Configurações no IAM - AWS Identity and Access Management

Configurações no IAM

Importante

As práticas recomendadas do IAM aconselham exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias em vez de usuários do IAM com credenciais de longo prazo.

O AWS Identity and Access Management (IAM) ajuda você a controlar com segurança o acesso à Amazon Web Services (AWS) e aos recursos de sua conta. O IAM também pode manter privadas as credenciais de login. Você não precisa se cadastrar especificamente para usar o IAM. Não há custo pelo uso do IAM.

Use o IAM para fornecer identidades, como usuários e perfis, e acesso a recursos de sua conta. Por exemplo, você pode usar o IAM com usuários existentes no diretório corporativo que você gerencia externamente para a AWS ou criar usuários na AWS usando o AWS IAM Identity Center. As identidades federadas assumem perfis do IAM definidos para acessar os recursos necessários. Para obter mais informações sobre o IAM Identity Center, consulte What is IAM Identity Center? (O que é o IAM Identity Center?) no Guia do usuário do AWS IAM Identity Center.

Use o IAM para fornecer identidades, como usuários e perfis, e acesso a recursos de sua conta. Por exemplo, é possível usar o IAM com usuários atuais no diretório corporativo que você gerencia externamente para a AWS. As identidades federadas assumem perfis do IAM definidos para acessar os recursos necessários.

nota

O IAM é integrado a vários produtos da AWS. Para obter uma lista de serviços compatíveis com o IAM, consulte Serviços da AWS que funcionam com o IAM.

Cadastrar-se em uma Conta da AWS

Se você ainda não tem Conta da AWS, siga as etapas a seguir para criar um.

Para se cadastrar em uma Conta da AWS
  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.

    Quando você se cadastra em uma Conta da AWS, um Usuário raiz da conta da AWS é criado. O usuário raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua acesso administrativo a um usuário administrativo e use somente o usuário raiz para realizar as tarefas que exigem acesso do usuário raiz.

A AWS envia um e-mail de confirmação depois que o processo de cadastramento é concluído. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando My Account (Minha conta).

Criar um usuário administrador

Depois de se inscrever em uma Conta da AWS, crie um usuário administrativo para não usar o usuário raiz em tarefas cotidianas.

Proteger seu Usuário raiz da conta da AWS
  1. Faça login no AWS Management Console como o proprietário da conta ao escolher a opção Root user (Usuário raiz) e inserir o endereço de e-mail da Conta da AWS. Na próxima página, insira sua senha.

    Para obter ajuda ao fazer login usando o usuário raiz, consulte Signing in as the root user (Fazer login como usuário raiz) no Guia do usuário do Início de Sessão da AWS.

  2. Habilite a autenticação multifator (MFA) para o usuário raiz.

    Para obter instruções, consulte Habilitar um dispositivo MFA virtual para o usuário raiz de sua conta da Conta da AWS (console) no Guia do usuário do IAM.

Criar um usuário administrador
  • Para suas tarefas administrativas diárias, conceda acesso administrativo a um usuário administrativo no AWS IAM Identity Center.

    Para obter instruções, consulte Getting started (Introdução) no Manual do usuário do AWS IAM Identity Center.

Fazer login como usuário administrador
  • Para fazer login com seu usuário do Centro de Identidade do IAM, use o URL de login que foi enviado ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

    Para obter ajuda com o login utilizando um usuário do Centro de Identidade do IAM, consulte Fazer login no portal de acesso da AWS, no Guia do usuário do Início de Sessão da AWS.

Preparar para permissões de privilégio mínimo

Usar permissões com privilégio mínimo é uma indicação de prática recomendada do IAM. O conceito de permissões de privilégio mínimo é conceder aos usuários somente as permissões necessárias para realizar uma tarefa. Ao configurar, considere como você oferecerá suporte às permissões de privilégio mínimo. Tanto o usuário raiz quanto o usuário administrador têm permissões avançadas que não são necessárias para as tarefas diárias. Enquanto você está aprendendo sobre a AWS e testando diferentes serviços, recomendamos criar pelo menos um usuário adicional no Centro de Identidade do IAM com permissões menores, que possa ser usado em diferentes cenários. É possível usar as políticas do IAM para definir as ações que podem ser executadas em recursos específicos sob condições específicas e se conectar a esses recursos com sua conta de privilégio menor.

Se você estiver usando o Centro de Identidade do IAM, considere usar conjuntos de permissões dele para começar. Para saber mais, consulte Criar um conjunto de permissões no Guia do usuário do Centro de Identidade do IAM.

Caso não esteja usando o Centro de Identidade do IAM, use perfis do IAM para definir as permissões para diferentes entidades do IAM. Para saber mais, consulte Criação de funções do IAM.

Tanto os perfis do IAM como os conjuntos de permissões do Centro de Identidade do IAM podem usar políticas gerenciadas pela AWS com base em funções de trabalho. Para obter detalhes sobre as permissões concedidas por essas políticas, consulte Políticas gerenciadas pela AWS para funções de trabalho.

Importante

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso por todos os clientes da AWS. Depois de configurar, recomendamos usar o IAM Access Analyzer para gerar políticas de privilégio mínimo com base na atividade de acesso que está registrada no AWS CloudTrail. Para obter mais informações sobre a geração de políticas, consulte Geração de políticas do IAM Access Analyzer.