Identidades do IAM (usuários, grupos de usuários e funções) - AWS Identity and Access Management

Identidades do IAM (usuários, grupos de usuários e funções)

Está com problemas para fazer login na AWS? Certifique-se de estar na página de login da AWS correta para o seu tipo de usuário. Se você for o Usuário raiz da Conta da AWS (proprietário da conta), poderá fazer login na AWS usando as credenciais que você configurou ao criar a conta da AWS . Se você for um usuário do IAM, o administrador da conta poderá fornecer as credenciais que você pode usar para fazer login na AWS. Se precisar solicitar suporte, não use o link de feedback nesta página, pois o formulário é recebido pela equipe de documentação da AWS , e não pelo Suporte da AWS. Em vez disso, na página Contact Us (Entre em contato conosco) , expanda I cannot login to my AWS Account (Não consigo fazer login em minha conta da AWS) e escolha Request Support for AWS Account Credentials (Solicitar suporte para credenciais de conta da AWS).

O Usuário raiz da Conta da AWS ou um administrador do IAM da conta pode criar identidades do IAM. Uma identidade do IAM fornece acesso a uma conta da AWS. Grupo de usuários é um conjunto de usuários do IAM gerenciados como unidade. Uma identidade do IAM representa um usuário e pode ser autenticada e autorizada para executar ações na AWS. Cada identidade do IAM pode ser associada a uma ou mais políticas. As políticas determinam quais ações um usuário, uma função ou um membro do grupo de usuários pode executar, em quais recursos da AWS e em quais condições.

Usuário raiz da conta da AWS

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os serviços e recursos da AWS na conta. Essa identidade é chamada de conta usuário raiz da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.

Importante

Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulte Tarefas da AWS que exigem usuário raiz

Usuários do IAM

Um usuário do IAM é uma entidade que você cria na AWS. O usuário do IAM representa a pessoa ou o serviço que usa o usuário do IAM para interagir com a AWS. Um uso principal para os usuários do IAM é oferecer às pessoas a capacidade de entrar no AWS Management Console para executar tarefas interativas e para fazer solicitações programáticas aos serviços da AWS, usando a API ou a CLI. Um usuário na AWS consiste em um nome, uma senha para fazer login no AWS Management Console e até duas chaves de acesso que podem ser usadas com a API ou a CLI. Quando cria um usuário do IAM, você concede a ele permissões tornando-o membro de um grupo de usuários com políticas de permissão apropriadas anexadas (recomendadas) ou anexando diretamente as políticas ao usuário. Você também pode clonar as permissões de um usuário existente do IAM, o que automaticamente torna o novo usuário membro dos mesmos grupos e anexa todas as mesmas políticas. Para adicionar usuários do IAM à conta do IAM, consulte Criar um usuário do IAM na sua conta da AWS.

Grupos de usuários do IAM

Grupo de usuários do IAM é um conjunto de usuários do IAM. Você pode usar grupos de usuários para especificar permissões para um conjunto de usuários, o que pode facilitar o gerenciamento dessas permissões para esses usuários. Por exemplo, você poderia ter um grupo de usuários chamado Admins e oferecer a esse grupo os tipos de permissões de que os administradores normalmente precisam. Qualquer usuário desse grupo tem automaticamente as permissões que são atribuídas ao grupo de usuários. Se um novo usuário ingressar na sua organização e precisar ter privilégios de administrador, você poderá atribuir as permissões apropriadas adicionando o usuário a esse grupo. Da mesma forma, se uma pessoa mudar de função na sua organização, em vez de editar as permissões desse usuário, você poderá removê-lo dos grupos de usuários antigos e adicioná-lo aos novos grupos apropriados. Um grupo de usuários não pode ser identificado como Principal em uma política baseada em recursos. Um grupo de usuários é somente uma maneira de anexar políticas a vários usuários de uma só vez. Quando você anexa uma política baseada em identidade a um grupo de usuários, todos os usuários desse grupo recebem as permissões dele. Para obter mais informações sobre esses tipos de política, consulte Políticas baseadas em identidade e em recursos.

Funções do IAM

Uma função do IAM é muito semelhante a um usuário, pois é uma identidade com políticas de permissão que determinam o que a identidade pode e não pode fazer na AWS. No entanto, uma função não tem quaisquer credenciais (senha ou chaves de acesso) associado a ela. Em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumível por qualquer pessoa que precisar. Um usuário do IAM pode assumir temporariamente uma função para adquirir permissões diferentes para uma tarefa específica. Uma função pode ser atribuída a um usuário federado, que fará login usando um provedor de identidade externo em vez do IAM. A AWS usa detalhes transmitidos pelo provedor de identidade para determinar qual função será mapeada para o usuário federado.

Credenciais temporárias no IAM

As credenciais temporárias são usadas principalmente com as funções do IAM, mas também há outras utilidades. Você pode solicitar credenciais temporárias que tenham um conjunto mais restrito de permissões do que um usuário padrão do IAM. Isso evita que você acidentalmente execute tarefas que não são permitidas pelas credenciais mais restritas. Um benefício das credenciais temporárias é que elas expiram automaticamente após um período definido. Você tem o controle sobre a duração da validade das credenciais.

Quando criar um usuário do IAM (em vez de uma função)

Como um usuário do IAM é apenas uma identidade com permissões específicas em sua conta, você não precisa criar um usuário do IAM para cada ocasião na qual as credenciais são necessárias. Em muitos casos, você pode aproveitar as funções do IAM e suas credenciais de segurança temporárias, em vez de usar as credenciais de longo prazo associadas a um usuário do IAM.

  • Você criou um conta da AWS e é a única pessoa que trabalha na conta.

    É possível trabalhar com a AWS usando as credenciais de usuário raiz da conta da AWS, mas isso não é recomendável. Em vez disso, recomendamos que você crie um usuário do IAM para você e use as credenciais para esse usuário quando você trabalhar com a AWS. Para obter mais informações, consulte Melhores práticas de segurança no IAM.

  • Outras pessoas em seu grupo de usuários precisam trabalhar na sua conta da AWS e seu grupo não estar usando nenhum outro mecanismo de identidade.

    Crie usuários do IAM para os indivíduos que precisam de acesso aos seus recursos da AWS, atribua permissões apropriadas para cada usuário e dê a cada usuário suas próprias credenciais. Recomendamos que você nunca compartilhe credenciais entre vários usuários.

Quando criar uma função do IAM (em vez de um usuário)

Crie uma função do IAM nas seguintes situações:

Você está criando um aplicativo que é executado em uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e o aplicativo faz solicitações à AWS.

Não crie um usuário do IAM para transmitir as credenciais do usuário ao aplicativo nem incorpore as credenciais ao aplicativo. Em vez disso, crie uma função do IAM que você possa anexar à instância do EC2 para oferecer credenciais de segurança temporárias aos aplicativos em execução na instância. Quando um aplicativo usa essas credenciais na AWS, ele pode executar todas as operações permitidas pelas políticas anexadas à função. Para obter mais detalhes, consulte Usar uma função do IAM para conceder permissões às aplicações em execução nas instâncias do Amazon EC2.

Você está criando um aplicativo que é executado em um celular e que faz solicitações à AWS.

Não crie um usuário do IAM para distribuir a chave de acesso do usuário com o aplicativo. Em vez disso, use um provedor de identidade como o login da Amazon, do Amazon Cognito, do Facebook ou do Google para autenticar os usuários e mapear os usuários para uma função do IAM. O aplicativo pode usar a função para obter credenciais de segurança temporárias que têm as permissões especificadas pelas políticas anexadas à função. Para obter mais informações, consulte o seguinte:

Os usuários em sua empresa são autenticados em sua rede corporativa e desejam usar a AWS sem a necessidade de fazer login novamente — ou seja, você deseja permitir que os usuários se federem na AWS

Não crie usuários do IAM. Configure um relacionamento de federação entre o sistema de identidade corporativa e a AWS. Você pode fazer isso de duas maneiras: