Definição de uma política de senhas de contas para usuários do IAM - AWS Identity and Access Management

Definição de uma política de senhas de contas para usuários do IAM

Você pode definir uma política de senhas em sua conta da AWS para especificar os requisitos de complexidade e períodos de rotação obrigatórios para as senhas de seus usuários do IAM.

Você pode usar uma política de senha para fazer estas coisas:

  • Defina um tamanho mínimo de senha.

  • Exija tipos de caractere específicos, inclusive maiúsculas, minúsculas, números e caracteres não alfanuméricos. Lembre os usuários de que as senhas diferenciam maiúsculas de minúsculas.

  • Permita que todos os usuários do IAM alterem as próprias senhas.

    nota

    Quando você permitir que os usuários do IAM alterem suas próprias senhas, o IAM automaticamente permite que eles visualizem a política de senhas. Os usuários do IAM precisam de permissão para visualizar a política de senhas da conta para criar uma senha em conformidade com a política.

  • Exija que os usuários do IAM alterem a senha após um período especificado (permitir expiração de senha).

  • Impeça que os usuários do IAM reutilizem senhas anteriores.

  • Force usuários do IAM a entrar em contato com um administrador de conta quando o usuário tiver deixado a senha expirar.

Importante

As configurações de senha descritas aqui se aplicam somente a senhas atribuídas a usuários do IAM e não afetarão as chaves de acesso que possam ter. Se uma senha expirar, o usuário não poderá fazer login no Console de gerenciamento da AWS. No entanto, se o usuário tiver chaves de acesso válidas, ele ainda poderá executar qualquer comando da AWS CLI ou do Tools para Windows PowerShell. Os usuários também podem chamar qualquer operação de API por meio de um aplicativo compatível com as permissões do usuário.

Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. No entanto, algumas das configurações serão aplicadas imediatamente. Por exemplo:

  • Quando você definir os requisitos de tamanho mínimo e tipo de caracteres, as configurações serão aplicadas na próxima vez que os usuários mudarem suas senhas. Os usuários não serão forçados a mudar suas senhas existentes, mesmo se as senhas existentes não estiverem em conformidade com a política de senhas atualizada.

  • Quando você definir um período de expiração de senha, ele será aplicado imediatamente. Por exemplo, suponhamos que você defina um período de expiração de senha de 90 dias. Neste caso, todos os usuários do IAM que tiverem uma senha existente com mais de 90 dias precisarão alterar a senha no próximo login.

Para obter informações sobre as permissões de que você precisa para definir uma política de senhas, consulte Permitir que usuário do IAM alterem as próprias senhas.

A política do IAM não se aplica à senha do usuário da conta raiz da AWS.

As opções disponíveis atualmente não permitem criar o que normalmente é chamado de "política de bloqueio". Essa política bloqueará um usuário da conta depois de um determinado número de tentativas de login com falha. Para obter esse tipo de segurança aprimorada, recomendamos que você combine políticas de senha com autenticação multifator (MFA). Para obter mais informações sobre MFA, consulte Uso de autenticação multifator (MFA) na AWS.

Opções de política de senha

A lista a seguir descreve as opções que estão disponíveis quando você configura uma política de senhas para sua conta.

Tamanho mínimo da senha

Você pode especificar o número mínimo de caracteres permitidos em uma senha do usuário do IAM. Você pode digitar qualquer número de 6 a 128.

Exigir pelo menos uma letra maiúscula

Você pode exigir que as senhas de usuários do IAM contenham pelo menos um caractere maiúsculo do alfabeto latino básico ISO (A a Z).

Exigir pelo menos uma letra minúscula

Você pode exigir que as senhas de usuários do IAM contenham pelo menos um caractere minúsculo do alfabeto latino básico ISO (a a z).

Exigir pelo menos um número

Você pode exigir que as senhas de usuários do IAM contenham pelo menos um caractere numérico (0 a 9).

Exigir pelo menos um caractere não alfanumérico

Você pode exigir que as senhas de usuários do IAM contenham pelo menos um dos seguintes caracteres não alfanuméricos:

! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

Permitir que os usuários alterem a própria senha

Você pode permitir que todos os usuários do IAM na sua conta usem o console do IAM para alterar suas próprias senhas, conforme descrito em Permitir que usuário do IAM alterem as próprias senhas.

Como alternativa, você pode permitir que apenas alguns usuários gerenciem senhas, seja para eles mesmos ou para outros. Para fazer isso, desmarque a caixa de seleção Permitir que os usuários alterem a própria senha. Para obter mais informações sobre o uso de políticas para limitar quem pode gerenciar senhas, consulte Permitir que usuário do IAM alterem as próprias senhas.

nota

Quando você permitir que os usuários do IAM alterem suas próprias senhas, o IAM automaticamente permite que eles visualizem a política de senhas. Os usuários do IAM precisam de permissão para visualizar a política de senhas da conta para criar uma senha em conformidade com a política.

Ativar a expiração de senhas

Você pode definir senhas de usuários do IAM para serem válidas apenas pelo número de dias especificado. Você especifica o número de dias que as senhas permanecem válidas depois de serem definidas. Por exemplo, quando você ativa a expiração de senhas e define o período de expiração como 90 dias, um usuário do IAM pode usar uma senha por até 90 dias. Após 90 dias, a senha expira, e o usuário do IAM precisa definir uma nova senha antes de acessar o Console de gerenciamento da AWS. Você pode escolher um período de expiração de senha 1 a 1095 dias.

nota

O Console de gerenciamento da AWS avisa os usuários do IAM quando faltam 15 dias para a expiração da senha. Os usuários do IAM podem alterar a senha a qualquer momento (desde que tenham recebido permissão para fazê-lo). Ao definir uma nova senha, o período de rotação para ela é reiniciado. Um usuário do IAM só pode ter uma senha válida por vez.

Impedir a reutilização de senhas

Você pode evitar que os usuários do IAM reutilizem um número específico de senhas anteriores. Você pode definir o número de senhas anteriores de 1 a 24.

A expiração de senhas requer a redefinição do administrador

Você pode impedir que os usuários do IAM escolham uma nova senha após a expiração da senha atual. Por exemplo, uma política de senha pode especificar um período de expiração de senha. Caso um usuário do IAM não escolha uma nova senha antes do período de expiração, esse usuário do IAM não conseguirá definir uma nova senha. Nesse caso, o usuário do IAM deve solicitar uma redefinição de senha a partir de uma conta de administrador para recuperar o acesso ao Console de gerenciamento da AWS. Você também pode deixar essa caixa de seleção desmarcada. Se deixar a senha expirar, um usuário do IAM nesse cenário precisará definir uma nova senha para acessar o Console de gerenciamento da AWS.

Atenção

Antes de habilitar essa opção, verifique se a conta da AWS tem mais de um usuário com permissões administrativas (ou seja, permissão para redefinir senhas de usuário do IAM). Ou você pode garantir que os administradores também tenham chaves de acesso que os permita usar a AWS CLI ou o Tools para Windows PowerShell separadamente do Console de gerenciamento da AWS. Quando essa opção estiver habilitada e uma senha do administrador expirar, um segundo administrador precisará fazer login no console para redefinir a senha expirada do primeiro administrador. No entanto, se o administrador com a senha expirada tiver chaves de acesso válidas, ele poderá executar um comando da AWS CLI ou do Tools para Windows PowerShell. Esses comandos podem redefinir a senha do administrador. O requisito de um segundo administrador se aplicará somente se uma senha expirar e o primeiro administrador não tiver chaves de acesso.

Definição de uma política de senhas (Console)

Você pode usar o Console de gerenciamento da AWS para criar, alterar ou excluir uma política de senha. Como parte do gerenciamento da política de senhas, você pode permitir que todos os usuários gerenciem suas próprias senhas.

Para criar ou alterar uma política de senhas (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, clique em Configurações da conta.

  3. Na seção Política de senhas, selecione as opções que deseja aplicar à sua política de senhas.

  4. Clique em Aplicar política de senhas.

Para excluir uma política de senhas

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, clique em Configurações da conta e, em seguida, na seção Política de senhas, clique em Excluir política de senhas.

Definição de uma política de senhas (AWS CLI)

Para gerenciar uma política de senhas de contas na AWS CLI, execute os seguintes comandos:

Definição de uma política de senhas (API da AWS)

Para gerenciar uma política de senhas de contas na API da AWS, chame as seguintes operações: