Definir uma política de senhas de contas para usuários do IAM - AWS Identity and Access Management

Definir uma política de senhas de contas para usuários do IAM

Você pode definir uma política de senha personalizada em sua Conta da AWS para especificar requisitos de complexidade e períodos de alternância obrigatórios para suas senhas de usuários do IAM. Se você não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha da AWS padrão. Para ter mais informações, consulte Opções de políticas de senha personalizadas.

Regras para definir uma política de senha

A política de senha do IAM não se aplica à senha do Usuário raiz da conta da AWS ou às chaves de acesso do usuário do IAM. Se uma senha expirar, o usuário do IAM não poderá fazer login no AWS Management Console, mas poderá continuar a usar as chaves de acesso.

Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. No entanto, algumas das configurações serão aplicadas imediatamente. Por exemplo:

  • Quando os requisitos de tamanho mínimo e o tipo de caracteres forem alterados, as configurações serão aplicadas na próxima vez que os usuários mudarem suas senhas. Os usuários não serão forçados a mudar suas senhas existentes, mesmo se as senhas existentes não estiverem em conformidade com a política de senhas atualizada.

  • Quando você definir um período de expiração de senha, ele será aplicado imediatamente. Por exemplo, suponhamos que você defina um período de expiração de senha de 90 dias. Nesse caso, a senha expira para todos os usuários do IAM cuja senha existente tenha sido configurada há mais de 90 dias. Esses usuários são obrigados a alterar sua senha na próxima vez que fizerem login.

Você não pode criar uma “política de bloqueio” para bloquear um usuário fora da conta após um número especificado de tentativas de login com falha. Para maior segurança, recomendamos que você combine uma política de senha forte com a autenticação multifator (MFA). Para obter mais informações sobre MFA, consulte Código da autenticação multifator no IAM da AWS.

Permissões necessárias para definir uma política de senha

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM visualize ou edite a política de senha da conta. Você pode incluir as seguintes ações de política de senha em uma política do IAM:

  • iam:GetAccountPasswordPolicy: permite que a entidade visualize a política de senha para a conta

  • iam:DeleteAccountPasswordPolicy: permite que a entidade exclua a política de senha personalizada para a conta e reverta para a política de senha padrão

  • iam:UpdateAccountPasswordPolicy: permite que a entidade crie ou altere a política de senha personalizada para a conta

A política a seguir permite acesso total para visualizar e editar a política de senha da conta. Para saber mais sobre como criar uma política do IAM usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }

Para obter informações sobre as permissões necessárias para um usuário do IAM alterar sua própria senha, consulte Permitir que os usuários do IAM alterem as próprias senhas.

Política de senha padrão

Se um administrador não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha padrão da AWS.

A política de senha padrão impõe as seguintes condições:

  • Tamanho mínimo da senha é 8 caracteres e o máximo 128 caracteres.

  • No mínimo três dos seguintes tipos de caracteres: maiúsculas, minúsculas, números e caracteres não alfanuméricos (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • Não ser idêntico ao nome ou endereço de e-mail da sua Conta da AWS

  • A senha nunca expira

Opções de políticas de senha personalizadas

Ao configurar uma política de senha personalizada para sua conta, você pode especificar as seguintes condições:

  • Password minimum length (Comprimento mínimo da senha): especifique um mínimo de seis caracteres e um máximo de 128 caracteres.

  • Password strength (Nível de segurança da senha): selecione qualquer uma das seguintes opções para definir o nível de segurança de suas senhas de usuário do IAM:

    • Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z)

    • Exigir pelo menos uma letra minúscula do alfabeto latino (a–z)

    • Exigir pelo menos um número

    • Exigir pelo menos um caractere não alfanumérico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Turn on password expiration (Ativar expiração de senha): você pode selecionar e especificar no mínimo um e no máximo 1.095 dias para que as senhas de usuário do IAM permaneçam válidas após serem definidas. Por exemplo, se você especificar uma validade de 90 dias, isso afetará imediatamente todos os seus usuários. Após a mudança, os usuários que têm senhas com mais de 90 dias precisam definir uma nova senha ao acessar o console. Usuários com senhas de 75 a 89 dias recebem um aviso do AWS Management Console sobre a validade da senha. Os usuários do IAM podem alterar a senha a qualquer momento, desde que tenham recebido permissão para isso. Ao definir uma nova senha, o período de expiração para ela será reiniciado. Um usuário do IAM só pode ter uma senha válida por vez.

  • Password expiration requires administrator reset (A expiração da senha requer redefinição do administrador): selecione esta opção para impedir que os usuários do IAM usem o AWS Management Console para atualizar suas próprias senhas depois que elas expirarem. Antes de selecionar esta opção, confirme se a sua Conta da AWS tem mais de um usuário com permissões administrativas para redefinir as senhas de usuário do IAM. Administradores com a permissão iam:UpdateLoginProfile podem redefinir senhas de usuário do IAM. Usuários do IAM com permissões iam:ChangePassword e chaves de acesso ativas podem redefinir sua própria senha do console do usuário do IAM programaticamente. Se você desmarcar esta caixa de seleção, os usuários do IAM com senhas expiradas ainda deverão definir uma nova senha para que possam acessar o AWS Management Console.

  • Allow users to change their own password (Permitir que os usuários alterem suas próprias senhas): você pode permitir que todos os usuários do IAM na conta alterem suas próprias senhas. Isso dá aos usuários acesso à ação iam:ChangePassword somente para seu usuário e à ação iam:GetAccountPasswordPolicy. Essa opção não anexa uma política de permissões a cada usuário. Em vez disso, o IAM aplica as permissões no nível da conta a todos os usuários. Ou então, você pode permitir que apenas alguns usuários gerenciem suas próprias senhas. Para fazer isso, desmarque esta caixa de seleção. Para obter mais informações sobre o uso de políticas para limitar quem pode gerenciar senhas, consulte Permitir que os usuários do IAM alterem as próprias senhas.

  • Prevent password reuse (Impedir a reutilização de senha): você pode impedir que os usuários do IAM reutilizem um número específico de senhas anteriores. Você pode especificar um número mínimo de 1 e um número máximo de 24 senhas anteriores que não podem ser repetidas.

Definir uma política de senhas (console)

Você pode usar o AWS Management Console para criar, alterar ou excluir uma política de senha.

Para criar uma política de senha personalizada (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Configurações da conta.

  3. Na seção Password policy (Política de senha), escolha Edit (Editar).

  4. Escolha Custom (Personalizada) para usar uma política de senha personalizada.

  5. Selecione as opções que você deseja aplicar à política de senha e escolha Save changes (Salvar alterações).

  6. Confirme se deseja definir uma política de senha personalizada escolhendo Set custom (Definir personalizada).

Para alterar uma política de senha personalizada (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Configurações da conta.

  3. Na seção Password policy (Política de senha), escolha Edit (Editar).

  4. Selecione as opções que você deseja aplicar à política de senha e escolha Save changes (Salvar alterações).

  5. Confirme se deseja definir uma política de senha personalizada escolhendo Set custom (Definir personalizada).

Para excluir uma política de senhas personalizada (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Configurações da conta.

  3. Na seção Password policy (Política de senha), escolha Edit (Editar).

  4. Escolha IAM default (Padrão do IAM) para excluir a política de senha personalizada e escolha Save changes (Salvar alterações).

  5. Confirme se deseja definir a política de senha padrão do IAM escolhendo Set default (Definir padrão).

Definir uma política de senha (AWS CLI)

Você pode usar o AWS Command Line Interface para definir uma política de senha.

Para gerenciar a política de senha de conta personalizada a no AWS CLI

Execute os seguintes comandos:

Definir uma política de senha (API da AWS)

Você pode usar operações de AWS API para definir uma política de senha.

Para gerenciar a política de senha de conta personalizada na AWS API

Chame as seguintes operações: