Gerenciamento de chaves de acesso de usuários do IAM

Importante

Como prática recomendada, use credenciais de segurança temporárias (como perfis do IAM), em vez de criar credenciais de longo prazo, como as chaves de acesso. Antes de criar chaves de acesso, avalie as alternativas às chaves de acesso de longo prazo.

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o Usuário raiz da conta da AWS. Você pode usar chaves de acesso para assinar solicitações programáticas na AWS CLI ou na API da AWS (diretamente ou usando o SDK da AWS). Para ter mais informações, consulte Assinar solicitações de API do AWS.

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, AKIAIOSFODNN7EXAMPLE) e uma chave de acesso secreta (por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações.

Ao criar um par de chaves de acesso, salve o ID de chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta só está disponível no momento em que é criada. Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. Para obter mais detalhes, consulte Redefinição de senhas perdidas ou esquecidas ou chaves de acesso para a AWS.

É possível ter um máximo de duas chaves de acesso por usuário.

Importante

Gerencie suas chaves de acesso com segurança. Não as forneça a terceiros não autorizados, mesmo que seja para ajudar a localizar os identificadores da sua conta. Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.

Os tópicos a seguir detalham as tarefas de gerenciamento associadas a chaves de acesso.

Permissões necessárias para gerenciar chaves de acesso

nota

iam:TagUser é uma permissão opcional para adicionar e editar descrições da chave de acesso. Para ter mais informações, consulte Etiquetar usuários do IAM.

Para criar chaves de acesso para seu próprio usuário do IAM, você deve ter as permissões na seguinte política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Para atualizar chaves de acesso para seu próprio usuário do IAM, é necessário ter as permissões da política a seguir:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Gerenciar chaves de acesso (console)

Você pode usar o AWS Management Console para gerenciar as chaves de acesso de um usuário do IAM.

Para criar, modificar ou excluir suas próprias chaves de acesso (console)

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

   nota

   Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

2. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione Security credentials (Credenciais de segurança).

   

Execute um destes procedimentos:

Para criar uma chave de acesso

1. Na seção Chaves de acesso, escolha Criar chave de acesso. Caso você já tenha duas chaves de acesso, este botão ficará desativado, e você deverá excluir uma chave de acesso antes de criar uma nova.

2. Na página Access key best practices and alternatives (Práticas recomendadas e alternativas da chave de acesso), escolha seu caso de uso para saber mais sobre outras opções que ajudam a evitar a criação de uma chave de acesso de longo prazo. Se você determinar que seu caso de uso ainda requer uma chave de acesso, escolha Other (Outro) e escolha Next (Avançar).

3. (Opcional) Defina um valor de etiqueta de descrição para a chave de acesso. Essa ação adiciona um par de chave-valor de etiqueta ao usuário do IAM. Isso pode ajudar a identificar e a atualizar as chaves de acesso posteriormente. A chave da etiqueta é definida como o ID da chave de acesso. O valor da etiqueta é definido com a descrição da chave de acesso que você especifica. Quando terminar, escolha Create access key (Criar chave de acesso).

4. Na página Retrieve access keys (Recuperar chaves de acesso), escolha Show (Exibir) para revelar o valor da chave de acesso secreta do usuário ou Download .csv file (Baixar o arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Depois de salvar a chave de acesso secreta em um local seguro, escolha Done (Concluído).

Para desativar uma chave de acesso

• Na seção Access keys (Chaves de acesso), localize a chave que você deseja desativar, escolha Actions (Ações) e escolha Deactivate (Desativar). Quando a confirmação for solicitada, escolha Deactivate (Desativar). A chave de acesso desativada ainda conta para o limite de duas chaves de acesso.

Para ativar uma chave de acesso

• Na seção Access keys (Chaves de acesso), localize a chave que deseja ativar, escolha Actions (Ações) e escolha Activate (Ativar).

Para excluir uma chave de acesso quando não precisar mais dela

• Na seção Access keys (Chaves de acesso), localize a chave que deseja excluir, escolha Actions (Ações) e escolha Delete (Excluir). Siga as instruções na caixa de diálogo para primeiro Deactivate (Desativar) e depois confirme a exclusão. Recomendamos verificar se a chave de acesso não está mais em uso antes de excluí-la permanentemente.

Para criar, modificar ou excluir as chaves de acesso de outro usuário do IAM (console)

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Usuários.

3. Escolha o nome do usuário cujas chaves de acesso você deseja gerenciar e a guia Security credentials (Credenciais de segurança).

4. Na seção Access Keys (Chaves de acesso), execute uma das seguintes ações:

   • Para criar uma chave de acesso, selecione Criar chave de acesso. Se esse botão estiver desativado, você deverá excluir uma das chaves de acesso existentes antes de criar outra. Na página Access key best practices and alternatives (Práticas recomendadas e alternativas de chaves de acesso), analise as práticas recomendadas e alternativas. Escolha seu caso de uso para saber mais sobre outras opções que ajudam a evitar a criação de uma chave de acesso de longo prazo. Se você determinar que seu caso de uso ainda requer uma chave de acesso, escolha Other (Outro) e escolha Next (Avançar). Na página Retrieve access keys (Recuperar chaves de acesso), escolha Show (Exibir) para revelar o valor da chave de acesso secreta do usuário. Para salvar o ID da chave de acesso e a chave de acesso secreta em um arquivo .csv em um local seguro no computador, escolha o botão Download .csv file (Baixar arquivo .csv). Quando você cria uma chave de acesso para seu usuário, o par de chaves é ativo por padrão, e você pode usar o par imediatamente.

   • Para desativar uma chave de acesso ativa, escolha Actions (Ações) e escolha Deactivate (Desativar).

   • Para ativar uma chave de acesso inativa, escolha Actions (Ações) e escolha Activate (Ativar).

   • Para excluir sua chave de acesso, escolha Actions (Ações) e escolha Delete (Excluir). Siga as instruções na caixa de diálogo para primeiro Deactivate (Desativar) e depois confirme a exclusão. A AWS recomenda que, antes de fazer isso, você primeiro desative a chave e teste se não está mais em uso. Ao usar o AWS Management Console, você deve desativar a chave antes de excluí-la.

Para listar as chaves de acesso de um usuário do IAM (console)

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Usuários.

3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança. Na seção Access keys (Chaves de acesso), você deverá ver as chaves de acesso do usuário e o status de cada chave de acesso.

   nota

   Somente o ID de chave de acesso do usuário é visível. A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Para listar os IDs das chave de acesso de vários usuários do IAM (console)

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Usuários.

3. Se necessário, adicione a coluna Access key ID à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações ( ).

   2. Em Gerenciar colunas, selecione ID de chave de acesso.

   3. Escolha Fechar para retornar à lista de usuários.

4. A coluna Access key ID (ID de chave de acesso) exibe cada ID de chave de acesso, seguido por seu estado; por exemplo, 23478207027842073230762374023 (Ativo) ou 22093740239670237024843420327 (Inativo).

   Você pode usar essas informações para visualizar e copiar as chaves de acesso para os usuários com uma ou duas chaves de acesso. A coluna exibe Nenhum para usuários sem chaves de acesso.

   nota

   Somente o ID de chave de acesso do usuário e o status são visíveis. A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Para encontrar qual usuário do IAM tem uma determinada chave de acesso (console)

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Usuários.

3. Na caixa de pesquisa, digite ou cole o ID de chave de acesso do usuário que você deseja encontrar.

4. Se necessário, adicione a coluna Access key ID à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações ( ).

   2. Em Gerenciar colunas, selecione ID de chave de acesso.

   3. Selecione Fechar para retornar à lista de usuários e confirmar que o usuário filtrado tem a chave de acesso.

Gerenciar chaves de acesso (AWS CLI)

Para gerenciar as chaves de acesso de um usuário do IAM da AWS CLI, execute os comandos a seguir.

