Gerenciamento de perfis do IAM
Para que um usuário, uma aplicação ou um serviço possa usar um perfil que você criou, você deverá conceder permissões para alternar para esse perfil. É possível usar qualquer política anexada a grupos ou usuários para conceder as permissões necessárias. Esta seção descreve como conceder aos usuários permissão para usar uma função. Ela também explica como o usuário pode alternar para uma função no AWS Management Console, no Tools for Windows PowerShell, no AWS Command Line Interface (AWS CLI) e na API AssumeRole
.
Importante
Ao criar uma função de forma programática, em vez de no console do IAM, você tem a opção de adicionar um Path
de até 512 caracteres além do RoleName
, que pode ter até 64 caracteres. No entanto, se você pretende usar uma função com o recurso Switch Role (Alternar função) no AWS Management Console, o Path
e o RoleName
combinados não podem exceder 64 caracteres.
Tópicos
- Visualizar acesso à função
- Gerar uma política com base em informações de acesso
- Conceder permissões a um usuário para alternar perfis
- Conceda permissões a um usuário para passar um perfil para um serviço da AWS
- Revogar as credenciais de segurança temporárias do perfil do IAM
- Atualizar um perfil vinculado ao serviço
- Atualizar a política de confiança de um perfil
- Atualizar permissões para um perfil
- Atualizar as configurações de um perfil
- Excluir perfis ou perfis de instância
Visualizar acesso à função
Antes de alterar as permissões de uma função, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando informações do último acesso.
Gerar uma política com base em informações de acesso
Às vezes, você pode conceder permissões a uma entidade do IAM (usuário ou função) além do que é exigido. Para ajudar você a refinar as permissões concedidas, você pode gerar uma política do IAM baseada na atividade de acesso para uma entidade. O IAM Access Analyzer revisa seus logs do AWS CloudTrail e gera um modelo de política que contém as permissões que foram usadas pela entidade no intervalo de datas especificado. Você pode usar o modelo para criar uma política gerenciada com permissões refinadas e anexá-la à entidade do IAM. Dessa forma, você concede apenas as permissões de que o usuário ou a função precisa para interagir com os recursos da AWS para seu caso de uso específico. Para saber mais, consulte Geração de políticas do IAM Access Analyzer.