Adicionar e remover permissões de identidade do IAM - AWS Identity and Access Management

Adicionar e remover permissões de identidade do IAM

Use políticas para definir as permissões para uma identidade (usuário, grupo de usuários ou função). Você pode adicionar e remover permissões anexando e desvinculando políticas do IAM em uma identidade usando o AWS Management Console, o AWS Command Line Interface (AWS CLI) ou a API da AWS. Você também pode usar políticas para definir limites de permissões apenas para entidades (usuários ou funções) usando os mesmos métodos. Os limites de permissões são um recurso da AWS avançado que controla o número máximo de permissões que uma entidade pode ter.

Terminology

Ao associar políticas de permissões a identidades (usuários, grupos de usuáros e funções), a terminologia e os procedimentos variam, caso você esteja trabalhando com uma política gerenciada ou em linha:

  • Anexar: usada com políticas gerenciadas. Você anexa uma política gerenciada a uma identidade (usuário, grupo de usuários ou função). A anexação de uma política aplica as permissões da política à identidade.

  • Desvincular: usada com políticas gerenciadas. Você desvincula uma política gerenciada de uma identidade do IAM (usuário, grupo de usuários ou função). A desanexação de uma política remove as permissões da identidade.

  • Incorporar: usada com políticas em linha. Você incorpora uma política em linha em uma identidade (usuário, grupo de usuários ou função). A incorporação de uma política aplica as permissões da política na identidade. Como uma política em linha é armazenada na identidade, ela é incorporada em vez de anexada, embora os resultados sejam semelhantes.

    nota

    É possível incorporar uma política em linha para uma função vinculada ao serviço somente no serviço que depende da função. Consulte a Documentação da AWS do seu serviço para saber se é compatível com esse recurso.

  • Excluir: usada com políticas em linha. Você exclui uma política em linha de uma identidade (usuário, grupo de usuários ou função) do IAM. A exclusão de uma política remove as permissões da identidade.

    nota

    É possível excluir uma política em linha de uma função vinculada ao serviço somente no serviço que depende da função. Consulte a Documentação da AWS do seu serviço para saber se é compatível com esse recurso.

Você pode usar o console, a AWS CLI ou a API da AWS para realizar qualquer uma dessas ações.

Mais informações

Exibir atividade da identidade

Antes de alterar as permissões para uma identidade (usuário, grupo de usuários ou função), você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando as informações do último acesso.

Adicionar permissões de identidade do IAM (console)

Você pode usar a AWS Management Console para adicionar permissões a uma identidade (usuário, grupo de usuários ou função). Para isso, anexe políticas gerenciadas que controlem permissões ou especifique uma política que sirva como um limite de permissões. Você também pode incorporar uma política em linha.

Para usar uma política gerenciada como uma política de permissões para uma identidade (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, selecione a caixa de seleção ao lado do nome da política a anexar. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha Actions (Ações) e Attach (Anexar).

  5. Selecione uma ou mais identidades às quais deseja anexar a política. Você pode usar a caixa de pesquisa para filtrar a lista de entidades de segurança. Depois de selecionar as identidades, escolha Anexar política.

Para usar uma política gerenciada para definir um limite de permissões (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política a ser definida. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Na página de resumo da política, escolha a guia Policy usage (Uso da política) e, se necessário, abra a seção Permissions boundaries (Limites de permissões) e escolha Set boundary (Definir limite).

  5. Selecione um ou mais usuários ou funções nos quais usar a política para um limite de permissões. Você pode usar a caixa de pesquisa para filtrar a lista de entidades de segurança. Após selecionar as entidades principais, escolha Set boundaries (Definir limites).

Para incorporar uma política em linha de um usuário ou uma função (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Usuários ou Funções.

  3. Na lista, selecione o nome do grupo, do usuário ou da função para incorporar uma política.

  4. Escolha a guia Permissions (Permissões).

  5. Escolha Add inline policy.

    nota

    Você não pode incorporar uma política em linha em uma função vinculada ao serviço no IAM. Como o serviço vinculado determina se as permissões da função podem ou não ser modificadas, você pode adicionar políticas adicionais do console de serviço, da API ou da AWS CLI. Para visualizar a documentação da função vinculada ao serviço para um serviço, consulte Serviços da AWS que funcionam com o IAM e selecione Sim na coluna Função vinculada ao serviço para o seu serviço.

  6. Selecione um dos seguintes métodos para visualizar as etapas necessárias para criar a política:

    • Importar políticas gerenciadas existentes: você pode importar uma política gerenciada para sua conta e, em seguida, editá-la para personalizá-la de acordo com seus requisitos específicos. Uma política gerenciada pode ser uma política gerenciada pela AWS ou uma política gerenciada pelo cliente que tenha sido criada anteriormente.

    • Criar políticas com o editor visual: você pode criar uma nova política do zero no editor visual. Se você usar o editor visual, não precisará entender a sintaxe JSON.

    • Criar políticas na guia JSON: na guia JSON, você pode usar a sintaxe JSON para criar uma política. Você pode digitar um novo documento de política JSON ou colar um exemplo de política.

  7. Após criar uma política em linha, ela é automaticamente incorporada ao seu usuário ou função.

Para incorporar uma política em linha a um grupo de usuários (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione User groups (Grupos de usuários).

  3. Na lista, escolha o nome do grupo de usuários no qual deseja incorporar uma política.

  4. Escolha a guia Permissions (Permissões), Add permissions (Adicionar permissões) e Create inline policy (Criar política em linha).

  5. Execute um destes procedimentos:

  6. Quando estiver satisfeito com a política, escolha Create policy (Criar política).

Para alterar o limite de permissões para uma ou mais entidades (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política a ser definida. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Na página de resumo da política, escolha a guia Policy usage (Uso da política) e, se necessário, abra a seção Permissions boundaries (Limites de permissões). Marque a caixa de seleção ao lado dos usuários ou funções cujos limites você deseja alterar e, em seguida, escolha Change boundary (Alterar limite).

  5. Selecione uma nova política para usar para um limite de permissões. Você pode usar a caixa de pesquisa para filtrar a lista de políticas. Depois de selecionar a política, escolha Change boundary (Alterar limite).

Remover permissões de identidade do IAM (console)

Você pode usar o AWS Management Console para remover permissões de uma identidade (usuário, grupo de usuários ou função). Para isso, desanexe políticas gerenciadas que controlem permissões ou remova uma política que sirva como um limite de permissões. Você também pode excluir uma política em linha.

Para desanexar uma política gerenciada usada como uma política de permissões (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, selecione a caixa de seleção ao lado do nome da política a desanexar. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha Actions (Ações) e Detach (Desvincular).

  5. Selecione as identidades das quais deseja desanexar a política. Você pode usar a caixa de pesquisa para filtrar a lista de identidades. Depois de selecionar as identidades, escolha Desanexar política.

Para remover um limite de permissões (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política a ser definida. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Na página de resumo da política, escolha a guia Policy usage (Uso da política) e, se necessário, abra a seção Permissions boundaries (Limites de permissões) e escolha Remove boundary (Remover limite).

  5. Confirme se você deseja remover o limite e escolha Remove (Remover).

Para excluir uma política em linha (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha User groups (Grupos de usários), Users (Usuários) ou Roles (Funções).

  3. Na lista, selecione o nome do grupo de usuários, usuário ou função que tem a política que você deseja remover.

  4. Escolha a guia Permissões.

  5. Se estiver em User groups (Grupos de usuários), marque a caixa de seleção ao lado da política e escolha Remove (Remover). Se estiver em Usuários ou em Funções, escolha X.

Adição de políticas do IAM (AWS CLI)

Você pode usar a AWS CLI para adicionar permissões a uma identidade (usuário, grupo de usuários ou função). Para isso, anexe políticas gerenciadas que controlem permissões ou especifique uma política que sirva como um limite de permissões. Você também pode incorporar uma política em linha.

Para usar uma política gerenciada como uma política de permissões para uma entidade (AWS CLI)

  1. (Opcional) Para visualizar as informações sobre uma política gerenciada, execute os comandos a seguir:

  2. Para anexar uma política gerenciada a uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos:

Para usar uma política gerenciada para definir um limite de permissões (AWS CLI)

  1. (Opcional) Para visualizar as informações sobre uma política gerenciada, execute os comandos a seguir:

  2. Para usar uma política gerenciada a fim de definir o limite de permissões para uma entidade (usuário ou função), use um dos seguintes comandos:

Para incorporar uma política em linha (AWS CLI)

Para incorporar uma política em linha a uma identidade (usuário, grupo de usuários ou função que não seja uma função vinculada ao serviço), use um dos seguintes comandos:

Remoção de políticas do IAM (AWS CLI)

Você pode usar a AWS CLI para desanexar políticas gerenciadas que controlem permissões ou remova uma política que serve como um limite de permissões. Você também pode excluir uma política em linha.

