Edição de políticas do IAM - AWS Identity and Access Management

Edição de políticas do IAM

Uma política é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. As políticas são armazenadas na AWS como documentos JSON e são anexadas a entidades principais como políticas baseadas em identidade no IAM. Você pode anexar uma política baseada em identidade a uma entidade de segurança (ou identidade), como um grupo de usuários, usuário ou função do IAM. As políticas baseadas em identidade incluem as políticas gerenciadas pela AWS, as políticas gerenciadas pelo cliente e as políticas em linha. Você pode editar as políticas gerenciadas pelo cliente e as políticas em linha no IAM. As políticas gerenciadas pela AWS não podem ser editadas. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte IAM e cotas do AWS STS.

Visualizar acesso à política

Antes de alterar as permissões de uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando as informações do último acesso.

Edição de políticas gerenciadas pelo cliente (console)

Você pode editar políticas gerenciadas pelo cliente para alterar as permissões definidas na política. Uma política gerenciada pelo cliente pode ter até cinco versões. Isso é importante, pois se você precisar fazer alterações em uma política gerenciada criando mais de cinco versões, o AWS Management Console solicitará que você decida qual versão excluir. Você também pode alterar a versão padrão ou excluir uma versão da política antes de editá-la para evitar ser solicitado. Para saber mais sobre versões, consulte Versionamento de políticas do IAM.

Para editar uma política gerenciada pelo cliente (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política a editar. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha a guia Permissões e depois escolha Editar.

  5. Faça um dos seguintes procedimentos:

    • Escolha a opção Visual para alterar a política sem necessidade de compreender a sintaxe JSON. Você pode fazer alterações nos serviços, ações, recursos ou condições opcionais para cada bloco de permissões na política. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Quando terminar de fazer alterações, escolha Avançar para continuar.

    • Escolha a opção JSON para modificar a política digitando ou colando texto na caixa de texto JSON. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Next (Avançar).

      nota

      Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  6. Na página Revisar e salvar, revise Permissões definidas nessa política e escolha Salvar alterações para salvar seu trabalho.

  7. Se a política gerenciada já tiver o máximo de cinco versões e você escolher Salvar alterações, uma caixa de diálogo será exibida. Para salvar a nova versão, a versão não padrão mais antiga da política será removida e substituída por essa nova versão. Opcionalmente, você pode definir a nova versão como a versão padrão da política.

    Escolha Salvar alterações para salvar a nova versão da política.

Para definir a versão padrão de uma política gerenciada pelo cliente (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política para a qual deseja definir a versão padrão. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha a guia Versões da política. Marque a caixa de seleção ao lado da versão que você deseja definir como a versão padrão e, em seguida, selecione Definir como padrão.

Para excluir uma versão de uma política gerenciada pelo cliente (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Selecione o nome da política gerenciada pelo cliente que possui uma versão que você deseja excluir. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha a guia Versões da política. Marque a caixa de seleção ao lado da versão que você deseja excluir. Em seguida, selecione Excluir.

  5. Confirme que você deseja excluir a versão e, em seguida, selecione Excluir.

Edição de políticas em linha (console)

Você pode editar uma política em linha no AWS Management Console.

Para editar uma política em linha para um grupo, grupo de usuários ou função (console)
  1. No painel de navegação, escolha User (Usuários), User groups (Grupos de usuários) ou Roles (Funções).

  2. Selecione o nome do usuário, grupo de usuários ou da função com a política que você deseja modificar. Em seguida, selecione a guia Permissões e expanda a política.

  3. Para editar uma política em linha, escolha Editar política.

  4. Faça um dos seguintes procedimentos:

    • Escolha a opção Visual para alterar a política sem necessidade de compreender a sintaxe JSON. Você pode fazer alterações nos serviços, ações, recursos ou condições opcionais para cada bloco de permissões na política. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Quando terminar de fazer alterações, escolha Avançar para continuar.

    • Escolha a opção JSON para modificar a política digitando ou colando texto na caixa de texto JSON. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Next (Avançar). Para salvar as alterações sem afetar as entidades atualmente anexadas, desmarque a caixa de seleção para Salvar como versão padrão.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  5. Na página Revisar, revise o resumo da política e depois escolha Salvar alterações para salvar seu trabalho.

Edição de políticas gerenciadas pelo cliente (AWS CLI)

Você pode editar uma política gerenciada pelo cliente na AWS Command Line Interface (AWS CLI).

nota

Uma política gerenciada pode ter até cinco versões. Se precisar fazer alterações na política gerenciada de um cliente além das cinco versões, primeiro você deve excluir uma ou mais versões existentes.

Para editar uma política gerenciada pelo cliente (AWS CLI)
  1. (Opcional) Para visualizar as informações sobre uma política, execute os comandos a seguir:

    • Para listar políticas gerenciadas: list-policies

    • Para recuperar informações detalhadas sobre uma política gerenciada: get-policy

  2. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, execute os seguintes comandos:

  3. Para editar uma política gerenciada pelo cliente, execute o seguinte comando:

  4. (Opcional) Para validar uma política gerenciada pelo cliente, execute o seguinte comando do IAM Access Analyzer:

Para definir a versão padrão de uma política gerenciada pelo cliente (AWS CLI)
  1. (Opcional) Para listar políticas gerenciadas, execute o seguinte comando:

  2. Para definir a versão padrão de uma política gerenciada pelo cliente, execute o seguinte comando:

Para excluir uma versão de uma política gerenciada pelo cliente (AWS CLI)
  1. (Opcional) Para listar políticas gerenciadas, execute o seguinte comando:

  2. Para excluir uma política gerenciada pelo cliente, execute o seguinte comando:

Edição de políticas gerenciadas pelo cliente (API da AWS)

Você pode editar uma política gerenciada pelo cliente usando a API da AWS.

nota

Uma política gerenciada pode ter até cinco versões. Se precisar fazer alterações na política gerenciada de um cliente além das cinco versões, primeiro você deve excluir uma ou mais versões existentes.

Para editar uma política gerenciada pelo cliente (API da AWS)
  1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir:

    • Para listar políticas gerenciadas: ListPolicies

    • Para recuperar informações detalhadas sobre uma política gerenciada: GetPolicy

  2. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, chame as seguintes operações:

  3. Para editar uma política gerenciada pelo cliente, chame a seguinte operação:

  4. (Opcional) Para validar uma política gerenciada pelo cliente, chame a seguinte operação do IAM Access Analyzer:

Para definir a versão padrão de uma política gerenciada pelo cliente (API da AWS)
  1. (Opcional) Para listar políticas gerenciadas, chame a seguinte operação:

  2. Para definir a versão padrão de uma política gerenciada pelo cliente, chame a seguinte operação:

Para excluir uma versão de uma política gerenciada pelo cliente (API da AWS)
  1. (Opcional) Para listar políticas gerenciadas, chame a seguinte operação:

  2. Para excluir uma política gerenciada pelo cliente, chame a seguinte operação: