Usuário raiz da Conta da AWS Usuários do IAM Grupos de usuários do IAM Perfis do IAM Credenciais temporárias no IAM Quando usar perfis do Centro de Identidade do IAM?Quando criar um usuário do IAM (em vez de uma função)Quando criar uma função do IAM (em vez de um usuário)Comparar o Usuário raiz da conta da AWS e o usuário do IAM

Identidades do IAM (usuários, grupos de usuários e funções)

dica

Está com problemas para fazer login na AWS? Certifique-se de estar na página de login correta.

Para fazer login como Usuário raiz da conta da AWS (proprietário da conta), use as credenciais que você configurou ao criar a Conta da AWS.
Para fazer login como usuário do IAM, use as credenciais concedidas pelo administrador da conta para fazer login no AWS.
Para fazer login com o usuário do Centro de Identidade do IAM, utilize o URL de login enviado ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

Para obter ajuda com o login utilizando um usuário do Centro de Identidade do IAM, consulte Fazer login no portal de acesso da AWS portal de acesso da, no Início de Sessão da AWS Guia do usuário .

Para ver tutoriais de login, consulte Como fazer login na AWS no Guia do usuário do Início de Sessão da AWS.

nota

Se você precisar solicitar suporte, não use o link de Feedback nesta página. O feedback que você inserir será recebido pela equipe de AWS Documentation, não pelo AWS Support. Em vez disso, escolha o link Contact Us (Entrar em contato conosco) na parte superior desta página. Ali, encontram-se links para recursos que podem ajudar você a obter o suporte de que precisa.

O Usuário raiz da conta da AWS ou um usuário administrativo da conta pode criar identidades do IAM. Uma identidade do IAM fornece acesso a uma Conta da AWS. Um grupo de usuários do IAM é um conjunto de usuários do IAM gerenciados como uma unidade. Uma identidade do IAM representa um usuário humano ou uma workload programática e pode ser autenticada e autorizada para executar ações na AWS. Cada identidade do IAM pode ser associada a uma ou mais políticas. As políticas determinam quais ações um usuário, uma função ou o membro de um grupo de usuários pode executar, em quais recursos da AWS e em quais condições.

Usuário raiz da Conta da AWS

Ao criar uma Conta da AWS, você começa com uma identidade de login que tenha acesso completo a todos os recursos e Serviços da AWS na conta. Essa identidade, denominada usuário raiz da Conta da AWS, e é acessada por login com o endereço de e-mail e a senha que você usou para criar a conta.

Importante

É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele pode executar. Para obter a lista completa das tarefas que exigem fazer login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz.

Usuários do IAM

Um usuário do IAM é uma identidade dentro da Conta da AWS que tem permissões específicas para uma única pessoa ou aplicativo. Sempre que possível, as práticas recomendadas aconselham a depender de credenciais temporárias em vez de criar usuários do IAM com credenciais de longo prazo, como senhas e chaves de acesso. Antes de criar chaves de acesso, avalie as alternativas às chaves de acesso de longo prazo. Se você tiver casos de uso específicos que exijam chaves de acesso, recomendamos atualizar as chaves de acesso quando necessário. Para ter mais informações, consulte Atualize as chaves de acesso quando necessário para casos de uso que exijam credenciais de longo prazo. Para adicionar usuários do IAM à sua Conta da AWS, consulte Criar um usuário do IAM na sua Conta da AWS.

nota

Como prática recomendada de segurança, recomendamos que você forneça acesso aos seus recursos por meio da federação de identidades, em vez de criar usuários do IAM. Para obter informações sobre situações específicas em que um usuário do IAM é necessário, consulte Quando criar um usuário do IAM (em vez de um perfil).

Grupos de usuários do IAM

Um grupo do IAM é uma identidade que especifica uma coleção de usuários do IAM. Não é possível usar um grupo para fazer login. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você poderia ter um grupo chamado IAMPublishers e oferecer a esse grupo os tipos de permissões necessárias para publicar workloads.

Perfis do IAM

Um perfil do IAM é uma identidade dentro da Conta da AWS que tem permissões específicas. Ele se assemelha a um usuário do IAM, entretanto, não está associado a uma pessoa específica. É possível assumir temporariamente um perfil do IAM no AWS Management Console alternando perfis. É possível assumir um perfil chamando uma operação de API da AWS CLI ou da AWS, ou usando um URL personalizado. Para obter mais informações sobre os métodos para o uso de perfis, consulte Uso de funções do IAM.

Perfis do IAM com credenciais temporárias são usados nas seguintes situações:

Acesso de usuário federado: para atribuir permissões a identidades federadas, você pode criar um perfil e definir permissões para ele. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas pelo mesmo. Para mais informações sobre perfis para federação, consulte Criar um perfil para um provedor de identidades de terceiros no Guia do usuário do IAM. Se você usar o IAM Identity Center, configure um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o IAM Identity Center correlaciona o conjunto de permissões a um perfil no IAM. Para obter informações sobre conjuntos de permissões, consulte Conjuntos de permissões no Guia do Usuário do AWS IAM Identity Center.
Permissões temporárias para usuários do IAM: um usuário ou um perfil do IAM pode assumir um perfil do IAM para obter temporariamente permissões diferentes para uma tarefa específica.
Acesso entre contas: é possível usar um perfil do IAM para permitir que alguém (uma entidade principal confiável) em outra conta acesse recursos em sua conta. Os perfis são a principal forma de conceder acesso entre contas. No entanto, alguns Serviços da AWS permitem que você anexe uma política diretamente a um recurso (em vez de usar um perfil como proxy). Para conhecer a diferença entre usar perfis e políticas baseadas em recurso para acesso entre contas, consulte Acesso a recursos entre contas no IAM.
Acesso entre serviços: alguns Serviços da AWS usam atributos em outros Serviços da AWS. Por exemplo, quando você faz uma chamada em um serviço, é comum que esse serviço execute aplicações no Amazon EC2 ou armazene objetos no Amazon S3. Um serviço pode fazer isso usando as permissões da entidade principal de chamada, usando uma função de serviço ou uma função vinculada ao serviço.
- Encaminhamento de sessões de acesso (FAS): qualquer pessoa que utilizar uma função ou usuário do IAM para realizar ações na AWS é considerada uma entidade principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. O recurso FAS utiliza as permissões da entidade principal que chama um AWS service (Serviço da AWS), combinadas às permissões do AWS service (Serviço da AWS) solicitante, para realizar solicitações para serviços downstream. As solicitações de FAS só são feitas quando um serviço recebe uma solicitação que exige interações com outros Serviços da AWS ou com recursos para serem concluídas. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer solicitações de FAS, consulte Encaminhar sessões de acesso.
- Perfil de serviço: um perfil de serviço é um perfil do IAM que um serviço assume para realizar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para mais informações, consulte Criar um perfil para delegar permissões a um AWS service (Serviço da AWS) no Guia do Usuário do IAM.
- Função vinculada a serviço: uma função vinculada a serviço é um tipo de perfil de serviço vinculado a um AWS service (Serviço da AWS). O serviço pode assumir o perfil para executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados ao serviço.
Aplicações em execução no Amazon EC2: é possível usar um perfil do IAM para gerenciar credenciais temporárias para aplicações em execução em uma instância do EC2 e fazer solicitações da AWS CLI ou da AWS API. É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir um perfil da AWS a uma instância do EC2 e disponibilizá-la para todas as suas aplicações, crie um perfil de instância que esteja anexado a ela. Um perfil de instância contém o perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte Usar um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Credenciais temporárias no IAM

Como prática recomendada, use credenciais temporárias com usuários humanos e workloads. As credenciais temporárias são usadas principalmente com as funções do IAM, mas também há outras utilidades. Você pode solicitar credenciais temporárias que tenham um conjunto mais restrito de permissões do que um usuário padrão do IAM. Isso evita que você execute acidentalmente tarefas que não são permitidas pelas credenciais mais restritas. Um benefício das credenciais temporárias é que elas expiram automaticamente após um período definido. Você tem o controle sobre a duração da validade das credenciais.

Quando usar perfis do Centro de Identidade do IAM?

Recomendamos que todos os usuários humanos usem o Centro de Identidade do IAM para acessar recursos da AWS. O Centro de Identidade do IAM possibilita melhorias significativas no acesso a recursos da AWS como usuário do IAM. O Centro de Identidade do IAM fornece:

Um conjunto central de identidades e atribuições
Acesso a contas em toda a organização da AWS
Conexão com seu provedor de identidade atual
Credenciais temporárias
Autenticação multifator (MFA)
Configuração de MFA de autoatendimento para usuários finais
Aplicação administrativa do uso de MFA
Autenticação única para todos os diretos de Conta da AWS

Para obter mais informações, consulte What is IAM Identity Center (O que é o Centro de Identidade do IAM?) no Guia do usuário do AWS IAM Identity Center.

Quando criar um usuário do IAM (em vez de uma função)

Recomendamos usar somente usuários do IAM para casos de uso sem suporte para usuários federados. Alguns dos casos de uso incluem o seguinte:

Workloads que não podem usar perfis do IAM: você pode executar a workload de um local que precisa acessar a AWS. Em algumas situações, você não pode usar perfis do IAM para fornecer credenciais temporárias, como para plugins do WordPress. Nessas situações, use as chaves de acesso de longo prazo do usuário do IAM para que essa workload seja autenticada na AWS.
Clientes de terceiros da AWS: se você estiver usando ferramentas que não oferecem suporte ao acesso com o Centro de Identidade do IAM, como fornecedores ou clientes terceiros da AWS que não estão hospedados na AWS, use as chaves de acesso de longo prazo do usuário do IAM.
Acesso ao AWS CodeCommit: se você estiver usando o CodeCommit para armazenar seu código, poderá usar um usuário do IAM com chaves SSH ou credenciais específicas de serviço para que o CodeCommit seja autenticado em seus repositórios. Recomendamos fazer isso além de usar um usuário do IAM Identity Center para autenticação padrão. Os usuários do Centro de Identidade do IAM são as pessoas em sua força de trabalho que precisam acessar suas Contas da AWS ou suas aplicações na nuvem. Para dar aos usuários acesso aos seus repositórios do CodeCommit sem configurar os usuários do IAM, você pode configurar o utilitário git-remote-codecommit. Para obter mais informações sobre o IAM e o CodeCommit, consulte Uso do IAM com CodeCommit: credenciais do Git, chaves SSH e chaves de acesso da AWS. Para obter mais informações sobre como configurar o utilitário git-remote-codecommit, consulte Conectar-se a repositórios do AWS CodeCommit credenciais alternadas, no Guia do usuário do AWS CodeCommit.
Acesso ao Amazon Keyspaces (para Apache Cassandra): em uma situação em que não é possível usar usuários no IAM Identity Center, como para fins de teste de compatibilidade com o Cassandra, você pode usar um usuário do IAM com credenciais específicas do serviço para a autenticação com o Amazon Keyspaces. Os usuários do Centro de Identidade do IAM são as pessoas em sua força de trabalho que precisam acessar suas Contas da AWS ou suas aplicações na nuvem. Você também pode se conectar ao Amazon Keyspaces usando credenciais temporárias. Para obter mais informações, consulte Using temporary credentials to connect to Amazon Keyspaces using an IAM role and the SigV4 plugin (Como usar credenciais temporárias para se conectar ao Amazon Keyspaces usando um perfil do IAM e o plug-in SigV4) no Guia do desenvolvedor do Amazon Keyspaces (para Apache Cassandra).
Acesso de emergência: em uma situação em que você não consegue acessar seu provedor de identidade e precisa tomar medidas em sua Conta da AWS. Estabelecer usuários do IAM com acesso emergencial pode fazer parte do plano de resiliência. Recomendamos que as credenciais do usuário de emergência sejam rigidamente controladas e protegidas por autenticação multifator (MFA).

Quando criar uma função do IAM (em vez de um usuário)

Crie uma função do IAM nas seguintes situações:

Se você estiver criando uma aplicação que é executada em uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e essa aplicação fizer solicitações à AWS.

Não crie um usuário do IAM e passe as credenciais do usuário para a aplicação ou incorpore as credenciais na aplicação. Em vez disso, crie uma função do IAM que você possa anexar à instância do EC2 para oferecer credenciais de segurança temporárias às aplicações em execução na instância. Quando um aplicativo usa essas credenciais na AWS, ele pode executar todas as operações permitidas pelas políticas anexadas à função. Para obter detalhes, consulte Uso de uma função do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2.

Você está criando um aplicativo que é executado em um celular e que faz solicitações à AWS.

Não crie um usuário do IAM para distribuir a chave de acesso do usuário com a aplicação. Em vez disso, use um provedor de identidade como o Login with Amazon, Amazon Cognito, Facebook ou Google para autenticar usuários e mapeá-los para uma função do IAM. O aplicativo pode usar a função para obter credenciais de segurança temporárias que têm as permissões especificadas pelas políticas anexadas à função. Para mais informações, consulte:

Os usuários em sua empresa são autenticados em sua rede corporativa e desejam usar a AWS sem a necessidade de fazer login novamente, ou seja, você deseja permitir que os usuários se federem na AWS.

Não crie usuários do IAM. Configure um relacionamento de federação entre o sistema de identidade corporativa e a AWS. Você pode fazer isso de duas maneiras:

Se o sistema de identidade da sua empresa for compatível com o SAML 2.0, estabeleça confiança entre o sistema de identidade da sua empresa e a AWS. Para ter mais informações, consulte Federação SAML 2.0.
Crie e use um servidor de proxy personalizado que converta identidades de usuários da empresa em funções do IAM que forneçam credenciais de segurança temporárias da AWS. Para ter mais informações, consulte Habilitar o acesso do agente de identidades personalizado ao console da AWS.

Comparar as credenciais do Usuário raiz da conta da AWS e as credenciais do usuário do IAM

O usuário raiz é o proprietário da conta e é criado quando a Conta da AWS é criada. Outros tipos de usuários, incluindo usuários do IAM e os usuários do AWS IAM Identity Center, são criados pelo usuário raiz ou pelo administrador da conta. Todos os usuários da AWS têm credenciais de segurança.

Credenciais do usuário raiz.

As credenciais do proprietário da conta permitem acesso total a todos os recursos da conta. Não é possível usar as políticas do IAM para negar ao usuário raiz acesso a recursos. Só é possível usar uma política de controle de serviços (SCP) do AWS Organizations para limitar as permissões do usuário raiz de uma conta-membro. Por isso, recomendamos criar um usuário administrativo no Centro de Identidade do IAM para usar nas tarefas diárias da AWS. Em seguida, proteja as credenciais do usuário raiz e use-as para realizar somente aquelas poucas tarefas de gerenciamento de contas e serviços que exigem fazer login como usuário raiz. Para obter a lista dessas tarefas, consulte Tarefas que exigem credenciais de usuário raiz. Para saber como configurar um administrador para uso diário no Centro de Identidade do IAM, consulte Introdução no Guia do usuário do Centro de Identidade do IAM.

Credenciais do IAM

Um usuário do IAM é uma entidade criada na AWS para representar a pessoa ou serviço que usa o IAM para interagir com recursos da AWS. Esses usuários são identidades dentro da sua Conta da AWS que têm permissões personalizadas específicas. Por exemplo, é possível criar usuários do IAM e fornecer a eles permissões para criar um diretório no Centro de Identidade do IAM. Os usuários do IAM têm credenciais de longo prazo que podem ser usadas para acessar a AWS via AWS Management Console, ou programaticamente via AWS CLI ou as APIs da AWS. Para obter instruções detalhadas sobre como os usuários do IAM fazem login no AWS Management Console, consulte Login no AWS Management Console como usuário do IAM no Guia do usuário de login na AWS.

Em geral, recomendamos que você evite criar usuários do IAM porque eles têm credenciais de longo prazo, como nome de usuário e senha. Em vez disso, exija que seus usuários humanos usem credenciais temporárias para acessar a AWS. É possível usar um provedor de identidade para que seus usuários humanos recebam acesso federado às Contas da AWS assumindo perfis do IAM que forneçam credenciais temporárias. Para gerenciamento de acesso centralizado, recomendamos usar o Centro de Identidade do IAM para gerenciar o acesso às suas contas e as permissões nessas contas. Você pode gerenciar suas identidades de usuário com o IAM Identity Center ou gerenciar permissões de acesso para identidades de usuário no IAM Identity Center de um provedor de identidade externo. Para obter mais informações, consulte O que é o Centro de Identidade do IAM? no Guia do usuário do Centro de Identidade do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permitir que os usuários gerenciem suas credenciais e configurações de MFA

Usuário raiz da conta da AWS