• Para criar uma chave de acesso: aws iam create-access-key

• Para ativar ou desativar uma chave de acesso: aws iam update-access-key

• Para listar as chaves de acesso de um usuário: aws iam list-access-keys

• Para determinar quando uma chave de acesso foi usada recentemente: aws iam get-access-key-last-used

• Para excluir uma chave de acesso: aws iam delete-access-key

Gerenciar chaves de acesso (API da AWS)

Para gerenciar as chaves de acesso de um usuário do IAM da API da AWS, chame as operações a seguir.

• Para criar uma chave de acesso: CreateAccessKey

• Para ativar ou desativar uma chave de acesso: UpdateAccessKey

• Para listar as chaves de acesso de um usuário: ListAccessKeys

• Para determinar quando uma chave de acesso foi usada recentemente: GetAccessKeyLastUsed

• Para excluir uma chave de acesso: DeleteAccessKey

Atualização de chaves de acesso

Como melhor prática de segurança, sugerimos atualizar as chaves de acesso do usuário do IAM quando necessário, por exemplo, quando um funcionário sair da sua empresa. Os usuários do IAM poderão atualizar suas próprias chaves de acesso se tiverem recebido as permissões necessárias.

Para obter detalhes sobre a concessão de permissões aos usuários do IAM para atualizar suas próprias chaves de acesso, consulte AWS: permite que os usuários do IAM gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página Credenciais de segurança. Você também pode aplicar uma política de senha à sua conta para exigir que todos os seus usuários do IAM atualizem suas senhas periodicamente e definir a frequência com a qual eles devem fazer isso. Para ter mais informações, consulte Definição de uma política de senhas de contas para usuários do IAM.

Tópicos

• Atualização das chaves de acesso do usuário do IAM (console)
• Atualização das chaves de acesso (AWS CLI)
• Atualização de chaves de acesso (API da AWS)

Atualização das chaves de acesso do usuário do IAM (console)

É possível atualizar as chaves de acesso via AWS Management Console.

Para atualizar as chaves de acesso de um usuário do IAM sem interromper suas aplicações (console)

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso.

   1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

   2. No painel de navegação, escolha Usuários.

   3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança.

   4. Na seção Chaves de acesso, escolha Criar chave de acesso. Na página Access key best practices & alternatives (Práticas recomendadas e alternativas da chave de acesso), escolha Other (Outro) e escolha Next (Avançar).

   5. (Opcional) Defina um valor de etiqueta de descrição para a chave de acesso para adicionar um par chave-valor de etiqueta a esse usuário do IAM. Isso pode ajudar a identificar e a atualizar as chaves de acesso posteriormente. A chave da etiqueta é definida como o ID da chave de acesso. O valor da etiqueta é definido com a descrição da chave de acesso que você especifica. Quando terminar, escolha Create access key (Criar chave de acesso).

   6. Na página Retrieve access keys (Recuperar chaves de acesso), escolha Show (Exibir) para revelar o valor da chave de acesso secreta do usuário ou Download .csv file (Baixar o arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Depois de salvar a chave de acesso secreta em um local seguro, escolha Done (Concluído).

      Quando você cria uma chave de acesso para seu usuário, o par de chaves é ativo por padrão, e você pode usar o par imediatamente. Neste momento, o usuário terá duas chaves de acesso ativas.

2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

3. Determine se a primeira chave de acesso ainda está em uso, analisando a informação Last used (Usado pela última vez) da chave de acesso mais antiga. Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

4. Mesmo se a informação Last used (Usada pela última vez) indicar que a chave antiga nunca foi usada, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, escolha Actions (Ações) e escolha Deactivate (Desativar) para desativar a primeira chave de acesso.

5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, você poderá reativar a primeira chave de acesso. Em seguida, retorne a Passo 3 e atualize esse aplicativo para usar a nova chave.

6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso:

   1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

   2. No painel de navegação, escolha Usuários.

   3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança.

   4. Na seção Access keys (Chaves de acesso) da chave de acesso que deseja excluir, escolha Actions (Ações) e escolha Delete (Excluir). Siga as instruções na caixa de diálogo para primeiro Deactivate (Desativar) e depois confirme a exclusão.

Para determinar quais chaves de acesso precisam ser atualizadas ou excluídas (console)

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Usuários.

3. Se necessário, adicione a coluna Idade da chave de acesso à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações ( ).

   2. Em Gerenciar colunas, selecione Idade da chave de acesso.

   3. Escolha Fechar para retornar à lista de usuários.

4. A coluna Idade da chave de acesso mostra o número de dias desde que a chave de acesso ativa mais antiga foi criada. É possível usar essas informações para encontrar usuários com chaves de acesso que precisem ser atualizadas ou excluídas. A coluna exibe Nenhum para usuários sem chaves de acesso.

Atualização das chaves de acesso (AWS CLI)

É possível atualizar as chaves de acesso via AWS Command Line Interface.

Para atualizar chaves de acesso sem interromper suas aplicações (AWS CLI)

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Execute o seguinte comando:

   • aws iam create-access-key

     Neste momento, o usuário terá duas chaves de acesso ativas.

2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

3. Determinar se a primeira chave de acesso ainda está em uso por meio deste comando:

   • aws iam get-access-key-last-used

   Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

4. Mesmo se etapa Passo 3 indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para Inactive usando este comando:

   • aws iam update-access-key

5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para Active para reativar a primeira chave de acesso. Em seguida, retorne à etapa Passo 2 e atualize esse aplicativo para usar a nova chave.

6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso com este comando:

   • aws iam delete-access-key

Atualização de chaves de acesso (API da AWS)

É possível atualizar chaves de acesso usando a API da AWS.

Para atualizar chaves de acesso sem interromper suas aplicações (API da AWS)

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Chame a seguinte operação:

   • CreateAccessKey

     Neste momento, o usuário terá duas chaves de acesso ativas.

2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

3. Determinar se a primeira chave de acesso ainda está em uso chamando esta operação:

   • GetAccessKeyLastUsed

   Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

4. Mesmo se etapa Passo 3 indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para Inactive chamando esta operação:

   • UpdateAccessKey

5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para Active para reativar a primeira chave de acesso. Em seguida, retorne à etapa Passo 2 e atualize esse aplicativo para usar a nova chave.

6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso chamando esta operação:

   • DeleteAccessKey

Proteção de chaves de acesso

Qualquer pessoa que tem suas chaves de acesso possui o mesmo nível de acesso a seus recursos da AWS que você tiver. Consequentemente, a AWS executa vários procedimentos para proteger suas chaves de acesso e, de acordo com o nosso modelo de responsabilidade compartilhada, você deve fazer o mesmo.

Expanda as seções a seguir para obter orientação sobre como proteger suas chaves de acesso.

nota

Sua organização pode ter requisitos e políticas de segurança diferentes dos descritos neste tópico. As sugestões fornecidas aqui devem ser usadas como diretrizes gerais.

Remova (ou não gere) as chaves de acesso de Usuário raiz da conta da AWS

Uma das melhores maneiras de proteger a sua conta é não ter chaves de acesso para seu Usuário raiz da conta da AWS. A não ser que você tenha que ter chaves de acesso do usuário raiz (algo que é raro), é melhor não criá-las. Em vez disso, crie um usuário administrativo AWS IAM Identity Center para as tarefas administrativas diárias. Para obter informações sobre como criar um usuário administrativo no Centro de Identidade do IAM, consulte Introdução no Guia do usuário do Centro de Identidade do IAM.

Se você já tiver uma chave de acesso para o usuário raiz, recomendamos o seguinte: encontre lugares em suas aplicações onde você usa chaves de acesso (se houver) e substitua a chave de acesso do usuário raiz por chaves de acesso de usuário do IAM. Em seguida, desabilite e remova as chaves de acesso do usuário raiz. Para obter mais informações sobre como atualizar as chaves de acesso, consulte Atualização de chaves de acesso

Usar credenciais de segurança temporárias (perfis do IAM) em vez de chaves de acesso de longo prazo

Em muitos casos, você não precisa de chaves de acesso de longo prazo que nunca expiram (como há no caso de um usuário do IAM). Em vez disso, você pode criar perfis do IAM e gerar credenciais de segurança temporárias. As credenciais de segurança temporárias consistem em um ID da chave de acesso e uma chave de acesso secreta, mas elas também incluem um token de segurança que indica quando as credenciais expiram.

As chaves de acesso de longo prazo, como aquelas associadas a contas de usuários do IAM e ao usuário raiz, permanecem válidas até serem revogadas manualmente. No entanto, as credenciais de segurança temporárias obtidas por meio de perfis do IAM e outros recursos do AWS Security Token Service expiram após um curto período. Use credenciais de segurança temporárias para ajudar a reduzir os riscos em caso de credenciais que sejam expostas acidentalmente.

Use um perfil do IAM e credenciais de segurança temporárias nestes cenários:

• Você tem uma aplicação ou scripts da AWS CLI em execução em uma instância do Amazon EC2. Não use chaves de acesso diretamente em sua aplicação. Não passe uma chave de acesso para a aplicação, não incorpore-a na aplicação nem deixe que a aplicação leia chaves de acesso de nenhuma fonte. Em vez disso, defina um perfil do IAM que tenha as permissões apropriadas para sua aplicação e execute a instância do Amazon Elastic Compute Cloud (Amazon EC2) com perfis para o EC2. Fazer isso associará um perfil do IAM à instância do Amazon EC2. Essa prática também permite que a aplicação obtenha credenciais de segurança temporárias que ela pode, por sua vez, usar para fazer chamadas programáticas para a AWS. Os SDKs da AWS e a AWS Command Line Interface (AWS CLI) podem obter credenciais temporárias do perfil automaticamente.

• Você precisa conceder acesso entre contas. Use um perfil do IAM para estabelecer confiança entre contas e, em seguida, conceda aos usuários em uma conta permissões limitadas para acessar a conta confiável. Para ter mais informações, consulte Tutorial do IAM: Delegar acesso entre contas da AWS usando funções do IAM.

• Você tem um aplicativo móvel. Não integre chaves de acesso à aplicação, mesmo em armazenamento criptografado. Em vez disso, use o Amazon Cognito para gerenciar a identidade do usuário na sua aplicação. Esse serviço permite autenticar os usuários usando login com o Amazon, Facebook, Google ou qualquer provedor de identidade compatível com o OpenID Connect (OIDC). Em seguida, é possível usar o provedor de credenciais do Amazon Cognito para gerenciar credenciais que sua aplicação use para fazer solicitações à AWS.

• Você deseja centralizar-se na AWS e sua organização tem suporte para SAML 2.0. Se você trabalha para uma organização que tenha um provedor de identidade compatível com o SAML 2.0, configure o provedor para usar o SAML. É possível usar o SAML para trocar informações de autenticação com a AWS e obter novamente um conjunto de credenciais de segurança temporárias. Para ter mais informações, consulte Federação SAML 2.0.

• Você deseja se federar na AWS e sua organização tem um armazenamento de identidades on-premises. Se os usuários podem autenticar dentro da sua organização, você poderá escrever um aplicativo que emite a eles credenciais de segurança temporárias para acesso a recursos da AWS. Para ter mais informações, consulte Habilitar o acesso do agente de identidades personalizado ao console da AWS.

nota

Você está usando uma instância do Amazon EC2 com uma aplicação que precisa de acesso programático a recursos da AWS? Se sim, use perfis do IAM para EC2.

Gerenciar chaves de acesso de usuário do IAM corretamente

Se for necessário criar chaves de acesso para acesso programático à AWS, crie-as para usuários do IAM, concedendo aos usuários somente as permissões necessárias.

Observe estas precauções para ajudar a proteger as chaves de acesso de usuários do IAM:

• Não incorpore chaves de acesso diretamente no código. Os SDKs da AWS e as Ferramentas da linha de comando da AWS permitem colocar chaves de acesso em pontos conhecidos para que você não precise mantê-las no código.

  Coloque chaves de acesso em um dos seguintes locais:

  • O arquivo de credenciais da AWS. Os SDKs da AWS e a AWS CLI usam automaticamente as credenciais que você armazena no arquivo de credenciais da AWS.

    Para obter informações sobre como usar o arquivo de credenciais da AWS, consulte a documentação do SDK. Os exemplos incluem Configurar credenciais e região da AWS no Guia do desenvolvedor do AWS SDK for Java e Arquivos de configuração e credenciais no Guia do usuário da AWS Command Line Interface.

    Para armazenar credenciais para o AWS SDK for .NET e o AWS Tools for Windows PowerShell, recomendamos que você use a SDK Store. Para obter mais informações, consulte Utilização da SDK Store no Guia do desenvolvedor do AWS SDK for .NET.

  • Variáveis de ambiente. Em um sistema multicliente, escolha as variáveis de ambiente do usuário, não as variáveis de ambiente do sistema.

    Para obter mais informações sobre o uso de variáveis de ambiente para armazenar credenciais, consulte Variáveis de ambiente no Guia do usuário da AWS Command Line Interface.

• Use chaves de acesso diferentes para aplicativos diferentes. Faça isso para que seja possível isolar as permissões e revogar as chaves de acesso para aplicações específicas caso elas sejam expostas. Ter chaves de acesso separadas para diferentes aplicativos também gera entradas distintas em arquivos de log do AWS CloudTrail. Essa configuração facilita a determinação de qual aplicativo executou ações específicas.

• Atualize as chaves de acesso quando necessário. Se houver risco de comprometimento da chave de acesso, atualize a chave de acesso e exclua a chave de acesso anterior. Para obter detalhes, consulte Atualização de chaves de acesso

• Remover chaves de acesso não utilizadas. Se um usuário sair da sua organização, remova o usuário do IAM correspondente para que ele não possa mais acessar seus recursos. Para saber quando uma chave de acesso foi usada pela última vez, use a API GetAccessKeyLastUsed (comando da AWS CLI: aws iam get-access-key-last-used).

• Use credenciais temporárias e configure a autenticação multifator para suas operações de API mais confidenciais. Com as políticas do IAM, você pode especificar quais operações de API um usuário tem permissão para chamar. Em alguns casos, talvez você deseje obter segurança adicional para exigir que os usuários sejam autenticados com a MFA da AWS antes que eles tenham permissão para executar ações particularmente confidenciais. Por exemplo, você pode ter uma política que permita que um usuário execute as ações RunInstances, DescribeInstances e StopInstances do Amazon EC2. Mas você pode restringir uma ação destrutiva, tal como TerminateInstances e garantir que os usuários possam executar essa ação apenas se eles autenticarem com um dispositivo MFA da AWS. Para ter mais informações, consulte Configuração de acesso à API protegido por MFA.

Acessar o aplicativo móvel usando chaves de acesso da AWS

Você pode acessar um conjunto limitado de serviços e recursos da AWS usando o aplicativo móvel AWS. O aplicativo móvel ajuda a oferecer suporte à resposta a incidentes em trânsito. Para obter mais informações e fazer download do aplicativo, consulte Aplicativo móvel do console da AWS.

Você pode fazer login no aplicativo móvel usando sua senha do console ou suas chaves de acesso. Como prática recomendada, não use chaves de acesso de usuário raiz. Em vez disso, recomendamos enfaticamente que, além de utilizar uma senha ou um acesso biométrico no seu dispositivo móvel, criar um usuário do IAM especificamente para gerenciar os recursos da AWS usando a aplicação móvel. Caso você perca dispositivo móvel, poderá remover o acesso do usuário do IAM.

Para fazer login usando chaves de acesso (aplicativo móvel)

1. Abra o aplicativo no dispositivo móvel.

2. Se esta for a primeira vez que você adiciona uma identidade ao dispositivo, escolha Add an identity (Adicionar uma identidade) e selecione Access keys (Chaves de acesso).

   Se você já fez login usando outra identidade, escolha o ícone de menu e selecione Switch identity (Alternar identidade). Depois escolha Sign in as a different identity (Fazer login como uma identidade diferente) e Access keys (Chaves de acesso).

3. Na página Access keys (Chaves de acesso), insira suas informações:

   • ID da chave de acesso: insira o ID da sua chave de acesso.

   • Chave de acesso secreta: insira sua chave de acesso secreta.

   • Nome da identidade: insira o nome da identidade que aparecerá na aplicação móvel. Ele não precisa ser igual ao seu nome de usuário do IAM.

   • PIN de identidade: crie um número de identificação pessoal (PIN) que você usará para futuros logins.

     nota

     Se habilitar a biometria para o aplicativo móvel da AWS, você será solicitado a usar sua impressão digital ou o reconhecimento facial para verificação em vez do PIN. Se a biometria falhar, você poderá ser solicitado a fornecer o PIN.

4. Escolha Verify and add keys (Verificar e adicionar chaves).

   Agora você pode acessar um conjunto selecionado dos seus recursos usando o aplicativo móvel.

Informações relacionadas

Os tópicos a seguir fornecem diretrizes para a configuração dos SDKs da AWS e da AWS CLI para o uso das chaves de acesso.

• Defina as credenciais e a região da AWS no Guia do desenvolvedor do AWS SDK for Java

• Utilização da SDK Store no Guia do desenvolvedor do AWS SDK for .NET

• Fornecimento de credenciais para o SDK no Guia do desenvolvedor do AWS SDK for PHP

• Configuração na documentação do Boto 3 (SDK da AWS para Python)

• Uso de credenciais da AWS no Guia do usuário do AWS Tools for Windows PowerShell

• Arquivos de configuração e credenciais no Guia do usuário da AWS Command Line Interface

• Concessão de acesso usando um perfil do IAM no Guia do desenvolvedor do AWS SDK for .NET

• Configuração de perfis do IAM para o Amazon EC2 no AWS SDK for Java 2.x

Fazer auditoria de chaves de acesso

Você pode revisar as chaves de acesso da AWS em seu código para determinar se as chaves são de uma conta que você possui. Você pode transmitir um ID da chave de acesso usando o comando aws sts get-access-key-info da AWS CLI ou a operação de API GetAccessKeyInfo da AWS.

As operações de API da AWS e da AWS CLI retornam o ID da Conta da AWS à qual a chave de acesso pertence. Os IDs de chave de acesso que começam com AKIA são credenciais de longo prazo para um usuário do IAM ou um Usuário raiz da conta da AWS. Os IDs de chave de acesso que começam com ASIA são credenciais temporárias que são criadas usando operações do AWS STS. Se a conta na resposta pertencer a você, você poderá fazer login como usuário raiz e revisar suas chaves de acesso de usuário raiz. Em seguida, você pode obter um relatório de credenciais para saber qual usuário do IAM é o proprietário das chaves. Para saber quem solicitou as credenciais temporárias para uma chave de acesso ASIA, visualize os eventos do AWS STS nos logs do CloudTrail.

Por motivos de segurança, você pode revisar logs do AWS CloudTrail para saber quem executou uma ação na AWS. Você pode usar a chave de condição sts:SourceIdentity na política de confiança da função para exigir que os usuários especifiquem uma identidade quando assumirem uma função. Por exemplo, você pode exigir que os usuários do IAM especifiquem seu próprio nome de usuário como a identidade-fonte. Isso pode ajudar você a determinar qual usuário executou uma ação específica na AWS. Para ter mais informações, consulte sts:SourceIdentity.

Essa operação não indica o estado da chave de acesso. A chave pode estar ativa, inativa ou excluída. As chaves ativas podem não ter permissões para executar uma operação. Fornecer uma chave de acesso excluída pode retornar um erro informando que a chave não existe.