Edição de políticas do IAM - AWS Identity and Access Management

Edição de políticas do IAM

Uma política é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. As políticas são armazenadas na AWS como documentos JSON e são anexadas a entidades de segurança como políticas baseadas em identidade no IAM. Você pode anexar uma política baseada em identidade a uma entidade de segurança (ou identidade), como um grupo de usuários, usuário ou função do IAM. As políticas baseadas em identidade incluem as políticas gerenciadas pela AWS, as políticas gerenciadas pelo cliente e as políticas em linha. Você pode editar as políticas gerenciadas pelo cliente e as políticas em linha no IAM. As políticas gerenciadas pela AWS não podem ser editadas. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte IAM e cotas do AWS STS.

Exibir acesso da política

Antes de alterar as permissões de uma política, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando as informações do último acesso.

Edição de políticas gerenciadas pelo cliente (console)

Você pode editar políticas gerenciadas pelo cliente para alterar as permissões definidas na política. Uma política gerenciada pelo cliente pode ter até cinco versões. Isso é importante, pois se você precisar fazer alterações em uma política gerenciada criando mais de cinco versões, o AWS Management Console solicitará que você decida qual versão excluir. Você também pode alterar a versão padrão ou excluir uma versão da política antes de editá-la para evitar ser solicitado. Para saber mais sobre versões, consulte Versionamento de políticas do IAM.

Para editar uma política gerenciada pelo cliente (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política a editar. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha a guia Permissões e, em seguida, escolha Editar política.

  5. Execute um destes procedimentos:

    • Escolha a guia Editor visual para alterar sua política, sem a necessidade de compreender a sintaxe JSON. Você pode fazer alterações nos serviços, ações, recursos ou condições opcionais para cada bloco de permissões na política. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Assim que você terminar de fazer alterações, escolha Revisar política para continuar.

    • Escolha a guia JSON para modificar a política digitando ou colando texto na caixa de texto JSON. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação da política e, em seguida, escolha Review policy (Revisar política).

      nota

      Você pode alternar entre as guias Editor visual e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher a opção Review policy (Revisar política) na guia Visual editor (Editor visual), o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  6. Na página Revisão, revise o Resumo da política e, em seguida, selecione Salvar alterações para salvar seu trabalho.

  7. Se a política gerenciada já tiver o máximo de cinco versões e você escolher Salvar, uma caixa de diálogo será exibida. Para salvar sua nova versão, você deve remover pelo menos uma versão anterior. Você não pode excluir a versão padrão. Escolha entre as seguintes opções:

    • Remove oldest non-default policy version (version v# - created # days ago) (Remover versão mais antiga da política não padrão (versão vN.º. – criada N.º dias atrás)): use esta opção para ver qual versão será excluída e quando ela foi criada. Você pode visualizar o documento de política JSON para todas as versões não padrão ao escolher a segunda opção, Selecionar versões para remover.

    • Select versions to remove (Selecionar versões para remover): use esta opção para visualizar o documento de política JSON e escolher uma ou mais versões para excluir.

    Depois de escolher as versões para remover, selecione Excluir versão e salvar para salvar a nova versão de sua política.

Para definir a versão padrão de uma política gerenciada pelo cliente (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política para a qual deseja definir a versão padrão. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha a guia Versões da política. Marque a caixa de seleção ao lado da versão que você deseja definir como a versão padrão e, em seguida, selecione Definir como padrão.

Para excluir uma versão de uma política gerenciada pelo cliente (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas).

  3. Selecione o nome da política gerenciada pelo cliente que possui uma versão que você deseja excluir. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha a guia Versões da política. Marque a caixa de seleção ao lado da versão que você deseja excluir. Em seguida, selecione Excluir.

  5. Confirme que você deseja excluir a versão e, em seguida, selecione Excluir.

Edição de políticas em linha (console)

Você pode editar uma política em linha no AWS Management Console.

Para editar uma política em linha para um grupo, grupo de usuários ou função (console)

  1. No painel de navegação, escolha User (Usuários), User groups (Grupos de usuários) ou Roles (Funções).

  2. Selecione o nome do usuário, grupo de usuários ou da função com a política que você deseja modificar. Em seguida, selecione a guia Permissões e expanda a política.

  3. Para editar uma política em linha, escolha Editar política.

  4. Execute um destes procedimentos:

    • Escolha a guia Editor visual para alterar sua política, sem a necessidade de compreender a sintaxe JSON. Você pode fazer alterações nos serviços, ações, recursos ou condições opcionais para cada bloco de permissões na política. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Assim que você terminar de fazer alterações, escolha Revisar política para continuar.

    • Escolha a guia JSON para modificar a política digitando ou colando texto na caixa de texto JSON. Também é possível importar uma política e acrescentar permissões adicionais no final da sua política. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, escolha Review policy (Revisar política). Para salvar as alterações sem afetar as entidades atualmente anexadas, desmarque a caixa de seleção Save as default version (Salvar como versão padrão).

    nota

    Você pode alternar entre as guias Editor visual e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher a opção Review policy (Revisar política) na guia Visual editor (Editor visual), o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  5. Na página Revisão, revise o Resumo da política e, em seguida, selecione Salvar alterações para salvar seu trabalho.

Edição de políticas gerenciadas pelo cliente (AWS CLI)

Você pode editar uma política gerenciada pelo cliente na AWS Command Line Interface (AWS CLI).

nota

Uma política gerenciada pode ter até cinco versões. Se precisar fazer alterações na política gerenciada de um cliente além das cinco versões, primeiro você deve excluir uma ou mais versões existentes.

Para editar uma política gerenciada pelo cliente (AWS CLI)

  1. (Opcional) Para visualizar as informações sobre uma política, execute os comandos a seguir:

    • Para listar políticas gerenciadas: list-policies

    • Para recuperar informações detalhadas sobre uma política gerenciada: get-policy

  2. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, execute os seguintes comandos:

  3. Para editar uma política gerenciada pelo cliente, execute o seguinte comando:

  4. (Opcional) Para validar uma política gerenciada pelo cliente, execute o seguinte comando do IAM Access Analyzer:

Para definir a versão padrão de uma política gerenciada pelo cliente (AWS CLI)

  1. (Opcional) Para listar políticas gerenciadas, execute o seguinte comando:

  2. Para definir a versão padrão de uma política gerenciada pelo cliente, execute o seguinte comando:

Para excluir uma versão de uma política gerenciada pelo cliente (AWS CLI)

  1. (Opcional) Para listar políticas gerenciadas, execute o seguinte comando:

  2. Para excluir uma política gerenciada pelo cliente, execute o seguinte comando:

Edição de políticas gerenciadas pelo cliente (API da AWS)

Você pode editar uma política gerenciada pelo cliente usando a API da AWS.

nota

Uma política gerenciada pode ter até cinco versões. Se precisar fazer alterações na política gerenciada de um cliente além das cinco versões, primeiro você deve excluir uma ou mais versões existentes.

Para editar uma política gerenciada pelo cliente (API da AWS)

  1. (Opcional) Para visualizar as informações sobre uma política, chame as operações a seguir:

    • Para listar políticas gerenciadas: ListPolicies

    • Para recuperar informações detalhadas sobre uma política gerenciada: GetPolicy

  2. (Opcional) Para saber mais sobre as relações entre as políticas e as identidades, chame as seguintes operações:

  3. Para editar uma política gerenciada pelo cliente, chame a seguinte operação:

  4. (Opcional) Para validar uma política gerenciada pelo cliente, chame a seguinte operação do IAM Access Analyzer:

Para definir a versão padrão de uma política gerenciada pelo cliente (API da AWS)

  1. (Opcional) Para listar políticas gerenciadas, chame a seguinte operação:

  2. Para definir a versão padrão de uma política gerenciada pelo cliente, chame a seguinte operação:

Para excluir uma versão de uma política gerenciada pelo cliente (API da AWS)

  1. (Opcional) Para listar políticas gerenciadas, chame a seguinte operação:

  2. Para excluir uma política gerenciada pelo cliente, chame a seguinte operação: