Políticas gerenciadas pela AWS para funções de trabalho - AWS Identity and Access Management

Políticas gerenciadas pela AWS para funções de trabalho

Recomendamos o uso de políticas que concedam privilégios mínimos ou conceder apenas as permissões necessárias para executar uma tarefa. A maneira mais segura de conceder privilégios mínimos é escrever uma política personalizada apenas com as permissões necessárias à sua equipe. Você deve criar um processo para permitir que sua equipe solicite mais permissões quando necessário. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam.

Para começar a adicionar permissões a suas identidades do IAM (usuários, grupos de usuários e funções), você pode usar Políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS abrangem casos de uso comuns e estão disponíveis na sua conta da AWS. As políticas gerenciadas AWS pela não concedem permissões de privilégio mínimo. Você deve considerar o risco de segurança de conceder às suas entidades de segurança mais permissões do que elas precisam para realizar um trabalho.

Você pode anexar políticas gerenciadas pela AWS, incluindo funções de trabalho, a qualquer identidade do IAM. Para alternar para permissões de privilégio mínimo, você pode executar o AWS Identity and Access Management Access Analyzer para monitorar as entidades de segurança com políticas gerenciadas pela AWS. Depois de saber quais permissões elas estão usando, você pode escrever uma política personalizada ou gerar uma política apenas com as permissões necessárias para sua equipe. Isso é menos seguro, mas oferece mais flexibilidade à medida que você aprende como sua equipe está usando a AWS.

Políticas gerenciadas pela AWS para funções de trabalho são projetadas para se alinhar de perto com funções de trabalho comuns no setor de TI. Você pode usar essas políticas para conceder as permissões necessárias para executar as tarefas esperadas de alguém com determinada função de trabalho. Essas políticas consolidam permissões para vários serviços em uma única política com a qual seja mais fácil trabalhar do que ter permissões espalhadas através de muitas políticas.

Use funções para combinar serviços

Algumas das políticas usam funções de serviço do IAM para ajudar você a aproveitar os recursos encontrados em outros produtos da AWS. Essas políticas concedem acesso a iam:passrole, o que permite que um usuário com a política passe uma função para um serviço da AWS. Essa função delega permissões do IAM para o produto da AWS executar ações em seu nome.

Você deve criar as funções de acordo com as suas necessidades. Por exemplo, a política de administrador de rede permite que um usuário com a política passe uma função chamada “flow-logs-vpc” para o serviço Amazon CloudWatch. O CloudWatch usa essa função para registrar em log e capturar o tráfego de IP para VPCs criadas pelo usuário.

Para seguir as melhores práticas de segurança, as políticas para funções de trabalho incluem filtros que limitam os nomes de funções válidas que podem ser transmitidas. Isso ajuda a evitar a concessão de permissões desnecessárias. Se seus usuários precisam das funções de serviço opcionais, você deve criar uma função que siga a convenção de nomenclatura especificada na política. Então, conceda permissões para a função. Ao concluir, o usuário pode configurar o serviço para usar a função, concedendo-lhe todas as permissões que a função oferece.

Nas seguintes seções, cada nome de política é um link para a página de detalhes da política no AWS Management Console. Lá, é possível consultar o documento de política e revisar as permissões que ela concede.

Função de trabalho de administrador

Nome da política gerenciada pela AWS: AdministratorAccess

Caso de uso: Este usuário tem acesso total e pode delegar permissões para todos os serviços e recursos na AWS.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: Esta política concede todas as ações para todos os serviços da AWS e para todos os recursos na conta.

nota

Antes que um usuário ou uma função do IAM possa acessar o console do AWS Billing and Cost Management com as permissões nesta política, você deve primeiro ativar o usuário e o acesso à função do IAM. Para fazer isso, siga as instruções na Etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

Função de trabalho de faturamento

Nome da política gerenciada pela AWS: Billing

Caso de uso: Este usuário precisa visualizar informações de faturamento, configurar e autorizar pagamentos. O usuário pode monitorar os custos acumulados para cada serviço da AWS.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: Esta política concede permissões completas para gerenciar faturamento, custos, meios de pagamento, orçamentos e relatórios.

nota

Antes que um usuário ou uma função do IAM possa acessar o console do AWS Billing and Cost Management com as permissões nesta política, você deve primeiro ativar o usuário e o acesso à função do IAM. Para fazer isso, siga as instruções na Etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

Função de trabalho de administrador de banco de dados

Nome da política gerenciada pela AWS: DatabaseAdministrator

Caso de uso: Este usuário define, configura e mantém bancos de dados na Nuvem AWS.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: Esta política concede permissões para criar, configurar e manter bancos de dados. Ela inclui acesso a serviços de banco de dados da AWS, como o Amazon DynamoDB, o Amazon Relational Database Service (RDS) e o Amazon Redshift. Visualize a política para obter a lista completa de serviços de banco de dados aos quais essa política oferece suporte.

Essa política de função de trabalho oferece suporte à capacidade de passar funções para serviços da AWS. A política permite a ação iam:PassRole somente para as funções listadas na tabela a seguir. Para obter mais informações, consulte Criar funções e anexar políticas (console) mais adiante neste tópico.

Funções de serviço opcionais do IAM para a função de trabalho do administrador de banco de dados
Caso de uso Nome da função (* é um curinga) Tipo de função de serviço a selecionar Selecione esta política gerenciada pela AWS
Permitir que o usuário monitore bancos de dados do RDS rds-monitoring-role Função do Amazon RDS para monitoramento aprimorado AmazonRDSEnhancedMonitoringRole
Permitir que AWS Lambda monitore seu banco de dados e acesse bancos de dados externos rdbms-lambda-access Amazon EC2 AWSLambda_FullAccess
Permitir que o Lambda carregue arquivos para o Amazon S3 e para clusters do Amazon Redshift com o DynamoDB lambda_exec_role AWS Lambda Criar uma nova política gerenciada conforme definido no Blog de Big Data da AWS
Permitir que funções Lambda atuem como acionadores para suas tabelas do DynamoDB lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Permitir que funções Lambda acessem o Amazon RDS em uma VPC lambda-vpc-execution-role Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Lambda AWSLambdaVPCAccessExecutionRole
Permitir que o AWS Data Pipeline acesse seus recursos da AWS DataPipelineDefaultRole Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline A documentação do AWS Data Pipeline lista as permissões necessárias para este caso de uso. ConsulteFunções do IAM para oAWS Data Pipeline
Permitir que suas aplicações em execução em instâncias do Amazon EC2 acessem seus recursos da AWS DataPipelineDefaultResourceRole Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Função de trabalho de cientista de dados

Nome da política gerenciada pela AWS: DataScientist

Caso de uso: Este usuário executa trabalhos e consultas do Hadoop. O usuário também acessa e analisa informações para análise de dados e business intelligence.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: esta política concede permissões para criar, gerenciar e executar consultas em um cluster do Amazon EMR e realizar análise de dados com ferramentas como o Amazon QuickSight. A política inclui o acesso a serviços adicionais de cientistas de dados, como o AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning e SageMaker. Visualize a política para obter a lista completa de serviços de cientistas de dados aos quais essa política oferece suporte.

Essa política de função de trabalho oferece suporte à capacidade de passar funções para serviços da AWS. Uma instrução permite passar qualquer função para o SageMaker. Outra declaração permite a ação iam:PassRole somente para as funções listadas na tabela a seguir. Para obter mais informações, consulte Criar funções e anexar políticas (console) mais adiante neste tópico.

Funções de serviço opcionais do IAM para a função de trabalho do cientista de dados
Caso de uso Nome da função (* é um curinga) Tipo de função de serviço a selecionar Política gerenciada pela AWS a selecionar
Permitir que instâncias do Amazon EC2 acessem serviços e recursos adequados para clusters EMR-EC2_DefaultRole Amazon EMR for EC2 AmazonElasticMapReduceforEC2Role
Permitir acesso ao Amazon EMR para acessar o serviço e recursos do Amazon EC2 para clusters EMR_DefaultRole Amazon EMR AmazonEMRServicePolicy_v2
Permitir que o Kinesis Data Analytics acesse fontes de dados de transmissão kinesis-* Criar uma função com uma política de confiança conforme definido no Blog de Big Data da AWS. Consulte o Blog de Big Data da AWS, que descreve quatro opções possíveis, dependendo do caso de uso
Permitir que o AWS Data Pipeline acesse seus recursos da AWS DataPipelineDefaultRole Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline A documentação do AWS Data Pipeline lista as permissões necessárias para este caso de uso. ConsulteFunções do IAM para oAWS Data Pipeline
Permitir que suas aplicações em execução em instâncias do Amazon EC2 acessem seus recursos da AWS DataPipelineDefaultResourceRole Criar uma função com uma política de confiança conforme definido no Guia do desenvolvedor do AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Função de trabalho de usuário desenvolvedor avançado

Nome da política gerenciada pela AWS: PowerUserAccess

Caso de uso: Este usuário executa tarefas de desenvolvimento de aplicativos e pode criar e configurar recursos e serviços compatíveis com o desenvolvimento consciente de aplicativos da AWS.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: a primeira declaração desta política utiliza o elemento NotAction para permitir todas as ações para todos os produtos da AWS e para todos os recursos, exceto para o AWS Identity and Access Management, o AWS Organizations e o AWS Account Management. A segunda instrução concede permissões do IAM para criar uma função vinculada ao serviço. Isso é necessário para alguns serviços que devem acessar recursos em outro serviço, como um bucket do Amazon S3. Ela também concede permissões do Organizations para visualizar informações sobre a organização do usuário, incluindo o e-mail da conta de gerenciamento e as limitações da organização. Embora esta política limite o IAM e o Organizations, ela permite que o usuário execute todas as ações do IAM Identity Center, se o IAM Identity Center estiver habilitado. Ele também concede permissões de gerenciamento de contas para visualizar quais regiões da AWS estão habilitadas ou desabilitadas para a conta.

Função de trabalho de administrador de rede

Nome da política gerenciada pela AWS: NetworkAdministrator

Caso de uso: Este usuário é responsável pela configuração e manutenção dos recursos de rede da AWS.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: esta política concede permissões para criar e manter recursos de rede no Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM, e Amazon Virtual Private Cloud.

Esta função de trabalho requer a capacidade de passar funções para serviços da AWS. A política concede iam:GetRole e iam:PassRole apenas para as funções listadas na seguinte tabela. Para obter mais informações, consulte Criar funções e anexar políticas (console) mais adiante neste tópico.

Funções de serviço opcionais do IAM para a função de trabalho do administrador de rede
Caso de uso Nome da função (* é um curinga) Tipo de função de serviço a selecionar Política gerenciada pela AWS a selecionar
Permite que o Amazon VPC crie e gerencie logs no CloudWatch Logs em nome do usuário para monitorar o tráfego de IP que entra e sai de sua VPC flow-logs-* Criar uma função com uma política de confiança conforme definido no Guia do usuário do Amazon VPC Este caso de uso não tem uma política gerenciada pela AWS existente, mas a documentação lista as permissões necessárias. Consulte Guia do usuário do Amazon VPC.

Acesso somente leitura

Nome da política gerenciada pela AWS: ReadOnlyAccess

Caso de uso: este usuário requer acesso somente leitura a todos os recursos em uma conta da AWS.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política:: esta política concede permissões para listar, obter, descrever e, de outra forma, visualizar recursos e seus atributos. Ela não inclui funções de mudança como criar ou excluir. Esta política inclui acesso somente leitura a produtos da AWS relacionados à segurança, como AWS Identity and Access Management e AWS Billing and Cost Management. Visualize a política para obter a lista completa de serviços e ações a que esta política oferece suporte.

Função de trabalho do auditor de segurança

Nome da política gerenciada pela AWS: SecurityAudit

Caso de uso: Este usuário monitora contas quanto à conformidade com os requisitos de segurança. Este usuário pode acessar registros e eventos para investigar potenciais violações de segurança ou possíveis atividades maliciosas.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: Esta política concede permissões para visualizar dados de configuração para muitos serviços da AWS e para revisar seus registros.

Função de trabalho de usuário do suporte

Nome da política gerenciada pela AWS: SupportUser

Caso de uso: Este usuário entra em contato com o Suporte da AWS cria casos de suporte e visualiza o status de casos existentes.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: Esta política concede permissões para criar e atualizar casos do Suporte da AWS.

Função de trabalho de administrador de sistema

Nome da política gerenciada pela AWS: SystemAdministrator

Caso de uso: Este usuário configura e mantém recursos para as operações de desenvolvimento.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política:: esta política concede permissões para criar e manter recursos em uma grande variedade de serviços da AWS, incluindo o AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor e Amazon VPC.

Esta função de trabalho requer a capacidade de passar funções para serviços da AWS. A política concede iam:GetRole e iam:PassRole apenas para as funções listadas na seguinte tabela. Para obter mais informações, consulte Criar funções e anexar políticas (console) mais adiante neste tópico.

Funções de serviço opcionais do IAM para a função de trabalho do administrador de sistemas
Caso de uso Nome da função (* é um curinga) Tipo de função de serviço a selecionar Política gerenciada pela AWS a selecionar
Permitir que aplicações em execução em instâncias do EC2 em um cluster do Amazon ECS acessem o Amazon ECS ecr-sysadmin-* Função do Amazon EC2 para o EC2 Container Service AmazonEC2ContainerServiceforEC2Role
Permitir que um usuário monitore bancos de dados rds-monitoring-role Função do Amazon RDS para monitoramento aprimorado AmazonRDSEnhancedMonitoringRole
Permitir que aplicativos em execução em instâncias do EC2 acessem recursos da AWS. ec2-sysadmin-* Amazon EC2 Política de amostra para função que concede acesso a um bucket do S3, conforme mostrado no Guia do usuário do Amazon EC2 para instâncias do Linux; personalizar conforme necessário
Permitir que o Lambda leia fluxos do DynamoDB e grave no CloudWatch Logs lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

Função de trabalho de usuário somente para visualização

Nome da política gerenciada pela AWS: ViewOnlyAccess

Caso de uso: Este usuário pode visualizar uma lista de recursos e metadados básicos da AWS na conta em todos os serviços. O usuário não pode ler o conteúdo do recurso ou metadados além da cota e informações da lista para os recursos.

Atualizações da política: a AWS mantém e atualiza esta política. Para obter um histórico de alterações para esta política, visualize a política no console do IAM e escolha a guia Policy versions (Versões da política). Para obter mais informações sobre atualizações de políticas de funções de trabalho, consulte Atualizações nas políticas gerenciadas pela AWS para funções de trabalho.

Descrição da política: esta política concede a List*, Describe*, Get*, View* e Lookup* acesso a recursos para a maioria dos serviços da AWS. Para ver quais ações essa política inclui para cada serviço, consulte ViewOnlyAccess.

Atualizações nas políticas gerenciadas pela AWS para funções de trabalho

Todas essas políticas são mantidas pela AWS e atualizadas para incluir suporte a novos serviços e novos recursos à medida que são adicionados pela AWS. Essas políticas não podem ser modificadas pelos clientes. Você pode fazer uma cópia da política e, em seguida, modificar a cópia, mas essa cópia não é atualizada automaticamente à medida que a AWS introduz novos serviços e operações de API.

Para uma política de função de trabalho, você pode visualizar o histórico de versões e a hora e a data de cada atualização no console do IAM. Para fazer isso, use os links desta página para visualizar os detalhes da política. Em seguida, escolha a guia Policy versions (Versões da política) para visualizar as versões. Esta página mostra as últimas 25 versões de uma política. Para visualizar todas as versões de uma política, chame o comando get-policy-version da AWS CLI ou a operação GetPolicyVersion da API.

nota

Você pode ter até cinco versões de uma política gerenciada pelo cliente, mas a AWS mantém o histórico de versões completo das políticas gerenciadas pela AWS.