Políticas gerenciadas pela AWS para funções de trabalho

Recomendamos o uso de políticas que concedam privilégios mínimos ou conceder apenas as permissões necessárias para executar uma tarefa. A maneira mais segura de conceder privilégios mínimos é escrever uma política personalizada apenas com as permissões necessárias à sua equipe. Você deve criar um processo para permitir que sua equipe solicite mais permissões quando necessário. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam.

Para começar a adicionar permissões a suas identidades do IAM (usuários, grupos de usuários e perfis), você pode usar Políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. As políticas gerenciadas AWS pela não concedem permissões de privilégio mínimo. Você deve considerar o risco de segurança de conceder às suas entidades de segurança mais permissões do que elas precisam para realizar um trabalho.

Você pode anexar políticas gerenciadas pela AWS, incluindo funções de trabalho, a qualquer identidade do IAM. Para alternar para permissões de privilégio mínimo, você pode executar o AWS Identity and Access Management Access Analyzer para monitorar as entidades de segurança com políticas gerenciadas pela AWS. Depois de saber quais permissões elas estão usando, você pode escrever uma política personalizada ou gerar uma política apenas com as permissões necessárias para sua equipe. Isso é menos seguro, mas oferece mais flexibilidade à medida que você aprende como sua equipe está usando a AWS.

Políticas gerenciadas pela AWS para funções de trabalho são projetadas para se alinhar de perto com funções de trabalho comuns no setor de TI. Você pode usar essas políticas para conceder as permissões necessárias para executar as tarefas esperadas de alguém com determinada função de trabalho. Essas políticas consolidam permissões para vários serviços em uma única política com a qual seja mais fácil trabalhar do que ter permissões espalhadas através de muitas políticas.

Use funções para combinar serviços

Algumas das políticas usam funções de serviço do IAM para ajudar você a aproveitar os recursos encontrados em outros produtos da AWS. Essas políticas concedem acesso a iam:passrole, o que permite que um usuário com a política passe uma função para um serviço da AWS. Essa função delega permissões do IAM para o produto da AWS executar ações em seu nome.

Você deve criar as funções de acordo com as suas necessidades. Por exemplo, a política de administrador de rede permite que um usuário com a política passe uma função chamada “flow-logs-vpc” para o serviço Amazon CloudWatch. O CloudWatch usa essa função para registrar em log e capturar o tráfego de IP para VPCs criadas pelo usuário.

Para seguir as melhores práticas de segurança, as políticas para funções de trabalho incluem filtros que limitam os nomes de funções válidas que podem ser transmitidas. Isso ajuda a evitar a concessão de permissões desnecessárias. Se seus usuários precisam das funções de serviço opcionais, você deve criar uma função que siga a convenção de nomenclatura especificada na política. Então, conceda permissões para a função. Ao concluir, o usuário pode configurar o serviço para usar a função, concedendo-lhe todas as permissões que a função oferece.

Nas seguintes seções, cada nome de política é um link para a página de detalhes da política no AWS Management Console. Lá, é possível consultar o documento de política e revisar as permissões que ela concede.

Função de trabalho de administrador

Nome da política gerenciada pela AWS: AdministratorAccess

Caso de uso: Este usuário tem acesso total e pode delegar permissões para todos os serviços e recursos na AWS.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: Esta política concede todas as ações para todos os serviços da AWS e para todos os recursos na conta. Para obter mais informações sobre a política gerenciada, consulte AdministratorAccess no Guia de referência de políticas gerenciadas pela AWS.

nota

Antes que um usuário ou uma função do IAM possa acessar o console do AWS Billing and Cost Management com as permissões nesta política, você deve primeiro ativar o usuário e o acesso à função do IAM. Para fazer isso, siga as instruções na Etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

Função de trabalho de faturamento

Nome da política gerenciada pela AWS: Billing

Caso de uso: Este usuário precisa visualizar informações de faturamento, configurar e autorizar pagamentos. O usuário pode monitorar os custos acumulados para cada serviço da AWS.

Descrição da política: Esta política concede permissões completas para gerenciar faturamento, custos, meios de pagamento, orçamentos e relatórios. Para obter outros exemplos de políticas de gerenciamento de custos, consulte Exemplos de políticas do AWS Billing no Guia do usuário do AWS Billing and Cost Management. Para obter mais informações sobre a política gerenciada, consulte Billing no Guia de referência de políticas gerenciadas pela AWS.

nota

Função de trabalho de administrador de banco de dados

Nome da política gerenciada pela AWS: DatabaseAdministrator

Caso de uso: Este usuário define, configura e mantém bancos de dados na Nuvem AWS.

Descrição da política: Esta política concede permissões para criar, configurar e manter bancos de dados. Ela inclui acesso a serviços de banco de dados da AWS, como o Amazon DynamoDB, o Amazon Relational Database Service (RDS) e o Amazon Redshift. Visualize a política para obter a lista completa de serviços de banco de dados aos quais essa política oferece suporte. Para obter mais informações sobre a política gerenciada, consulte DatabaseAdministrator no Guia de referência de políticas gerenciadas pela AWS.

Essa política de função de trabalho oferece suporte à capacidade de passar funções para serviços da AWS. A política permite a ação iam:PassRole somente para as funções listadas na tabela a seguir. Para obter mais informações, consulte Criar funções e anexar políticas (console) mais adiante neste tópico.

Caso de uso	Nome da função (* é um curinga)	Tipo de função de serviço a selecionar	Selecione esta política gerenciada pela AWS
Permitir que o usuário monitore bancos de dados do RDS	rds-monitoring-role	Função do Amazon RDS para monitoramento aprimorado	AmazonRDSEnhancedMonitoringRole
Permitir que AWS Lambda monitore seu banco de dados e acesse bancos de dados externos	rdbms-lambda-access	Amazon EC2	AWSLambda_FullAccess
Permitir que o Lambda carregue arquivos para o Amazon S3 e para clusters do Amazon Redshift com o DynamoDB	lambda_exec_role	AWS Lambda	Criar uma nova política gerenciada conforme definido no Blog de Big Data da AWS
Permitir que funções Lambda atuem como acionadores para suas tabelas do DynamoDB	lambda-dynamodb-*	AWS Lambda	AWSLambdaDynamoDBExecutionRole
Permitir que funções Lambda acessem o Amazon RDS em uma VPC	lambda-vpc-execution-role	Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Lambda	AWSLambdaVPCAccessExecutionRole
Permitir que o AWS Data Pipeline acesse seus recursos da AWS	DataPipelineDefaultRole	Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline	A documentação do AWS Data Pipeline lista as permissões necessárias para este caso de uso. ConsulteFunções do IAM para oAWS Data Pipeline
Permitir que suas aplicações em execução em instâncias do Amazon EC2 acessem seus recursos da AWS	DataPipelineDefaultResourceRole	Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline	AmazonEC2RoleforDataPipelineRole

Função de trabalho de cientista de dados

Nome da política gerenciada pela AWS: DataScientist

Caso de uso: Este usuário executa trabalhos e consultas do Hadoop. O usuário também acessa e analisa informações para data analytics e business intelligence.

Descrição da política: esta política concede permissões para criar, gerenciar e executar consultas em um cluster do Amazon EMR e executar data analytics com ferramentas como o Amazon QuickSight. A política inclui o acesso a serviços adicionais de cientistas de dados, como o AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning e SageMaker. Visualize a política para obter a lista completa de serviços de cientistas de dados aos quais essa política oferece suporte. Para obter mais informações sobre a política gerenciada, consulte DataScientist no Guia de referência de políticas gerenciadas pela AWS.

Essa política de função de trabalho oferece suporte à capacidade de passar funções para serviços da AWS. Uma instrução permite passar qualquer função para o SageMaker. Outra declaração permite a ação iam:PassRole somente para as funções listadas na tabela a seguir. Para obter mais informações, consulte Criar funções e anexar políticas (console) mais adiante neste tópico.

Caso de uso	Nome da função (* é um curinga)	Tipo de função de serviço a selecionar	Política gerenciada pela AWS a selecionar
Permitir que instâncias do Amazon EC2 acessem serviços e recursos adequados para clusters	EMR-EC2_DefaultRole	Amazon EMR for EC2	AmazonElasticMapReduceforEC2Role
Permitir acesso ao Amazon EMR para acessar o serviço e recursos do Amazon EC2 para clusters	EMR_DefaultRole	Amazon EMR	AmazonEMRServicePolicy_v2
Permitir que o Kinesis Managed Service for Apache Flink acesse fontes de dados de streaming	kinesis-*	Criar uma função com uma política de confiança conforme definido no Blog de Big Data da AWS.	Consulte o Blog de Big Data da AWS, que descreve quatro opções possíveis, dependendo do caso de uso
Permitir que o AWS Data Pipeline acesse seus recursos da AWS	DataPipelineDefaultRole	Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline	A documentação do AWS Data Pipeline lista as permissões necessárias para este caso de uso. ConsulteFunções do IAM para oAWS Data Pipeline
Permitir que suas aplicações em execução em instâncias do Amazon EC2 acessem seus recursos da AWS	DataPipelineDefaultResourceRole	Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline	AmazonEC2RoleforDataPipelineRole

Função de trabalho de usuário desenvolvedor avançado

Nome da política gerenciada pela AWS: PowerUserAccess

Caso de uso: Este usuário executa tarefas de desenvolvimento de aplicativos e pode criar e configurar recursos e serviços compatíveis com o desenvolvimento consciente de aplicativos da AWS.

Descrição da política: a primeira declaração desta política utiliza o elemento NotAction para permitir todas as ações para todos os produtos da AWS e para todos os recursos, exceto para o AWS Identity and Access Management, o AWS Organizations e o AWS Account Management. A segunda instrução concede permissões do IAM para criar uma função vinculada ao serviço. Isso é necessário para alguns serviços que devem acessar recursos em outro serviço, como um bucket do Amazon S3. Ela também concede permissões do Organizations para visualizar informações sobre a organização do usuário, incluindo o e-mail da conta de gerenciamento e as limitações da organização. Embora esta política limite o IAM e o Organizations, ela permite que o usuário execute todas as ações do IAM Identity Center, se o IAM Identity Center estiver habilitado. Ele também concede permissões de gerenciamento de contas para visualizar quais regiões da AWS estão habilitadas ou desabilitadas para a conta.

Função de trabalho de administrador de rede

Nome da política gerenciada pela AWS: NetworkAdministrator

Caso de uso: Este usuário é responsável pela configuração e manutenção dos recursos de rede da AWS.

Descrição da política: esta política concede permissões para criar e manter recursos de rede no Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM, e Amazon Virtual Private Cloud. Para obter mais informações sobre a política gerenciada, consulte NetworkAdministrator no Guia de referência de políticas gerenciadas pela AWS.

Caso de uso	Nome da função (* é um curinga)	Tipo de função de serviço a selecionar	Política gerenciada pela AWS a selecionar
Permite que o Amazon VPC crie e gerencie logs no CloudWatch Logs em nome do usuário para monitorar o tráfego de IP que entra e sai de sua VPC	flow-logs-*	Criar uma função com uma política de confiança conforme definido no Guia do usuário do Amazon VPC	Este caso de uso não tem uma política gerenciada pela AWS existente, mas a documentação lista as permissões necessárias. Consulte Guia do usuário do Amazon VPC.

Acesso somente leitura

Nome da política gerenciada pela AWS: ReadOnlyAccess

Caso de uso: este usuário requer acesso somente leitura a todos os recursos em uma Conta da AWS.

Descrição da política:: esta política concede permissões para listar, obter, descrever e, de outra forma, visualizar recursos e seus atributos. Ela não inclui funções de mudança como criar ou excluir. Esta política inclui acesso somente leitura a produtos da AWS relacionados à segurança, como AWS Identity and Access Management e AWS Billing and Cost Management. Visualize a política para obter a lista completa de serviços e ações a que esta política oferece suporte.

Função de trabalho do auditor de segurança

Nome da política gerenciada pela AWS: SecurityAudit

Caso de uso: Este usuário monitora contas quanto à conformidade com os requisitos de segurança. Este usuário pode acessar registros e eventos para investigar potenciais violações de segurança ou possíveis atividades maliciosas.