Para desanexar uma política gerenciada usada como uma política de permissões (AWS CLI)

  1. (Opcional) Para visualizar as informações sobre uma política, execute os comandos a seguir:

  2. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, execute os seguintes comandos:

  3. Para desvincular uma política gerenciada de uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos:

Para remover um limite de permissões (AWS CLI)

  1. (Opcional) Para visualizar qual política gerenciada é usada atualmente para definir o limite de permissões para um usuário ou função, execute os seguintes comandos:

  2. (Opcional) Para visualizar os usuários ou funções nos quais uma política gerenciada é usada para um limite de permissões, execute o seguinte comando:

  3. (Opcional) Para visualizar as informações sobre uma política gerenciada, execute os comandos a seguir:

  4. Para remover um limite de permissões de um usuário ou função, use um dos seguintes comandos:

Para excluir uma política em linha (AWS CLI)

  1. (Opcional) Para listar todas as políticas em linha anexadas a uma identidade (usuário, grupo de usuários, função), use um dos seguintes comandos:

  2. (Opcional) Para recuperar um documento de política em linha incorporado em uma identidade (usuário, grupo de usuários ou função), use um dos seguintes comandos:

  3. Para excluir uma política em linha de uma identidade (usuário, grupo de usuários ou função que não seja uma função vinculada ao serviço), use um dos seguintes comandos:

Adição de políticas do IAM (API da AWS)

Você pode usar a API da AWS para anexar políticas gerenciadas que controlem permissões ou especifique uma política que sirva como um limite de permissões. Você também pode incorporar uma política em linha.

Para usar uma política gerenciada como uma política de permissões para uma entidade (API da AWS)

  1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir:

    • Para listar políticas gerenciadas: ListPolicies

    • Para recuperar informações detalhadas sobre uma política gerenciada: GetPolicy

  2. Para anexar uma política gerenciada a uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:

Para usar uma política gerenciada para definir um limite de permissões (API da AWS)

  1. (Opcional) Para visualizar as informações sobre uma política gerenciada, chame as operações a seguir:

    • Para listar políticas gerenciadas: ListPolicies

    • Para recuperar informações detalhadas sobre uma política gerenciada: GetPolicy

  2. Para usar uma política gerenciada a fim de definir o limite de permissões para uma entidade (usuário ou função), chame uma das seguintes operações:

Para incorporar uma política em linha (API da AWS)

Para incorporar uma política em linha a uma identidade (usuário, grupo de usuários ou função que não seja uma função vinculada ao serviço), chame uma das seguintes operações:

Remoção de políticas do IAM (API da AWS)

Você pode usar a API do AWS para desanexar políticas gerenciadas que controlem permissões ou remova uma política que serve como um limite de permissões. Você também pode excluir uma política em linha.

Para desanexar uma política gerenciada usada como uma política de permissões (API da AWS)

  1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir:

    • Para listar políticas gerenciadas: ListPolicies

    • Para recuperar informações detalhadas sobre uma política gerenciada: GetPolicy

  2. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, chame as seguintes operações:

  3. Para desvincular uma política gerenciada de uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:

Para remover um limite de permissões (API da AWS)

  1. (Opcional) Para visualizar qual política gerenciada é usada atualmente para definir o limite de permissões para um usuário ou função, chame as seguintes operações:

  2. (Opcional) Para visualizar os usuários ou funções nos quais uma política gerenciada é usada para um limite de permissões, chame a seguinte operação:

  3. (Opcional) Para visualizar as informações sobre uma política gerenciada, chame as operações a seguir:

    • Para listar políticas gerenciadas: ListPolicies

    • Para recuperar informações detalhadas sobre uma política gerenciada: GetPolicy

  4. Para remover um limite de permissões de um usuário ou função, chame uma das seguintes operações:

Para excluir uma política em linha (API da AWS)

  1. (Opcional) Para listar todas as políticas em linha anexadas a uma identidade (usuário, grupo de usuários, função), chame uma das seguintes operações:

  2. (Opcional) Para recuperar um documento de política em linha incorporado em uma identidade (usuário, grupo de usuários ou função), chame uma das seguintes operações:

  3. Para excluir uma política em linha de uma identidade (usuário, grupo de usuários ou função que não seja uma função vinculada ao serviço), chame uma das seguintes operações: