Identidades do IAM (usuários, grupos e funções) - AWS Identity and Access Management

Identidades do IAM (usuários, grupos e funções)

Está com problemas para fazer login na AWS? Certifique-se de estar na página de login da AWS correta para o seu tipo de usuário. Se você for o Usuário raiz da conta da AWS (proprietário da conta), poderá fazer login na AWS usando as credenciais que você configurou ao criar a conta da AWS. Se você for um usuário do IAM, o administrador da conta poderá fornecer as credenciais que você pode usar para fazer login na AWS. Se precisar solicitar suporte, não use o link de feedback nesta página, pois o formulário é recebido pela equipe de documentação da AWS, e não pelo AWS Support. Em vez disso, na página Contact Us (Entre em contato conosco), expanda I cannot login to my AWS Account (Não consigo fazer login na minha conta da AWS) e escolha Request Support for AWS Account Credentials (Solicitar suporte para credenciais da conta da AWS).

O Usuário raiz da conta da AWS ou um administrador do IAM da conta pode criar identidades do IAM. Uma identidade do IAM fornece acesso a uma conta da AWS. Um grupo é uma coleção de usuários gerenciados do IAM como uma unidade. Uma identidade do IAM representa um usuário e pode ser autenticada e autorizada para executar ações na AWS. Cada identidade do IAM pode ser associada a uma ou mais políticas. As políticas determinam quais ações um usuário, função ou membro de um grupo pode executar, em quais recursos da AWS e em quais condições.

Usuário raiz da conta da AWS

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os serviços e recursos da AWS na conta. Essa identidade é chamada de conta usuário raiz da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.

Importante

Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulte Tarefas da AWS que exigem usuário raiz

Usuários do IAM

Um usuário do IAM é uma entidade que você cria na AWS. O usuário do IAM representa a pessoa ou o serviço que usa o usuário do IAM para interagir com a AWS. Um uso principal para os usuários do IAM é oferecer às pessoas a capacidade de entrar no Console de gerenciamento da AWS para executar tarefas interativas e para fazer solicitações programáticas aos serviços da AWS, usando a API ou a CLI. Um usuário na AWS consiste em um nome, uma senha para fazer login no Console de gerenciamento da AWS e até duas chaves de acesso que podem ser usadas com a API ou a CLI. Quando cria um usuário do IAM, você concede a ele permissões tornando-o um membro de um grupo com políticas de permissão apropriadas anexadas (recomendadas) ou anexando diretamente políticas ao usuário. Você também pode clonar as permissões de um usuário existente do IAM, o que automaticamente torna o novo usuário um membro dos mesmos grupos e anexa todas as mesmas políticas.

Grupos do IAM

Um grupo do IAM é um conjunto de usuários do IAM. Você pode usar grupos para especificar permissões para um conjunto de usuários, o que pode facilitar o gerenciamento dessas permissões para esses usuários. Por exemplo, você poderia ter um grupo chamado Admins e oferecer a esse grupo os tipos de permissões de que os administradores normalmente precisam. Qualquer usuário nesse grupo tem automaticamente as permissões que são atribuídas ao grupo. Se um novo usuário ingressar na sua organização e precisar ter os privilégios de administrador, você poderá atribuir as permissões apropriadas adicionando o usuário a esse grupo. Da mesma forma, se uma pessoa muda de função na sua organização, em vez de editar as permissões do usuário, você pode removê-las dos grupos antigos e adicioná-las a novos grupos apropriados. Observe que um grupo não é de fato uma identidade, pois ele não pode ser identificado como Principal em uma política baseada em recursos ou política de confiança. Ele só é uma maneira de anexar políticas para vários usuários de uma só vez.

Funções do IAM

Uma função do IAM é muito semelhante a um usuário, pois é uma identidade com políticas de permissão que determinam o que a identidade pode e não pode fazer na AWS. No entanto, uma função não tem quaisquer credenciais (senha ou chaves de acesso) associado a ela. Em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumível por qualquer pessoa que precisar. Um usuário do IAM pode assumir temporariamente uma função para adquirir permissões diferentes para uma tarefa específica. Uma função pode ser atribuída a um usuário federado, que fará login usando um provedor de identidade externo em vez do IAM. A AWS usa detalhes transmitidos pelo provedor de identidade para determinar qual função será mapeada para o usuário federado.

Credenciais temporárias no IAM

As credenciais temporárias são usadas principalmente com as funções do IAM, mas também há outras utilidades. Você pode solicitar credenciais temporárias que tenham um conjunto mais restrito de permissões do que um usuário padrão do IAM. Isso evita que você acidentalmente execute tarefas que não são permitidas pelas credenciais mais restritas. Um benefício das credenciais temporárias é que elas expiram automaticamente após um período definido. Você tem o controle sobre a duração da validade das credenciais.

Quando criar um usuário do IAM (em vez de uma função)

Como um usuário do IAM é apenas uma identidade com permissões específicas em sua conta, você não precisa criar um usuário do IAM para cada ocasião na qual as credenciais são necessárias. Em muitos casos, você pode aproveitar as funções do IAM e suas credenciais de segurança temporárias, em vez de usar as credenciais de longo prazo associadas a um usuário do IAM.

  • Você criou um conta da AWS e é a única pessoa que trabalha na conta.

    É possível trabalhar com a AWS usando as credenciais de usuário raiz da conta da AWS, mas isso não é recomendável. Em vez disso, recomendamos que você crie um usuário do IAM para você e use as credenciais para esse usuário quando você trabalhar com a AWS. Para obter mais informações, consulte Melhores práticas de segurança no IAM.

  • Outras pessoas em seu grupo precisam trabalhar na sua conta da AWS e seu grupo não está usando nenhum outro mecanismo de identidade.

    Crie usuários do IAM para os indivíduos que precisam de acesso aos seus recursos da AWS, atribua permissões apropriadas para cada usuário e dê a cada usuário suas próprias credenciais. Recomendamos que você nunca compartilhe credenciais entre vários usuários.

Quando criar uma função do IAM (em vez de um usuário)

Crie uma função do IAM nas seguintes situações:

Você está criando um aplicativo que é executado em uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e o aplicativo faz solicitações à AWS.

Não crie um usuário do IAM para transmitir as credenciais do usuário ao aplicativo nem incorpore as credenciais ao aplicativo. Em vez disso, crie uma função do IAM que você possa anexar à instância do EC2 para oferecer credenciais de segurança temporárias aos aplicativos em execução na instância. Quando um aplicativo usa essas credenciais na AWS, ele pode executar todas as operações permitidas pelas políticas anexadas à função. Para obter mais detalhes, consulte Usar uma função do IAM para conceder permissões às aplicações em execução nas instâncias do Amazon EC2.

Você está criando um aplicativo que é executado em um celular e que faz solicitações à AWS.

Não crie um usuário do IAM para distribuir a chave de acesso do usuário com o aplicativo. Em vez disso, use um provedor de identidade como o login da Amazon, do Amazon Cognito, do Facebook ou do Google para autenticar os usuários e mapear os usuários para uma função do IAM. O aplicativo pode usar a função para obter credenciais de segurança temporárias que têm as permissões especificadas pelas políticas anexadas à função. Para obter mais informações, consulte o seguinte:

Os usuários em sua empresa são autenticados em sua rede corporativa e desejam usar a AWS sem a necessidade de fazer login novamente — ou seja, você deseja permitir que os usuários se federem na AWS

Não crie usuários do IAM. Configure um relacionamento de federação entre o sistema de identidade corporativa e a AWS. Você pode fazer isso de duas maneiras: