Configurações no IAM - AWS Identity and Access Management

Configurações no IAM

Importante

As práticas recomendadas do IAM aconselham exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias em vez de usuários do IAM com credenciais de longo prazo.

O AWS Identity and Access Management (IAM) ajuda você a controlar com segurança o acesso à Amazon Web Services (AWS) e aos recursos de sua conta. O IAM também pode manter privadas as credenciais de login. Você não precisa se cadastrar especificamente para usar o IAM. Não há custo pelo uso do IAM.

Use o IAM para fornecer identidades, como usuários e perfis, e acesso a recursos de sua conta. Por exemplo, você pode usar o IAM com usuários existentes no diretório corporativo que você gerencia externamente para a AWS ou criar usuários na AWS usando o AWS IAM Identity Center. As identidades federadas assumem perfis do IAM definidos para acessar os recursos necessários. Para obter mais informações sobre o IAM Identity Center, consulte What is IAM Identity Center? (O que é o IAM Identity Center?) no Guia do usuário do AWS IAM Identity Center.

nota

O IAM é integrado a vários produtos da AWS. Para obter uma lista de serviços compatíveis com o IAM, consulte Serviços da AWS que funcionam com o IAM.

Cadastre-se em uma Conta da AWS

Se você ainda não tem Conta da AWS, siga as etapas a seguir para criar uma.

Para se cadastrar em uma Conta da AWS
  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções on-line.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica e digitar um código de verificação no teclado do telefone.

    Quando você se cadastra em uma Conta da AWS, um Usuário raiz da conta da AWS é criado. O usuário raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como uma prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que requerem o acesso de usuário-raiz.

A AWS envia um e-mail de confirmação depois que o processo de cadastramento é concluído. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando Minha conta.

Criar um usuário com acesso administrativo

Depois de se cadastrar em uma Conta da AWS, proteja seu Usuário raiz da conta da AWS, habilite o AWS IAM Identity Center e crie um usuário administrativo para não usar o usuário raiz em tarefas cotidianas.

Proteger seu Usuário raiz da conta da AWS
  1. Faça login no AWS Management Console como o proprietário da conta ao escolher a opção Usuário raiz e inserir o endereço de e-mail da Conta da AWS. Na próxima página, digite sua senha.

    Para obter ajuda ao fazer login usando o usuário raiz, consulte Fazer login como usuário raiz no Guia do usuário do Início de Sessão da AWS.

  2. Ative a autenticação multifator (MFA) para o usuário raiz.c

    Para obter instruções, consulte Habilitar um dispositivo MFA virtual para o usuário raiz de sua conta da Conta da AWS para seu (console) no Guia do usuário do IAM.

Criar um usuário com acesso administrativo
  1. Habilitar o IAM Identity Center.

    Para obter instruções, consulte Habilitar AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center.

  2. No Centro de Identidade do IAM, conceda o acesso administrativo para um usuário.

    Para obter um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso dos usuários com o Diretório do Centro de Identidade do IAM padrão no Guia do usuário do AWS IAM Identity Center.

Iniciar sessão como o usuário com acesso administrativo
  • Para fazer login com seu usuário do Centro de Identidade do IAM, use a URL de login que foi enviada ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

    Para obter ajuda com o login utilizando um usuário do Centro de Identidade do IAM, consulte Fazer login no portal de acesso da AWS, no Guia do usuário do Início de Sessão da AWS.

Atribuir acesso para usuários adicionais
  1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.

    Para obter instruções, consulte Criar um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.

  2. Atribua usuários para um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.

    Para obter instruções, consulte Adicionar grupos no Guia do usuário do AWS IAM Identity Center.

Preparar para permissões de privilégio mínimo

Usar permissões com privilégio mínimo é uma indicação de prática recomendada do IAM. O conceito de permissões de privilégio mínimo é conceder aos usuários somente as permissões necessárias para realizar uma tarefa. Ao configurar, considere como você oferecerá suporte às permissões de privilégio mínimo. Tanto o usuário raiz quanto o usuário administrador têm permissões avançadas que não são necessárias para as tarefas diárias. Enquanto você está aprendendo sobre a AWS e testando diferentes serviços, recomendamos criar pelo menos um usuário adicional no Centro de Identidade do IAM com permissões menores, que possa ser usado em diferentes cenários. É possível usar as políticas do IAM para definir as ações que podem ser executadas em recursos específicos sob condições específicas e se conectar a esses recursos com sua conta de privilégio menor.

Se você estiver usando o Centro de Identidade do IAM, considere usar conjuntos de permissões dele para começar. Para saber mais, consulte Criar um conjunto de permissões no Guia do usuário do Centro de Identidade do IAM.

Caso não esteja usando o Centro de Identidade do IAM, use perfis do IAM para definir as permissões para diferentes entidades do IAM. Para saber mais, consulte Criação de funções do IAM.

Tanto os perfis do IAM como os conjuntos de permissões do Centro de Identidade do IAM podem usar políticas gerenciadas pela AWS com base em funções de trabalho. Para obter detalhes sobre as permissões concedidas por essas políticas, consulte Políticas gerenciadas pela AWS para funções de trabalho.

Importante

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso por todos os clientes da AWS. Depois de configurar, recomendamos usar o IAM Access Analyzer para gerar políticas de privilégio mínimo com base na atividade de acesso que está registrada no AWS CloudTrail. Para obter mais informações sobre a geração de políticas, consulte Geração de políticas do IAM Access Analyzer.