas.

  • O acesso ao usuários ao bucket logs do Amazon S3 é negado, e eles não podem acessar a instância i-1234567890abcdef0 do Amazon EC2.

  • Os usuários não podem remover suas próprias políticas de limite.

Para impor essas regras, María executa as seguintes tarefas, para as quais os detalhes são incluídos a seguir:

  1. María cria a política gerenciada XCompanyBoundaries para uso como um limite de permissões para todos os novos usuários na conta.

  2. María cria a política gerenciada DelegatedUserBoundary e atribui-a como o limite de permissões a Zhang. Maria anota o ARN de seu usuário do IAM admin e o usa na política para impedir que Zhang o acesse.

  3. María cria a política gerenciada DelegatedUserPermissions e anexa-a como uma política de permissões a Zhang.

  4. María informa Zhang sobre suas novas responsabilidades e limitações.

Tarefa 1: María deve primeiro criar uma política gerenciada para definir o limite para os novos usuários. María permitirá que Zhang forneça aos usuários as políticas de permissões de que precisam, mas ela deseja que esses usuários sejam restringidos. Para fazer isso, ela cria a seguinte política gerenciada pelo cliente com o nome XCompanyBoundaries. Essa política faz o seguinte:

  • Permite que os usuários tenham acesso total a vários serviços

  • Permite acesso autogerenciável limitado no console do IAM. Isso significa que eles podem alterar a senha depois de fazer login no console. Eles não podem definir a senha inicial. Para permitir isso, adicione a ação "*LoginProfile" à instrução AllowManageOwnPasswordAndAccessKeys.

  • Nega acesso de usuários ao bucket de logs do Amazon S3 ou à instância i-1234567890abcdef0 do Amazon EC2

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ServiceBoundaries", "Effect": "Allow", "Action": [ "s3:*", "cloudwatch:*", "ec2:*", "dynamodb:*" ], "Resource": "*" }, { "Sid": "AllowIAMConsoleForCredentials", "Effect": "Allow", "Action": [ "iam:ListUsers", "iam:GetAccountPasswordPolicy" ], "Resource": "*" }, { "Sid": "AllowManageOwnPasswordAndAccessKeys", "Effect": "Allow", "Action": [ "iam:*AccessKey*", "iam:ChangePassword", "iam:GetUser", "iam:*ServiceSpecificCredential*", "iam:*SigningCertificate*" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "DenyS3Logs", "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::logs", "arn:aws:s3:::logs/*" ] }, { "Sid": "DenyEC2Production", "Effect": "Deny", "Action": "ec2:*", "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0" } ] }

Cada instrução tem uma finalidade diferente:

  1. A instrução ServiceBoundaries dessa política permite acesso total aos serviços especificados da AWS. Isso significa que as ações de um novo usuário nesses serviços são limitadas apenas pelas políticas de permissões que são anexadas ao usuário.

  2. A instrução AllowIAMConsoleForCredentials permite o acesso para listar todos os usuários do IAM. Esse acesso é necessário para navegar na página Usuários no AWS Management Console. Ele também permite visualizar os requisitos de senha da conta, que é necessário ao alterar sua própria senha.

  3. A instrução AllowManageOwnPasswordAndAccessKeys permite que os usuários gerenciem apenas suas próprias chaves de acesso programático e senha do console. Isso é importante se Zhang ou outro administrador concede a um novo usuário uma política de permissões com acesso total ao IAM. Nesse caso, esse usuário pode alterar suas próprias permissões ou as de outros usuários. Essa instrução impede que isso ocorra.

  4. A instrução DenyS3Logs nega explicitamente o acesso ao bucket de logs.

  5. A instrução DenyEC2Production nega explicitamente o acesso à instância de i-1234567890abcdef0.

Tarefa 2: María deseja permitir que Zhang crie todos os usuários da X-Company, mas apenas com o limite de permissões XCompanyBoundaries. Ela cria a seguinte política gerenciada pelo cliente chamada DelegatedUserBoundary. Essa política define o número máximo de permissões que Zhang pode ter.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOrChangeOnlyWithBoundary", "Effect": "Allow", "Action": [ "iam:CreateUser", "iam:DeleteUserPolicy", "iam:AttachUserPolicy", "iam:DetachUserPolicy", "iam:PutUserPermissionsBoundary", "iam:PutUserPolicy" ], "Resource": "*", "Condition": {"StringEquals": {"iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"}} }, { "Sid": "CloudWatchAndOtherIAMTasks", "Effect": "Allow", "Action": [ "cloudwatch:*", "iam:GetUser", "iam:ListUsers", "iam:DeleteUser", "iam:UpdateUser", "iam:CreateAccessKey", "iam:CreateLoginProfile", "iam:GetAccountPasswordPolicy", "iam:GetLoginProfile", "iam:ListGroups", "iam:ListGroupsForUser", "iam:CreateGroup", "iam:GetGroup", "iam:DeleteGroup", "iam:UpdateGroup", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetUserPolicy", "iam:GetRolePolicy", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:ListEntitiesForPolicy", "iam:ListUserPolicies", "iam:ListAttachedUserPolicies", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies", "iam:SetDefaultPolicyVersion", "iam:SimulatePrincipalPolicy", "iam:SimulateCustomPolicy" ], "NotResource": "arn:aws:iam::123456789012:user/Maria" }, { "Sid": "NoBoundaryPolicyEdit", "Effect": "Deny", "Action": [ "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:SetDefaultPolicyVersion" ], "Resource": [ "arn:aws:iam::123456789012:policy/XCompanyBoundaries", "arn:aws:iam::123456789012:policy/DelegatedUserBoundary" ] }, { "Sid": "NoBoundaryUserDelete", "Effect": "Deny", "Action": "iam:DeleteUserPermissionsBoundary", "Resource": "*" } ] }

Cada instrução tem uma finalidade diferente:

  1. A instrução CreateOrChangeOnlyWithBoundary permite que Zhang crie usuários do IAM, mas somente se usar a politica XCompanyBoundaries para definir o limite de permissões. Essa instrução também permite que ele defina o limite de permissões para os usuários existentes, mas apenas usando a mesma política. Finalmente, essa instrução permite que Zhang gerencie políticas de permissões para usuários com esse limite de permissões definido.

  2. A instrução CloudWatchAndOtherIAMTasks permite que Zhang conclua tarefas de gerenciamento de outro usuário, grupo e política. Ele tem permissões para redefinir senhas e criar chaves de acesso para qualquer usuário do IAM não listado na chave de condição. Isso permite a ele ajudar os usuários com problemas de login.

  3. A instrução NoBoundaryPolicyEdit nega a Zhang o acesso para atualizar a política XCompanyBoundaries. Ele não tem permissão para alterar nenhuma política usada para definir o limite de permissões para si mesmo ou para outros usuários.

  4. A instrução NoBoundaryUserDelete nega a Zhang o acesso para excluir o limite de permissões para si mesmo ou outros usuários.

Em seguida, María atribui a política DelegatedUserBoundary como o limite de permissões para o usuário Zhang.

Tarefa 3: como o limite de permissões limita o número máximo de permissões, mas não concede acesso por conta própria, Maria deve criar uma política de permissões para Zhang. Ela cria a seguinte política chamada DelegatedUserPermissions. Esta política define as operações que Zhang pode executar, dentro do limite definido.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAM", "Effect": "Allow", "Action": "iam:*", "Resource": "*" }, { "Sid": "CloudWatchLimited", "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", "cloudwatch:GetMetricData", "cloudwatch:ListDashboards", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "S3BucketContents", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::ZhangBucket" } ] }

Cada instrução tem uma finalidade diferente:

  1. A instrução IAM da política permite a Zhang acesso total ao IAM. No entanto, como seu limite de permissões permite apenas algumas operações do IAM, suas permissões efetivas do IAM são limitadas apenas pelo seu limite de permissões.

  2. A instrução CloudWatchLimited permite que Zhang execute cinco ações no CloudWatch. Seu limite de permissões permite todas as ações no CloudWatch, portanto, suas permissões efetivas do CloudWatch são limitadas apenas por sua política de permissões.

  3. A instrução S3BucketContents permite que Zhang liste o bucket ZhangBucket do Amazon S3. No entanto, seu limite de permissões não permite nenhuma ação do Amazon S3, ele não pode executar operações do S3, independentemente de sua política de permissões.

    nota

    As políticas de Zhang permitem que ele crie um usuário que acessa os recursos do Amazon S3 que ele não pode acessar. Ao delegar essas ações administrativas, Maria efetivamente confia a Zhang o acesso ao Amazon S3.

Em seguida, María anexa a política DelegatedUserPermissions como a política de permissões para o usuário Zhang.

Tarefa 4: Ela fornece a Zhang as instruções para criar um novo usuário. Ela informa que ele pode criar novos usuários com qualquer permissão que eles precisem, mas deve atribuir a eles a política XCompanyBoundaries como um limite de permissões.

Zhang executa as seguintes tarefas:

  1. Zhang cria um usuário com o AWS Management Console. Ele digita o nome do usuário Nikhil e permite acesso ao console para o usuário. Ele desmarca a caixa de seleção ao lado de Requer redefinição de senha, porque as políticas acima permitem que os usuários alterem a senha somente depois que fizerem login no console do IAM.

  2. Na página Set permissions (Definir permissões), Zhang escolhe as políticas de permissões IAMFullAccess e AmazonS3ReadOnlyAccess que permitem que Nikhil faça seu trabalho.

  3. Zhang ignora a seção Set permissions boundary (Definir limite de permissões) esquecendo as instruções de María.

  4. Zhang revisa os detalhes do usuário e seleciona Create user (Criar usuário).

    A operação falha e o acesso é negado. O limite de permissões DelegatedUserBoundary de Zhang exige que qualquer usuário que ele crie tenha a política XCompanyBoundaries usada como um limite de permissões.

  5. Zhang retorna à página anterior. Na seção Set permissions boundary (Definir limite de permissões), ele escolhe a política XCompanyBoundaries.

  6. Zhang revisa os detalhes do usuário e seleciona Create user (Criar usuário).

    O usuário é criado.

Quando Nikhil faz login, ele tem acesso ao IAM e ao Amazon S3, com exceção das operações que são negadas pelo limite de permissões. Por exemplo, ele pode alterar sua própria senha no IAM, mas não pode criar outro usuário ou editar suas políticas. Nikhil tem acesso somente leitura ao Amazon S3.

Se alguém adiciona uma política baseada em recurso ao bucket do logs que permite que Nikhil coloque um objeto no bucket, ele ainda não pode acessar o bucket. O motivo é que as ações no bucket logs são explicitamente negadas por seu limite de permissões. Uma negação explícita em qualquer tipo de política resulta em uma solicitação negada. No entanto, se uma política baseada em recurso anexada a um segredo do Secrets Manager permitir que Nikhil execute a ação secretsmanager:GetSecretValue, Nikhil poderá recuperar e descriptografar o segredo. O motivo é que as operações do Secrets Manager não são explicitamente negadas por seu limite de permissões, e as negações implícitas nos limites de permissões não limitam as políticas baseadas em recurso.