Descrição da política: Esta política concede permissões para visualizar dados de configuração para muitos serviços da AWS e para revisar seus registros. Para obter mais informações sobre a política gerenciada, consulte SecurityAudit no Guia de referência de políticas gerenciadas pela AWS.

Função de trabalho de usuário do suporte

Nome da política gerenciada pela AWS: SupportUser

Caso de uso: Este usuário entra em contato com o Suporte da AWS cria casos de suporte e visualiza o status de casos existentes.

Descrição da política: esta política concede permissões para criar e atualizar casos de AWS Support. Para obter mais informações sobre a política gerenciada, consulte SupportUser no Guia de referência de políticas gerenciadas pela AWS.

Função de trabalho de administrador de sistema

Nome da política gerenciada pela AWS: SystemAdministrator

Caso de uso: Este usuário configura e mantém recursos para as operações de desenvolvimento.

Descrição da política:: esta política concede permissões para criar e manter recursos em uma grande variedade de serviços da AWS, incluindo o AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor e Amazon VPC. Para obter mais informações sobre a política gerenciada, consulte SystemAdministrator no Guia de referência de políticas gerenciadas pela AWS.

Esta função de trabalho requer a capacidade de passar funções para serviços da AWS. A política concede iam:GetRole e iam:PassRole apenas para as funções listadas na seguinte tabela. Para obter mais informações, consulte Criar funções e anexar políticas (console) mais adiante neste tópico. Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Caso de uso	Nome da função (* é um curinga)	Tipo de função de serviço a selecionar	Política gerenciada pela AWS a selecionar
Permitir que aplicações em execução em instâncias do EC2 em um cluster do Amazon ECS acessem o Amazon ECS	ecr-sysadmin-*	Função do Amazon EC2 para o EC2 Container Service	AmazonEC2ContainerServiceforEC2Role
Permitir que um usuário monitore bancos de dados	rds-monitoring-role	Função do Amazon RDS para monitoramento aprimorado	AmazonRDSEnhancedMonitoringRole
Permitir que aplicativos em execução em instâncias do EC2 acessem recursos da AWS.	ec2-sysadmin-*	Amazon EC2	Amostra de política para perfil que concede acesso a um bucket do S3, conforme apresentado no Guia do usuário do Amazon EC2; personalizar conforme necessário
Permitir que o Lambda leia fluxos do DynamoDB e grave no CloudWatch Logs	lambda-sysadmin-*	AWS Lambda	AWSLambdaDynamoDBExecutionRole

Função de trabalho de usuário somente para visualização

Nome da política gerenciada pela AWS: ViewOnlyAccess

Caso de uso: este usuário pode visualizar uma lista de recursos e metadados básicos da AWS na conta nos serviços. O usuário não pode ler o conteúdo do recurso ou metadados além da cota e informações da lista para os recursos.

Descrição da política: esta política concede a List*, Describe*, Get*, View* e Lookup* acesso a recursos para serviços da AWS. Para ver quais ações essa política inclui para cada serviço, consulte ViewOnlyAccess. Para obter mais informações sobre a política gerenciada, consulte ViewOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

Atualizações nas políticas gerenciadas pela AWS para funções de trabalho

Todas essas políticas são mantidas pela AWS e atualizadas para incluir suporte a novos serviços e novos recursos à medida que são adicionados pela AWS. Essas políticas não podem ser modificadas pelos clientes. Você pode fazer uma cópia da política e, em seguida, modificar a cópia, mas essa cópia não é atualizada automaticamente à medida que a AWS introduz novos serviços e operações de API.

Para uma política de função de trabalho, você pode visualizar o histórico de versões e a hora e a data de cada atualização no console do IAM. Para fazer isso, use os links desta página para visualizar os detalhes da política. Em seguida, escolha a guia Policy versions (Versões da política) para visualizar as versões. Esta página mostra as últimas 25 versões de uma política. Para visualizar todas as versões de uma política, chame o comando get-policy-version da AWS CLI ou a operação GetPolicyVersion da API.

nota

Você pode ter até cinco versões de uma política gerenciada pelo cliente, mas a AWS mantém o histórico de versões completo das políticas gerenciadas pela AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gramática das políticas

Criar funções e anexar políticas (console)