Identidades do IAM (usuários, grupos de usuários e funções) - AWS Identity and Access Management

Identidades do IAM (usuários, grupos de usuários e funções)

Está com problemas para fazer login na AWS? Certifique-se de estar na página de login da AWS correta para o seu tipo de usuário. Se você é o usuário raiz (proprietário da conta) da Conta da AWS, poderá fazer login na AWS usando as credenciais que você configurou ao criar a conta da AWS. Se você é um usuário do IAM, o administrador da conta poderá fornecer as credenciais que você pode usar para fazer login na AWS. Se precisar solicitar suporte, não use o link de feedback nesta página, pois o formulário é recebido pela equipe de documentação da AWS, e não pelo AWS Support. Em vez disso, na página Contact Us (Entrar em contato conosco), expanda I cannot login to my AWS Account (Não consigo fazer login na minha conta da AWS) e escolha Request Support for AWS Account Credentials (Solicitar suporte para credenciais da conta da AWS).

O usuário raiz da Conta da AWS ou um administrador do IAM da conta pode criar Identidades do IAM. Uma identidade do IAM fornece acesso a uma conta da AWS. Um grupo de usuários é um conjunto de usuários do IAM gerenciados como uma unidade. Uma identidade do IAM representa um usuário e pode ser autenticada e autorizada para executar ações na AWS. Cada identidade do IAM pode ser associada a uma ou mais políticas. As políticas determinam quais ações um usuário, uma função ou o membro de um grupo de usuários pode executar, em quais recursos da AWS e em quais condições.

AWS Usuário raiz de conta da

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os produtos e recursos da AWS na conta. Essa identidade é denominada usuário root da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.

Importante

Recomendamos que não use o usuário raiz para suas tarefas do dia a dia, nem mesmo as administrativas. Em vez disso, siga as práticas recomendadas para o uso do usuário root somente a fim de criar seu primeiro usuário do IAM. Depois, armazene as credenciais do usuário raiz com segurança e use-as para executar somente algumas tarefas de gerenciamento de contas e de serviços. Para exibir as tarefas que exigem que você faça login como usuário raiz, consulte Tarefas da AWS que exigem o usuário raiz.

Usuários do IAM

Um usuário do IAM é uma entidade que você cria no AWS. O usuário do IAM representa a pessoa ou o serviço que usa o usuário do IAM para interagir com a AWS. Um uso de entidade de segurança para usuários do IAM é oferecer às pessoas a capacidade de entrar no AWS Management Console para executar tarefas interativas e fazer solicitações programáticas aos produtos da AWS usando a API ou a CLI. Um usuário na AWS consiste em um nome, uma senha para fazer login no AWS Management Console e até duas chaves de acesso que podem ser usadas com a API ou a CLI. Ao criar um usuário do IAM, você concede a ele permissões tornando-o um membro de um grupo de usuários com políticas de permissão apropriadas anexadas (recomendadas) ou anexando diretamente políticas ao usuário. Você também pode clonar as permissões de um usuário existente do IAM, o que automaticamente torna o novo usuário um membro dos mesmos grupos de usuários e anexa todas as mesmas políticas. Para adicionar usuários do IAM à sua conta do IAM, consulte Criar um usuário do IAM na sua conta da AWS.

Grupos de usuários do IAM

Um grupo de usuários do IAM é um conjunto de usuários do IAM. Você pode usar grupos de usuários para especificar permissões para um conjunto de usuários, o que pode facilitar o gerenciamento dessas permissões para esses usuários. Por exemplo, você pode ter um grupo de usuários chamado Admins e oferecer a esse grupo de usuários os tipos de permissões de que os administradores normalmente precisam. Qualquer usuário nesse grupo de usuários tem automaticamente as permissões que são atribuídas ao grupo de usuários. Se um novo usuário ingressar na sua organização e precisar ter privilégios de administrador, você poderá atribuir as permissões apropriadas adicionando o usuário a esse grupo de usuários. Da mesma forma, se uma pessoa mudar de função na sua organização, em vez de editar as permissões do usuário, você poderá removê-lo dos grupos de usuários antigos e adicioná-lo a novos grupos de usuários apropriados. Um grupo de usuários não pode ser identificado como Principal em uma política baseada em recurso. Um grupo é somente uma maneira de associar políticas a vários usuários de uma só vez. Quando você associa uma política baseada em identidade a um grupo de usuários, todos os usuários desse grupo de usuários recebem as permissões dele. Para obter mais informações sobre esses tipos de política, consulte Políticas baseadas em identidade e em recurso.

Funções do IAM no

Uma função do IAM é muito semelhante a um usuário, pois é uma identidade com políticas de permissão que determinam o que a identidade pode e não pode fazer na AWS. No entanto, uma função não tem quaisquer credenciais (senha ou chaves de acesso) associado a ela. Em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumível por qualquer pessoa que precisar. Um usuário do IAM pode assumir uma função para conseguir temporariamente permissões diferentes para uma tarefa específica. Uma função pode ser atribuída a um usuário federado, que fará login usando um provedor de identidade externo em vez do IAM. A AWS usa detalhes transmitidos pelo provedor de identidade para determinar qual função será mapeada para o usuário federado.

Credenciais temporárias no IAM

As credenciais temporárias são usadas principalmente com as funções do IAM, mas também há outras utilidades. Você pode solicitar credenciais temporárias que tenham um conjunto mais restrito de permissões do que um usuário padrão do IAM. Isso evita que você acidentalmente execute tarefas que não são permitidas pelas credenciais mais restritas. Um benefício das credenciais temporárias é que elas expiram automaticamente após um período definido. Você tem o controle sobre a duração da validade das credenciais.

Quando criar um usuário do IAM (em vez de uma função)

Como um usuário do IAM é apenas uma identidade com permissões específicas em sua conta, você não precisa criar um usuário do IAM para cada ocasião na qual as credenciais são necessárias. Em muitos casos, você pode aproveitar as funções do IAM e suas credenciais de segurança temporárias, em vez de usar as credenciais de longo prazo associadas a um usuário do IAM.

  • Você criou um conta da AWS e é a única pessoa que trabalha na conta.

    É possível trabalhar com a AWS usando as credenciais de usuário raiz da conta da AWS, mas isso não é recomendável. Em vez disso, recomendamos criar um usuário do IAM para você e usar as credenciais desse usuário ao trabalhar com a AWS. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM.

  • Outras pessoas em seu grupo de usuários precisam trabalhar na sua conta da AWS, e seu grupo de usuários não está usando nenhum outro mecanismo de identidade.

    Crie usuários do IAM para as pessoas que precisam de acesso aos seus recursos da AWS, atribua as permissões apropriadas a cada usuário e forneça a cada um deles suas próprias credenciais. Recomendamos que você nunca compartilhe credenciais entre vários usuários.

Quando criar uma função do IAM (em vez de um usuário)

Crie uma função do IAM nas seguintes situações:

Se você estiver criando uma aplicação que é executada em uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e essa aplicação fizer solicitações à AWS.

Não crie um usuário do IAM e passe as credenciais do usuário para a aplicação ou incorpore as credenciais na aplicação. Em vez disso, crie uma função do IAM que você possa anexar à instância do EC2 para oferecer credenciais de segurança temporárias às aplicações em execução na instância. Quando um aplicativo usa essas credenciais na AWS, ele pode executar todas as operações permitidas pelas políticas anexadas à função. Para obter mais detalhes, consulte Uso de uma função do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2.

Você está criando um aplicativo que é executado em um celular e que faz solicitações à AWS.

Não crie um usuário do IAM para distribuir a chave de acesso do usuário com a aplicação. Em vez disso, use um provedor de identidade como o Login with Amazon, Amazon Cognito, Facebook ou Google para autenticar usuários e mapeá-los para uma função do IAM. O aplicativo pode usar a função para obter credenciais de segurança temporárias que têm as permissões especificadas pelas políticas anexadas à função. Para obter mais informações, consulte:

Os usuários em sua empresa são autenticados em sua rede corporativa e desejam usar a AWS sem a necessidade de fazer login novamente, ou seja, você deseja permitir que os usuários se federem na AWS.

Não crie usuários do IAM. Configure um relacionamento de federação entre o sistema de identidade corporativa e a AWS. Você pode fazer isso de duas maneiras: