Configurações no IAM - AWS Identity and Access Management

Configurações no IAM

Importante

As práticas recomendadas do IAM aconselham exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias em vez de usuários do IAM com credenciais de longo prazo.

O AWS Identity and Access Management (IAM) ajuda você a controlar com segurança o acesso à Amazon Web Services (AWS) e aos recursos de sua conta. O IAM também pode manter privadas as credenciais de login. Você não precisa se cadastrar especificamente para usar o IAM. Não há custo pelo uso do IAM.

Use o IAM para fornecer identidades, como usuários e perfis, e acesso a recursos de sua conta. Por exemplo, você pode usar o IAM com usuários existentes no diretório corporativo que você gerencia externamente para a AWS ou criar usuários na AWS usando o AWS IAM Identity Center. As identidades federadas assumem perfis do IAM definidos para acessar os recursos necessários. Para obter mais informações sobre o IAM Identity Center, consulte What is IAM Identity Center? (O que é o IAM Identity Center?) no Guia do usuário do AWS IAM Identity Center.

nota

O IAM é integrado a vários produtos da AWS. Para obter uma lista de serviços compatíveis com o IAM, consulte Serviços da AWS que funcionam com o IAM.

Cadastrar-se em uma Conta da AWS

Se você ainda não tem uma Conta da AWS, siga as etapas a seguir para criar uma.

Como cadastrar-se para uma Conta da AWS
  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções on-line.

    Parte do procedimento de cadastramento envolve o recebimento de uma chamada telefônica e a inserção de um código de verificação no teclado do telefone.

    Quando você se cadastra para uma Conta da AWS, um Usuário raiz da conta da AWS é criado. O usuário raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua acesso administrativo a um usuário administrativo e utilize somente o usuário raiz para executar as tarefas que exigem acesso do usuário raiz.

A AWS envia um e-mail de confirmação depois que o processo de cadastramento é concluído. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando Minha conta.

Criar um usuário administrativo

Depois de se inscrever em uma Conta da AWS, proteja seu Usuário raiz da conta da AWS, habilite o AWS IAM Identity Center e crie um usuário administrativo para não usar o usuário raiz em tarefas cotidianas.

Proteção da Usuário raiz da conta da AWS
  1. Faça login no AWS Management Console como o proprietário da conta ao escolher a opção Usuário raiz e inserir o endereço de e-mail da Conta da AWS. Na próxima página, insira a senha.

    Para obter ajuda ao fazer login usando o usuário raiz, consulte Fazer login como usuário raiz no Guia do usuário do Início de Sessão da AWS.

  2. Ative a autenticação multifator (MFA) para o usuário raiz.c

    Para obter instruções, consulte Ativar um dispositivo MFA virtual para o usuário raiz da Conta da AWS (console) no Guia do usuário do IAM.

Criar um usuário administrativo
  1. Habilitar o IAM Identity Center.

    Para obter instruções, consulte Enabling AWS IAM Identity Center no Manual do Usuário do AWS IAM Identity Center.

  2. No Centro de Identidade do IAM, conceda acesso administrativo a um usuário administrativo.

    Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configure user access with the default Diretório do Centro de Identidade do IAM no Manual do Usuário do AWS IAM Identity Center.

Login como usuário administrativo
  • Para fazer login com o usuário do Centro de Identidade do IAM, utilize o URL de login enviado ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

    Para obter ajuda com o login utilizando um usuário do Centro de Identidade do IAM, consulte Fazer login no portal de acesso da AWS, no Guia do usuário do Início de Sessão da AWS.

Preparar para permissões de privilégio mínimo

Usar permissões com privilégio mínimo é uma indicação de prática recomendada do IAM. O conceito de permissões de privilégio mínimo é conceder aos usuários somente as permissões necessárias para realizar uma tarefa. Ao configurar, considere como você oferecerá suporte às permissões de privilégio mínimo. Tanto o usuário raiz quanto o usuário administrador têm permissões avançadas que não são necessárias para as tarefas diárias. Enquanto você está aprendendo sobre a AWS e testando diferentes serviços, recomendamos criar pelo menos um usuário adicional no Centro de Identidade do IAM com permissões menores, que possa ser usado em diferentes cenários. É possível usar as políticas do IAM para definir as ações que podem ser executadas em recursos específicos sob condições específicas e se conectar a esses recursos com sua conta de privilégio menor.

Se você estiver usando o Centro de Identidade do IAM, considere usar conjuntos de permissões dele para começar. Para saber mais, consulte Criar um conjunto de permissões no Guia do usuário do Centro de Identidade do IAM.

Caso não esteja usando o Centro de Identidade do IAM, use perfis do IAM para definir as permissões para diferentes entidades do IAM. Para saber mais, consulte Criação de funções do IAM.

Tanto os perfis do IAM como os conjuntos de permissões do Centro de Identidade do IAM podem usar políticas gerenciadas pela AWS com base em funções de trabalho. Para obter detalhes sobre as permissões concedidas por essas políticas, consulte Políticas gerenciadas pela AWS para funções de trabalho.

Importante

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso por todos os clientes da AWS. Depois de configurar, recomendamos usar o IAM Access Analyzer para gerar políticas de privilégio mínimo com base na atividade de acesso que está registrada no AWS CloudTrail. Para obter mais informações sobre a geração de políticas, consulte Geração de políticas do IAM Access Analyzer.