Criar o primeiro usuário administrador e grupo de usuários do IAM - AWS Identity and Access Management

Criar o primeiro usuário administrador e grupo de usuários do IAM

Importante

Se você encontrou esta página porque está procurando informações sobre a API Product Advertising para vender produtos da Amazon em seu site, consulte a Documentação da API Product Advertising 5.0.

Como melhores práticas, não utilize o Usuário raiz da Conta da AWS para nenhuma tarefa para a qual ele não seja necessário. Em vez disso, crie um novo usuário do IAM para cada pessoa que precise de acesso de administrador. Em seguida, torne esses usuários administradores colocando-os em um grupo de usuários "Administradores" ao qual você anexe a política gerenciada AdministratorAccess.

Portanto, os membros do grupo de usuários administradores devem configurar os grupos, os usuários etc. para a conta da AWS. Todas as futuras interações devem ser realizadas por meio dos usuários da conta da AWS e suas próprias chaves em vez do usuário raiz. No entanto, para executar algumas tarefas de gerenciamento de contas e serviços, você deve fazer login usando as credenciais de usuário raiz. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulte Tarefa da AWS que requerem o usuário raiz da conta.

Criar um usuário administrador e um grupo de usuários do IAM (console)

Este procedimento descreve como usar o AWS Management Console para criar um usuário do IAM para você e adicionar esse usuário a um grupo com permissões administrativas de uma política gerenciada anexada.

Para criar um usuário administrador para você mesmo e adicioná-lo a um grupo de usuários administradores (console)

  1. Faça login no console do IAM como proprietário da conta selecionando usuário raiz e inserindo o endereço de e-mail da sua Conta da AWS . Na próxima página, insira sua senha.

    nota

    Recomendamos que você siga as melhores práticas para utilizar o usuário do Administrator IAM abaixo e armazene as credenciais do usuário raiz com segurança. Faça login como o usuário raizapenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. Habilite o acesso aos dados de faturamento do usuário administrador do IAM a ser criado da seguinte forma:

    1. Na barra de navegação, escolha o nome da conta e My Account.

    2. Próximo de IAM User and Role Access to Billing Information (Acesso do usuário e da função do IAM a informações de faturamento), escolha Edit (Editar). Você deve estar conectado como a seção usuário raiz para que esta seção seja exibida na página da conta.

    3. Marque a caixa de seleção para Activate IAM Access (Ativar acesso ao IAM) e escolha Update (Atualizar).

    4. Na barra de navegação, escolha Services (Serviços) e IAM para retornar ao console do IAM.

  3. No painel de navegação, escolha Users (Usuários) e depois Add users (Adicionar usuários).

  4. Na página Detalhes faça o seguinte:

    1. Para User name (Nome do usuário), digite Administrator.

    2. Marque a caixa de seleção para Acesso do AWS Management Console, selecione Personalizar senha e digite a nova senha na caixa de texto.

    3. Por padrão, a AWS força o novo usuário a criar uma senha ao fazer login pela primeira vez. Se preferir, você pode desmarcar a caixa de seleção ao lado de O usuário deve criar uma senha no próximo login para permitir que o novo usuário redefina a senha depois de fazer login.

    4. Escolha Próximo: Permissões.

  5. Na página Permissões, faça o seguinte:

    1. Escolha Add user to group.

    2. Escolha Criar grupo.

    3. Na caixa de diálogo Criar grupo, em Nome do grupo, digite Administrators.

    4. Marque a caixa de seleção para a política AdministratorAccess.

    5. Escolha Create group (Criar grupo).

    6. Na página com a lista de grupos de usuários, marque a caixa de seleção para o novo grupo. Escolha Refresh (Atualizar) se não vir o novo grupo na lista.

    7. Escolha Next: Tags (Próximo: tags).

  6. (Opcional) Na página Tags, adicione metadados ao usuário associando tags como pares de chave/valor. Para obter mais informações, consulte Marcar recursos do IAM.

  7. Selecione Next: Review. Verifique as associações ao grupo de usuários a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

  8. (Opcional) Na página Concluído, é possível fazer download de um arquivo .csv com informações de login para o usuário ou enviar e-mail com instruções de login para o usuário.

Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuários acesso aos recursos de sua conta da AWS. Para saber mais sobre o uso de políticas que restringem as permissões do usuário a recursos específicos da AWS, consulte Gerenciamento de acesso a recursos da AWS e Exemplos de políticas baseadas em identidade do IAM. Para adicionar outros usuários ao grupo depois de criá-lo, consulte Incluir e remover usuários em um grupo de usuários do IAM.

Criar um usuário e um grupo de usuários do IAM (AWS CLI)

Se seguiu as etapas na seção anterior, você usou o AWS Management Console para configurar um grupo de usuários administradores, criando ao mesmo tempo o usuário do IAM na sua conta da AWS. Este procedimento mostra um modo alternativo de criar um grupo de usuários.

Visão geral: configuração de um grupo de usuários administradores

  1. Crie um grupo de usuários e atribua a ele um nome a ele (por exemplo, Admins). Para obter mais informações, consulte Criar um grupo de usuários (AWS CLI).

  2. Anexe uma política que conceda ao grupo de usuários permissões administrativas — acesso a todos os recursos e ações da AWS. Para obter mais informações, consulte Anexar uma política ao grupo de usuários (AWS CLI).

  3. Adicione pelo menos um usuário ao grupo. Para obter mais informações, consulte Criar um usuário do IAM na sua conta da AWS.

Criar um grupo de usuários (AWS CLI)

Esta seção mostra como criar um grupo de usuários no sistema do IAM.

Requisitos

Instale a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Instalar a AWS CLI no Guia do usuário do AWS Command Line Interface.

Para criar um grupo de usuários administradores (AWS CLI)

  1. Digite o comando aws iam create-group com o nome escolhido para o grupo de usuários. Você também pode incluir um caminho como parte do nome do grupo de usuários. Para obter mais informações sobre caminhos, consulte Nomes amigáveis e caminhos. O nome pode consistir em letras, dígitos e os seguintes caracteres: mais (+), igual (=), vírgula (,), ponto (.), arroba (@), relevo (_), e hífen (-). O nome não diferencia maiúsculas e minúsculas e pode ter no máximo 128 caracteres de tamanho.

    Neste exemplo, você cria um grupo de usuários chamado Admins.

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. Digite o comando aws iam list-groups para listar os grupos de usuários na sua conta da AWS e confirmar que o grupo foi criado.

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    A resposta inclui o nome de recurso da Amazon (ARN) para o seu novo grupo de usuários. O nome de recurso da Amazon (ARN) é um formato padrão que a AWS usa para identificar recursos. O número de 12 dígitos no nome de recurso da Amazon é o ID de sua conta da AWS. O nome simples atribuído ao grupo de usuários (Admins) aparece no final do ARN do grupo.

Anexar uma política ao grupo de usuários (AWS CLI)

Esta seção mostra como anexar uma política que permita a qualquer usuário do grupo executar qualquer ação em qualquer recurso na conta da AWS. Você pode fazer isso anexando a política gerenciada pela AWS denominada AdministratorAccess ao grupo de usuários Admins. Para obter mais informações sobre políticas de, consulte Gerenciamento de acesso a recursos da AWS.

Para adicionar uma política concedendo permissões totais de administrador (AWS CLI)

  1. Digite o comando aws iam attach-group-policy para anexar a política denominada AdministratorAccess ao seu grupo de usuários Admins. O comando usa o nome de recurso da Amazon (ARN) da política gerenciada pela AWS AdministratorAccess.

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    Se o comando for bem-sucedido, não haverá resposta.

  2. Digite o comando aws iam list-attached-group-policies para confirmar se a política foi anexada ao grupo de usuários Admins.

    aws iam list-attached-group-policies --group-name Admins

    A resposta lista os nomes das políticas anexadas ao grupo de usuários Admins. Uma resposta como a seguinte mostra que a política chamada AdministratorAccess foi anexada ao grupo de usuários Admins:

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

Você pode confirmar o conteúdo de uma política específica com o comando aws iam get-policy.

Importante

Após a configuração do grupo de usuários administradores, adicione pelo menos um usuário. Para obter mais informações sobre como adicionar usuários a um grupo, consulte Criar um usuário do IAM na sua conta da AWS.

Recursos relacionados

Para obter as informações relacionadas no Referência geral do Amazon Web Services, consulte os seguintes recursos:

Para obter informações relacionadas no Guia do usuário do IAM, consulte os seguintes recursos: