Definição de uma política de senhas de contas para usuários do IAM - AWS Identity and Access Management

Definição de uma política de senhas de contas para usuários do IAM

Você pode definir uma política de senha personalizada em sua conta da AWS para especificar requisitos de complexidade e períodos de rotação obrigatórios para suas senhas de usuários do IAM. Se você não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha da AWS padrão. Para obter mais informações, consulte Opções de políticas de senha personalizadas.

Regras para definir uma política de senha

A política de senha do IAM não se aplica à senha do usuário raiz da Conta da AWS ou às chaves de acesso do usuário do IAM. Se uma senha expirar, o usuário do IAM não poderá fazer login no AWS Management Console, mas poderá continuar a usar as chaves de acesso.

Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. No entanto, algumas das configurações serão aplicadas imediatamente. Por exemplo:

  • Quando os requisitos de tamanho mínimo e o tipo de caracteres forem alterados, as configurações serão aplicadas na próxima vez que os usuários mudarem suas senhas. Os usuários não serão forçados a mudar suas senhas existentes, mesmo se as senhas existentes não estiverem em conformidade com a política de senhas atualizada.

  • Quando você definir um período de expiração de senha, ele será aplicado imediatamente. Por exemplo, suponhamos que você defina um período de expiração de senha de 90 dias. Nesse caso, a senha expira para todos os usuários do IAM cuja senha existente tenha sido configurada há mais de 90 dias. Esses usuários são obrigados a alterar sua senha na próxima vez que fizerem login.

Você não pode criar uma “política de bloqueio” para bloquear um usuário fora da conta após um número especificado de tentativas de login com falha. Para maior segurança, recomendamos que você combine uma política de senha forte com a autenticação multifator (MFA). Para obter mais informações sobre MFA, consulte Uso de autenticação multifator (MFA) na AWS.

Permissões necessárias para definir uma política de senha

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM visualize ou edite a política de senha da conta. Você pode incluir as seguintes ações de política de senha em uma política do IAM:

  • iam:GetAccountPasswordPolicy: permite que a entidade visualize a política de senha para a conta

  • iam:DeleteAccountPasswordPolicy: permite que a entidade exclua a política de senha personalizada para a conta e reverta para a política de senha padrão

  • iam:UpdateAccountPasswordPolicy: permite que a entidade crie ou altere a política de senha personalizada para a conta

A política a seguir permite acesso total para visualizar e editar a política de senha da conta. Para saber mais sobre como criar uma política do IAM usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }

Para obter informações sobre as permissões necessárias para um usuário do IAM alterar sua própria senha, consulte Permitir que os usuários do IAM alterem as próprias senhas.

Política de senha padrão

Se um administrador não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha padrão da AWS. A política de senha padrão impõe as seguintes condições:

  • Tamanho mínimo da senha é 8 caracteres e o máximo 128 caracteres.

  • incluir no mínimo três dos seguintes tipos de caracteres: maiúscula, minúscula, números e os símbolos ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Não ser idêntico ao nome ou endereço de e-mail da sua conta da AWS

Opções de políticas de senha personalizadas

Ao configurar uma política de senha personalizada para sua conta, você pode especificar as seguintes condições:

  • Password minimum length (Comprimento mínimo da senha): especifique um mínimo de seis caracteres e um máximo de 128 caracteres.

  • Password strength (Nível de segurança da senha): selecione qualquer uma das seguintes opções para definir o nível de segurança de suas senhas de usuário do IAM:

    • Require at least one uppercase letter from Latin alphabet (A–Z) (Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z))

    • Require at least one lowercase letter from Latin alphabet (a–z) (Exigir pelo menos uma letra minúscula do alfabeto latino (a–z))

    • Exigir pelo menos um número

    • Exigir pelo menos um caractere não alfanumérico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Enable password expiration (Habilitar expiração de senha): você pode selecionar e especificar no mínimo 1 e no máximo 1.095 dias para que as senhas de usuário do IAM permaneçam válidas após serem definidas. Por exemplo, se você especificar uma validade de 90 dias, isso afetará imediatamente todos os seus usuários. Após a mudança, os usuários que têm senhas com mais de 90 dias precisam definir uma nova senha ao acessar o console. Usuários com senhas de 75 a 89 dias recebem um aviso do AWS Management Console sobre a validade da senha. Os usuários do IAM podem alterar a senha a qualquer momento, desde que tenham recebido permissão para isso. Ao definir uma nova senha, o período de expiração para ela será reiniciado. Um usuário do IAM só pode ter uma senha válida por vez.

  • Password expiration requires administrator reset (A expiração da senha requer redefinição do administrador): selecione esta opção para impedir que os usuários do IAM atualizem suas próprias senhas depois que elas expirarem. Antes de selecionar esta opção, confirme se sua conta da AWS tem mais de um usuário com permissões administrativas para redefinir as senhas de usuário do IAM. Considere também fornecer chaves de acesso para permitir que os administradores redefinam as senhas de usuário do IAM de forma programática. Se você desmarcar esta caixa de seleção, os usuários do IAM com senhas expiradas ainda deverão definir uma nova senha para que possam acessar o AWS Management Console.

  • Allow users to change their own password (Permitir que os usuários alterem suas próprias senhas): você pode permitir que todos os usuários do IAM na sua conta usem o console do IAM para alterar suas próprias senhas, conforme descrito em Permitir que os usuários do IAM alterem as próprias senhas. Você pode também permitir que apenas alguns usuários gerenciem senhas, seja para eles mesmos ou para outros. Para fazer isso, desmarque esta caixa de seleção. Para obter mais informações sobre o uso de políticas para limitar quem pode gerenciar senhas, consulte Permitir que os usuários do IAM alterem as próprias senhas.

  • Prevent password reuse (Impedir a reutilização de senha): você pode impedir que os usuários do IAM reutilizem um número específico de senhas anteriores. Você pode especificar um número mínimo de 1 e um número máximo de 24 senhas anteriores que não podem ser repetidas.

Definir uma política de senhas (console)

Você pode usar o AWS Management Console para criar, alterar ou excluir uma política de senha.

Para criar uma política de senha personalizada (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Account settings (Configurações da conta).

  3. Na seção Política de senha, escolha Change password policy (Alterar política de senha).

  4. Selecione as opções que você deseja aplicar à política de senha e escolha Save changes (Salvar alterações).

Para alterar uma política de senha personalizada (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Account settings (Configurações da conta).

  3. Na seção Password policy (Política de senha), escolha Change (Alterar).

  4. Selecione as opções que você deseja aplicar à política de senha e escolha Save changes (Salvar alterações).

Para excluir uma política de senhas (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Account settings (Configurações da conta).

  3. Na seção Password policy (Política de senha), escolha Delete (Excluir).

  4. Confirme se deseja excluir a política de senha personalizada escolhendo Delete custom (Excluir personalizado).

Definir uma política de senha (AWS CLI)

Você pode usar o AWS Command Line Interface para definir uma política de senha.

Para gerenciar a política de senha de conta personalizada a no AWS CLI

Execute os seguintes comandos:

Definir uma política de senha (API da AWS)

Você pode usar operações de AWS API para definir uma política de senha.

Para gerenciar a política de senha de conta personalizada na AWS API

Chame as seguintes operações: