Definir uma política de senhas de contas para usuários do IAM - AWS Identity and Access Management

Definir uma política de senhas de contas para usuários do IAM

Você pode definir uma política de senhas em sua conta da AWS para especificar os requisitos de complexidade e períodos de alternância obrigatórios para as senhas dos usuários do IAM. Se você não definir uma política de senha personalizada, as senhas de usuário IAM deverão atender à política de senha AWS padrão. Para obter mais informações, consulte Opções de políticas de senha personalizadas.

Regras para definir uma política de senha

A política de senha IAM não se aplica à senha Usuário raiz da Conta da AWS ou às chaves de acesso do usuário IAM. Se uma senha expirar, o usuário IAM não poderá fazer login no AWS Management Console, mas poderá continuar a usar as chaves de acesso.

Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. No entanto, algumas das configurações serão aplicadas imediatamente. Por exemplo:

  • Quando os requisitos de tamanho mínimo e o tipo de caracteres forem alterados, as configurações serão aplicadas na próxima vez que os usuários mudarem suas senhas. Os usuários não serão forçados a mudar suas senhas existentes, mesmo se as senhas existentes não estiverem em conformidade com a política de senhas atualizada.

  • Quando você definir um período de expiração de senha, ele será aplicado imediatamente. Por exemplo, suponhamos que você defina um período de expiração de senha de 90 dias. Nesse caso, a senha expira para todos os usuários IAM cuja senha existente tiver sido configurada há mais de 90 dias. Esses usuários são obrigados a alterar sua senha na próxima vez que fizerem login.

Você não pode criar uma “política de bloqueio” para bloquear um usuário fora da conta após um número especificado de tentativas de login com falha. Para maior segurança, recomendamos que você combine uma política de senha forte com a autenticação multifator (MFA). Para obter mais informações sobre MFA, consulte Usar autenticação multifator (MFA) na AWS.

Permissões necessárias para definir uma política de senha

Você deve configurar permissões para permitir que uma IAM entidade (usuário ou função) visualize ou edite a política de senha da conta. Você pode incluir as seguintes ações de política de senha em uma política IAM:

  • iam:GetAccountPasswordPolicy – Permite que a entidade visualize a política de senha para a conta

  • iam:DeleteAccountPasswordPolicy – Permite que a entidade exclua a política de senha personalizada para a conta e reverta para a política de senha padrão

  • iam:UpdateAccountPasswordPolicy – Permite que a entidade crie ou altere a política de senha personalizada para a conta

A política a seguir permite acesso total para visualizar e editar a política de senha da conta. Para saber mais sobre como criar uma política IAM usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }

Para obter informações sobre as permissões necessárias para um usuário IAM alterar sua própria senha, consulte Permitir que os usuários do IAM alterem as próprias senhas.

Política de senha padrão

Se um administrador não definir uma política de senha personalizada, as senhas de usuário IAM devem atender à política de AWS senha padrão. A política de senha padrão impõe as seguintes condições:

  • Tamanho mínimo da senha é 8 caracteres e o máximo 128 caracteres.

  • incluir no mínimo três dos seguintes tipos de caracteres: maiúscula, minúscula, números e os símbolos ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Não ser idêntico ao nome ou endereço de e-mail da sua conta da AWS

Opções de políticas de senha personalizadas

Ao configurar uma política de senha personalizada para sua conta, você pode especificar as seguintes condições:

  • Comprimento mínimo da senha – Especifique um mínimo de 6 caracteres e um máximo de 128 caracteres.

  • Potência da senha – Selecione qualquer uma das seguintes opções para definir a potência de suas senhas de IAM usuário:

    • Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z)

    • Exigir pelo menos uma letra minúscula do alfabeto latino (a–z)

    • Exigir pelo menos um número

    • Exigir pelo menos um caractere não alfanumérico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Ativar expiração de senha – Você pode selecionar e especificar um mínimo de 1 e um máximo de 1.095 dias para que as senhas de IAM usuário sejam válidas após serem definidas. Por exemplo, após 90 dias a senha de um usuário expira e ele deverá definir uma nova senha antes de acessar o AWS Management Console. O AWS Management Console avisará os usuários do IAM quando faltarem 15 dias para a expiração da senha. Os usuários do IAM podem alterar a senha a qualquer momento, desde que tenham recebido permissão para isso. Ao definir uma nova senha, o período de expiração para ela será reiniciado. Um usuário do IAM só pode ter uma senha válida por vez.

  • A expiração da senha requer redefinição do administrador – Selecione esta opção para impedir que os usuários do IAM atualizem suas próprias senhas depois que elas expirarem. Antes de selecionar essa opção, verifique se a conta AWS tem mais de um usuário com permissões administrativas para redefinir senhas do usuário IAM. Considere também fornecer chaves de acesso para permitir que os administradores redefinam as senhas do usuário IAM programaticamente. Se você desmarcar esta caixa de seleção, os usuários do IAM com senhas expiradas ainda deverão definir uma nova senha para que possam acessar o AWS Management Console.

  • Permita que usuários mudem as senhas – Você pode permitir que todos os usuários do IAM na sua conta usem o console do IAM para alterar suas próprias senhas, conforme descrito em Permitir que os usuários do IAM alterem as próprias senhas. Você pode também permitir que apenas alguns usuários gerenciem senhas, seja para eles mesmos ou para outros. Para fazer isso, desmarque esta caixa de seleção. Para obter mais informações sobre o uso de políticas para limitar quem pode gerenciar senhas, consulte Permitir que os usuários do IAM alterem as próprias senhas.

  • Evite a reutilização de senhas –Você pode evitar que os usuários do IAM reutilizem um número específico de senhas anteriores. Você pode especificar um número mínimo de 1 e um número máximo de 24 senhas anteriores que não podem ser repetidas.

Definir uma política de senhas (console)

Você pode usar o AWS Management Console para criar, alterar ou excluir uma política de senha.

Para criar uma política de senha personalizada (console)

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Account settings (Configurações da conta).

  3. Na seção Política de senha, escolha Change password policy (Alterar política de senha).

  4. Selecione as opções que você deseja aplicar à política de senha e escolha Save changes (Salvar alterações).

Para alterar uma política de senha personalizada (console)

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Account settings (Configurações da conta).

  3. Na seção Password policy (Política de senha), escolha Change (Alterar).

  4. Selecione as opções que você deseja aplicar à política de senha e escolha Save changes (Salvar alterações).

Para excluir uma política de senhas (console)

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Account settings (Configurações da conta).

  3. Na seção Password policy (Política de senha), escolha Delete (Excluir).

  4. Confirme se deseja excluir a política de senha personalizada escolhendo Delete custom (Excluir personalizado).

Definir uma política de senha (AWS CLI)

Você pode usar o AWS Command Line Interface para definir uma política de senha.

Para gerenciar a política de senha de conta personalizada a no AWS CLI

Execute os seguintes comandos:

Definir uma política de senha (API da AWS)

Você pode usar operações de AWS API para definir uma política de senha.

Para gerenciar a política de senha de conta personalizada na AWS API

Chame as seguintes operações: