Criar o seu primeiro usuário administrador e um grupo de usuários do IAM - AWS Identity and Access Management

Criar o seu primeiro usuário administrador e um grupo de usuários do IAM

Importante

Se você encontrou esta página porque está procurando informações sobre a API Product Advertising para vender produtos da Amazon em seu site, consulte a Documentação da Product Advertising API 5.0.

Como prática recomendada, não utilize o usuário raiz da Conta da AWS para nenhuma tarefa para a qual ele não seja necessário. Em vez disso, crie um novo usuário do IAM para cada pessoa que precise de acesso de administrador. Em seguida, transforme esses usuários em administradores inserindo-os em um grupo de usuários “Administradores” no qual você anexa a política gerenciada AdministratorAccess.

Portanto, os usuários no grupo de usuários administradores devem configurar os grupos de usuários, os usuários etc., para a conta da AWS. Todas as futuras interações devem ser realizadas por meio dos usuários da conta da AWS e suas próprias chaves em vez do usuário raiz. No entanto, para executar algumas tarefas de gerenciamento de contas e serviços, você deve fazer login usando as credenciais de usuário raiz. Para visualizar as tarefas que requerem login como usuário raiz, consulte Tarefas da AWS que requerem o usuário raiz da conta.

Criar um usuário administrador e um grupo de usuários do IAM (console)

Este procedimento descreve como usar o AWS Management Console para criar um usuário do IAM para você e adicionar esse usuário a um grupo de usuários com permissões administrativas de uma política gerenciada anexada.

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de usuários administradores (console)

  1. Faça login no console do IAM como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.

    nota

    Recomendamos seguir as melhores práticas para utilizar o usuário do IAM Administrator a seguir e armazenar as credenciais do usuário raiz com segurança. Cadastre-se como o usuário raiz apenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. Habilite o acesso aos dados de faturamento do usuário administrador do IAM a ser criado da seguinte forma:

    1. Na barra de navegação, escolha o nome da conta e, depois, escolha My Account (Minha conta).

    2. Próximo de IAM User and Role Access to Billing Information (Acesso do usuário e da função do IAM a informações de faturamento), escolha Edit (Editar). Você deve estar conectado como usuário raiz para que esta seção seja exibida na página da conta.

    3. Marque a caixa de seleção Activate IAM Access (Ativar acesso ao IAM) e escolha Update (Atualizar).

    4. Na barra de navegação, escolha Services (Serviços) e IAM para retornar console do IAM.

  3. No painel de navegação, escolha Users (Usuários) e Add users (Adicionar usuários).

  4. Na página Detalhes faça o seguinte:

    1. Para User name, digite Administrator.

    2. Marque a caixa de seleção para Acesso do AWS Management Console, selecione Personalizar senha e digite a nova senha na caixa de texto.

    3. Por padrão, a AWS força o novo usuário a criar uma senha ao fazer login pela primeira vez. Se preferir, você pode desmarcar a caixa de seleção ao lado de O usuário deve criar uma senha no próximo login para permitir que o novo usuário redefina a senha depois de fazer login.

    4. Escolha Next: Permissions (Próximo: permissões).

  5. Na página Permissões, faça o seguinte:

    1. Escolha Add user to group.

    2. Escolha Create group (Criar grupo).

    3. Na caixa de diálogo Criar grupo, em Nome do grupo, digite Administrators.

    4. Marque a caixa de seleção para a política AdministratorAccess.

    5. Escolha Create group (Criar grupo).

    6. Na página com a lista de grupos de usuários, marque a caixa de seleção do novo grupo de usuários. Escolha Refresh (Atualizar) se não vir o novo grupo de usuários na lista.

    7. Escolha Next: Tags (Próximo: etiquetas).

  6. (Opcional) Na página Tags, adicione metadados ao usuário associando tags como pares de chave/valor. Para mais informações, consulte Recursos de etiquetas do IAM.

  7. Escolha Next: Review (Próximo: revisar). Verifique as associações de grupo de usuários a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, escolha Create user (Criar usuário).

  8. (Opcional) Na página Concluído, é possível fazer download de um arquivo .csv com informações de login para o usuário ou enviar e-mail com instruções de login para o usuário.

Você pode usar esse mesmo processo para criar mais grupos de usuários e usuários e conceder aos seus usuários acesso aos recursos de sua conta da AWS. Para saber mais sobre o uso de políticas que restringem as permissões do usuário a recursos específicos da AWS, consulte Gerenciamento de acesso para recursos da AWS e Exemplos de políticas baseadas em identidade do IAM. Para adicionar outros usuários ao grupo de usuários após a sua criação, consulte Adicionar e remover usuários de um grupo de usuários do IAM.

Criar um usuário e um grupo de usuários do IAM (AWS CLI)

Se você seguiu as etapas na seção anterior, você usou o AWS Management Console para configurar um grupo de usuários administradores ao criar o usuário do IAM na sua conta da AWS. Este procedimento mostra uma maneira alternativa de criar um grupo de usuários.

Visão geral: configuração de um grupo de usuários administradores

  1. Crie um grupo de usuários e atribua um nome a ele (por exemplo, Administradores). Para mais informações, consulte Criar um grupo de usuários (AWS CLI).

  2. Anexe uma política que conceda ao grupo de usuários permissões administrativas, acesso a todos os recursos e ações da AWS. Para mais informações, consulte Anexar uma política ao grupo de usuários (AWS CLI).

  3. Adicione pelo menos um usuário ao grupo de usuários. Para mais informações, consulte Criar um usuário do IAM na sua conta da AWS.

Criar um grupo de usuários (AWS CLI)

Esta seção mostra como criar um grupo de usuários no sistema do IAM.

Requisitos

Instale a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Instalar a AWS CLI no Guia do usuário da AWS Command Line Interface.

Para criar um grupo de usuários administradores (AWS CLI)

  1. Digite o comando aws iam create-group com o nome escolhido para o grupo de usuários. Você também pode incluir um caminho como parte do nome do grupo de usuários. Para obter mais informações sobre caminhos, consulte Nomes amigáveis e caminhos. O nome pode consistir em letras, dígitos e os seguintes caracteres: mais (+), igual (=), vírgula (,), ponto (.), arroba (@), relevo (_), e hífen (-). O nome não diferencia maiúsculas e minúsculas e pode ter no máximo 128 caracteres de tamanho.

    Neste exemplo, você cria um grupo de usuários chamado Administradores.

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. Digite o comando aws iam list-groups para listar os grupos de usuários na sua conta da AWS e confirmar que o grupo foi criado.

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    A resposta inclui o nome do recurso da Amazon (ARN) para o seu novo grupo de usuários. O nome de recurso da Amazon (ARN) é um formato padrão que a AWS usa para identificar recursos. O número de 12 dígitos no ARN é o ID de sua conta da AWS. O nome amigável atribuído ao grupo de usuários (Administradores) aparece no final do ARN do grupo de usuários.

Anexar uma política ao grupo de usuários (AWS CLI)

Esta seção mostra como anexar uma política que permite a qualquer usuário do grupo de usuários realizar qualquer ação em qualquer recurso na conta da AWS. Você pode fazer isso anexando a política gerenciada pela AWS denominada AdministratorAccess ao grupo de usuários Administradores. Para obter mais informações sobre políticas de , consulte Gerenciamento de acesso para recursos da AWS.

Para adicionar uma política concedendo permissões totais de administrador (AWS CLI)

  1. Digite o comando aws iam attach-group-policy para anexar a política denominada AdministratorAccess ao seu grupo de usuários Administradores. O comando usa o nome de recurso da Amazon (ARN) da política gerenciada pela AWS AdministratorAccess.

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    Se o comando for bem-sucedido, não haverá resposta.

  2. Digite o comando aws iam list-attached-group-policies para confirmar se a política foi anexada ao grupo de usuários Administradores.

    aws iam list-attached-group-policies --group-name Admins

    A resposta lista os nomes das políticas anexadas ao grupo de usuários Administradores. Uma resposta como a seguinte mostra que a política chamada AdministratorAccess foi anexada ao grupo de usuários Administradores:

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

Você pode confirmar o conteúdo de uma política específica com o comando aws iam get-policy.

Importante

Após a configuração do grupo de usuários administradores, você deve adicionar pelo menos um usuário a ele. Para obter mais informações sobre a inclusão de usuários em um grupo de usuários, consulte Criar um usuário do IAM na sua conta da AWS.

Recursos relacionados

Para obter informações relacionadas encontradas na Referência geral da Amazon Web Services, consulte os seguintes recursos:

Para obter informações relacionadas no Guia do usuário do IAM, consulte os seguintes recursos: