Criar políticas do IAM (console) - AWS Identity and Access Management

Criar políticas do IAM (console)

Uma política é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. Você pode usar o AWS Management Console para criar políticas gerenciadas pelo cliente no IAM. As políticas gerenciadas pelo cliente são políticas autônomas que você administra em sua própria conta da AWS. Você pode anexar as políticas a identidades (usuários, grupos e funções) em sua conta da AWS.

Criar políticas do IAM

Você pode criar uma política gerenciada pelo cliente no AWS Management Console usando um dos seguintes métodos:

  • JSON — cole e personalize uma política baseada em identidade de exemplo publicada.

  • Editor visual — crie uma nova política do zero no editor visual. Se você usar o editor visual, não precisará entender a sintaxe JSON.

  • Importar — importe e personalize uma política gerenciada na sua conta. Você pode importar uma política gerenciada da AWS ou uma política gerenciada pelo cliente criada anteriormente.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte IAM e AWS STS cotas.

Criar políticas na guia JSON

Você pode digitar ou colar políticas em JSON escolhendo a guia JSON. Este método é útil para copiar um exemplo de política para usar na sua conta. Você também pode digitar o seu próprio documento de política JSON no editor JSON. Você também pode usar a guia JSON para alternar entre o editor visual e JSON para comparar as exibições.

Quando você cria ou edita uma política no editor JSON, o IAM executa a validação de política para ajudar a criar uma política efetiva. O IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de políticas adicionais com recomendações acionáveis para ajudar a refinar ainda mais a política.

Uma política JSON consiste em uma ou mais instruções. Cada instrução deve conter todas as ações que compartilham o mesmo efeito (Allow ou Deny) e oferecem suporte aos mesmos recursos e condições. Se uma ação exigir que você especifique todos os recursos ("*") e outra ação oferecer suporte ao nome de recurso da Amazon (ARN) de um recurso específico, elas devem ficar em duas instruções JSON separadas. Para obter detalhes sobre formatos de ARN, consulte Nome de recurso da Amazon (ARN) no Guia de AWS General Reference. Para obter informações gerais sobre políticas do IAM, consulte Políticas e permissões no IAM. Para obter informações sobre a linguagem de políticas do IAM, consulte Referência de política JSON do IAM.

Para usar o editor de políticas JSON para criar uma política

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, selecione Políticas.

  3. Escolha Create policy (Criar política).

  4. Selecione a guia JSON.

  5. Digite ou cole um documento de política JSON. Para obter detalhes sobre a linguagem de políticas do IAM, consulte Referência de política JSON do IAM.

  6. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, selecione Review policy (Revisar política).

    nota

    É possível alternar entre as guias Visual editor (Editor visual) e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher Next: Tags (Próximo: Tags) na guia Visual editor (Editor visual), o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  7. Quando terminar, escolha Next: Tags (Próximo: Tags).

    (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar recursos do IAM.

  8. Na página Revisar política, digite um Nome e uma Descrição (opcional) para a política que você está criando. Revise o Resumo da política para ver as permissões que são concedidas pela política. Em seguida, escolha Criar política para salvar seu trabalho.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM.

Criar políticas com o editor visual

O editor visual no console do IAM oferece orientação para a criação de uma política sem que seja necessário escrever usando a sintaxe JSON. Para visualizar um exemplo de como usar o editor visual para criar uma política, consulte Controlar o acesso às identidades.

Para usar o editor visual para criar uma política

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, selecione Políticas.

  3. Escolha Create policy (Criar política).

  4. Na guia Editor visual, selecione Escolher um serviço e escolha um serviço da AWS. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de serviços. Você pode escolher apenas um serviço em um bloco de permissões no editor visual. Para conceder acesso a mais de um serviço, adicione vários blocos de permissões escolhendo Acrescentar permissões adicionais.

  5. Em Ações, escolha as ações a serem adicionadas à política. Você pode escolher as ações das seguintes maneiras:

    • Marque a caixa de seleção para todas as ações.

    • Escolha adicionar ações para digitar o nome de uma ação específica. Você pode usar curingas (*) para especificar várias ações.

    • Selecione um dos grupos de Nível de acesso para escolher todas as ações do nível de acesso (por exemplo, Leitura, Gravação ou Lista).

    • Expanda cada um dos grupos de Access level para escolher as ações individuais.

    Por padrão, a política que você está criando permite as ações que você escolhe. Para negar as ações escolhidas, selecione Alternar para negar permissões. Como o IAM nega por padrão, recomendamos como melhores práticas de segurança que você conceda permissões somente para as ações e os recursos dos quais um usuário precisa. Você só deverá criar uma instrução JSON para negar permissões se desejar substituir, separadamente, uma permissão que é concedida por uma outra instrução ou política. Recomendamos que você limite ao mínimo o número de permissões de negação, pois elas podem aumentar a dificuldade de solucionar problemas nas permissões.

  6. Para Recursos, se o serviço e as ações que você selecionou nas etapas anteriores não oferecerem suporte à escolha de recursos específicos, todos os recursos serão permitidos e você não poderá editar esta seção.

    Se você escolher uma ou mais ações que ofereçam suporte a permissões no nível de recursos, o editor visual listará esses recursos. Você poderá expandir Recursos para especificar os recursos para sua política.

    É possível especificar recursos das seguintes maneiras:

    • Selecione Adicionar ARN para especificar os recursos pelos seus nomes de recurso da Amazon (ARN). Você pode usar o editor de ARN visual ou listar os ARNs manualmente. Para obter mais informações sobre a sintaxe do ARN, consulte Nome de recurso da Amazon (ARN) no Guia de AWS General Reference. Para obter informações sobre como usar ARNs no elemento Resource de uma política, consulte Elementos de política JSON do IAM: Resource.

    • Escolha Qualquer ao lado de um recurso para conceder permissões a quaisquer recursos desse tipo.

    • Escolha Todos os recursos para escolher todos os recursos do serviço.

  7. (Opcional) Escolha Especificar condições da solicitação (opcional) para adicionar condições à política que você está criando. As condições limitam o efeito de uma instrução de política JSON. Por exemplo, você pode especificar que um usuário só tem permissão para executar ações nos recursos quando sua solicitação ocorrer em um determinado período. Você também pode usar as condições mais usadas para limitar se um usuário deve ser autenticado usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Ou você pode exigir que a solicitação tenha origem em um determinado intervalo de endereços IP. Para obter listas de todas as chaves de contexto que você pode usar em uma condição de política, consulte Ações, recursos e chaves de condição de serviços da AWS.

    Você pode escolher as condições das seguintes maneiras:

    • Use as caixas de seleção para selecionar as condições comumente utilizadas.

    • Escolha Adicionar condição para especificar outras condições. Escolha a Condition Key, o Qualifier e o Operator da condição e, em seguida, digite um Value. Para adicionar mais de um valor, escolha Adicionar novo valor. Você pode considerar os valores como sendo conectados por um operador lógico "OR". Quando terminar, escolha Adicionar.

    Para adicionar mais de uma condição, escolha Adicionar condição novamente. Repita conforme necessário. Cada condição se aplica apenas a um bloco de permissões do editor visual. Todas as condições devem ser verdadeiras para que o bloco de permissões seja considerado uma correspondência. Em outras palavras, considere as condições como sendo conectadas por um operador lógico "AND".

    Para obter mais informações sobre o elemento Condição, consulte Elementos de política JSON do IAM: Condition no Referência de política JSON do IAM.

  8. Para adicionar mais blocos de permissão, escolha Acrescentar permissões adicionais. Para cada bloco, repita as etapas de 2 a 5.

    nota

    É possível alternar entre as guias Visual editor (Editor visual) e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher Next: Tags (Próximo: Tags) na guia Visual editor (Editor visual), o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  9. Quando terminar, escolha Next: Tags (Próximo: Tags).

    (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar recursos do IAM.

  10. Ao concluir, selecione Próximo: revisão.

  11. Na página Revisar política, digite um Nome e uma Descrição (opcional) para a política que você está criando. Revise o resumo da política para assegurar-se de ter concedido as permissões que pretendia e, em seguida, escolha Criar política para salvar sua nova política.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM.

Importar políticas gerenciadas existentes

Uma maneira fácil de criar uma nova política é importar uma política gerenciada existente para sua conta que tenha pelo menos algumas das permissões de que você precisa. Em seguida, você pode personalizar a política de acordo seus novos requisitos.

Não é possível importar uma política em linha. Para saber mais sobre a diferença entre políticas gerenciadas e em linha, consulte Políticas gerenciadas e em linha.

Para importar uma política gerenciada existente no editor visual

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, selecione Políticas.

  3. Escolha Create policy (Criar política).

  4. Escolha a guia Editor visual e, em seguida, no lado direito da página, escolha Importar política gerenciada.

  5. Na janela Importar políticas gerenciadas, escolha as políticas gerenciadas que mais se aproximam daquela que deseja incluir na sua nova política. Você pode usar o menu Filtro ou digitar na caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

  6. Escolha Import.

    As políticas importadas são adicionadas em novos blocos de permissões na parte inferior da política.

  7. Use o Editor visual ou escolha JSON para personalizar a política. Em seguida, escolha Revisar política.

    nota

    É possível alternar entre as guias Visual editor (Editor visual) e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher Revisar política na guia Editor visual, o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  8. Na página Revisar, digite um Nome e uma Descrição (opcional) para a política que você está criando. Você não poderá editar essas configurações mais tarde. Revise o Resumo da política e, em seguida, escolha Criar política para salvar seu trabalho.

Para importar uma política gerenciada existente na guia JSON

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, selecione Políticas.

  3. Escolha Create policy (Criar política).

  4. Escolha a guia JSON e, em seguida, no lado direito da página, escolha Importar política gerenciada.

  5. Na janela Importar políticas gerenciadas, escolha as políticas gerenciadas que mais se aproximam daquela que deseja incluir na sua nova política. Você pode usar o menu Filtro ou digitar na caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

  6. Escolha Import.

    As instruções das políticas importadas são adicionadas na parte inferior da sua política JSON.

  7. Personalize sua política no JSON. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, selecione Review policy (Revisar política). Ou personalize sua política no Visual editor. Em seguida, escolha Revisar política.

    nota

    É possível alternar entre as guias Visual editor (Editor visual) e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher Revisar política na guia Editor visual, o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  8. Na página Revisar política, digite um Nome e uma Descrição (opcional) para a política que você está criando. Você não poderá editá-los mais tarde. Revise o Resumo da política e, em seguida, escolha Criar política para salvar seu trabalho.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM.