Usuários do IAM - AWS Identity and Access Management

Usuários do IAM

Um usuário do AWS Identity and Access Management (IAM) é uma entidade que você cria na AWS para representar a pessoa ou a aplicação que o utilizará para interagir com a AWS. Um usuário na AWS consiste em um nome e credenciais.

Um usuário do IAM com permissões de administrador não é o mesmo que um usuário raiz da Conta da AWS. Para obter mais informações sobre o usuário raiz, consulte AWSUsuário raiz de conta da .

Importante

Se você encontrou esta página porque está procurando informações sobre a Product Advertising API para vender produtos da Amazon em seu site, consulte a Documentação da Product Advertising API 5.0.

Como a AWS identifica um usuário do IAM

Quando você cria um usuário, o IAM cria as seguintes maneiras de identificar esse usuário:

  • Um "nome amigável" para o usuário, que é o nome que você especificou ao criar o usuário, tal como Richard ou Anaya. Esses são os nomes que você vê no AWS Management Console.

  • Um nome de recurso da Amazon (ARN) para o usuário. Você usa o ARN quando precisa identificar exclusivamente o usuário em toda a AWS. Por exemplo, você pode usar um ARN para especificar o usuário como um Principal em uma política do IAM para um bucket do Amazon S3. Um ARN para um usuário do IAM pode se parecer com o seguinte:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Um identificador exclusivo para o usuário. Esse ID é retornado somente quando você usa a API, o Tools for Windows PowerShell ou a AWS CLI para criar o usuário; você não vê esse ID no console.

Para obter mais informações sobre esses identificadores, consulte Identificadores do IAM.

Usuários e credenciais

Você pode acessar a AWS de diferentes formas dependendo das credenciais do usuário:

  • Senha do console: Uma senha que o usuário pode digitar para fazer login em sessões interativas, tal como o AWS Management Console. Desabilitar a senha (acesso ao console) de um usuário impede que ele faça login no AWS Management Console usando o seu próprio nome de usuário e senha. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida.

  • Chaves de acesso: Uma combinação de um ID de chave de acesso e uma chave de acesso secreta. Você pode atribuir duas para um usuário por vez. Elas podem ser usadas para fazer chamadas programáticas à AWS. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell, da API da AWS ou do AWS Console Mobile Application.

  • Chaves SSH para uso com CodeCommit: uma chave SSH pública no formato OpenSSH que pode ser usada para autenticação com CodeCommit.

  • Certificados de servidor: Certificados SSL/TLS que você pode usar para autenticar com alguns serviços da AWS. Recomendamos que você use o AWS Certificate Manager (ACM) para provisionar, gerenciar e implantar seus certificados de servidor. Use o IAM apenas quando precisar oferecer suporte a conexões HTTPS em uma região que não seja compatível com o ACM. Para saber quais regiões oferecem suporte ao ACM, consulte Endpoints e cotas do AWS Certificate Manager na Referência geral da AWS.

Você pode escolher as credenciais certas para o seu usuário do IAM. Quando você usa o AWS Management Console para criar um usuário, é necessário, pelo menos, incluir uma senha ou chaves de acesso para o console. Por padrão, um novo usuário do IAM criado usando a AWS CLI ou a API da AWS não tem nenhum tipo de credencial. Você deve criar o tipo de credencial para um usuário do IAM com base na necessidade dele.

Aproveite as seguintes opções para administrar senhas, chaves de acesso e dispositivos MFA:

  • Gerenciar senhas para seus usuários do IAM. Crie e altere as senhas que permitem acesso ao AWS Management Console. Definir uma política de senha para impor uma complexidade mínima para a senha. Permitir que os usuários troquem suas próprias senhas.

  • Gerenciar chaves de acesso para seus usuários do IAM. Criar e atualizar as chaves de acesso para acesso programático aos recursos na sua conta.

  • Você pode aumentar a segurança das credenciais do usuário ao habilitar a autenticação multifator (MFA) para o usuário. Com a MFA, os usuários devem fornecer duas formas de identificação: primeiro, eles fornecem as credenciais que fazem parte de sua identidade de usuário (uma senha ou uma chave de acesso). Além disso, eles fornecem um código numérico temporário que é gerado em um dispositivo de hardware ou por uma aplicação em um smartphone ou tablet.

  • Localizar senhas e chaves de acesso não utilizadas. Qualquer pessoa que tenha uma senha ou chaves de acesso da sua conta ou de um usuário do IAM em sua conta terá acesso aos seus recursos da AWS. As melhores práticas de segurança são remover senhas e chaves de acesso quando os usuários não precisam mais delas.

  • Fazer download de um relatório de credenciais para sua conta. Você pode gerar e baixar um relatório de credenciais que lista todos os usuários do IAM em sua conta e o status de diversas credenciais deles, incluindo senhas, chaves de acesso e dispositivos com MFA. Em caso de senhas e chaves de acesso, o relatório de credenciais mostra quando uma senha ou chave de acesso foi usada recentemente.

Usuários e permissões

Por padrão, um novo usuário do IAM não tem permissões para fazer nada. O usuário não está autorizado a executar nenhuma operação da AWS ou a acessar qualquer recurso da AWS. Uma vantagem de ter usuários do IAM individuais é que você pode atribuir permissões individualmente para cada usuário. Você pode atribuir permissões administrativas para alguns usuários que, por sua vez, podem administrar seus recursos da AWS e até mesmo criar e gerenciar outros usuários do IAM. Na maioria dos casos, entretanto, você deseja limitar as permissões de um usuário apenas às tarefas (ações ou operações da AWS) e aos recursos necessários para o trabalho.

Imagine um usuário chamado Diego. Ao criar o usuário do IAM Diego, você pode criar uma senha para esse usuário. Você também pode anexar permissões ao usuário do IAM que permitam que ele inicie uma instância específica do Amazon EC2 e leia (GET) informações de uma tabela em um banco de dados do Amazon RDS. Para os procedimentos sobre como criar usuários e conceder as credenciais e permissões iniciais, consulte Criar um usuário do IAM na sua conta da AWS. Para obter os procedimentos sobre como alterar as permissões para usuários existentes, consulte Alteração de permissões de um usuário do IAM. Para obter os procedimentos sobre como alterar a senha ou chaves de acesso do usuário, consulte Gerenciar senhas de usuários na AWS e Gerenciamento de chaves de acesso de usuários do IAM.

Você também pode adicionar um limite de permissões para seus usuários. Um limite de permissões é um recurso avançado que permite usar políticas gerenciadas da AWS para limitar as permissões máximas que uma política com base em identidade pode conceder a um usuário ou a uma função. Para obter mais informações sobre os tipos e os usos de políticas, consulte Políticas e permissões no IAM.

Usuários e contas

Cada usuário do IAM está associado a uma única conta da AWS. Como os usuários são definidos em sua conta da AWS, eles não precisam ter um método de pagamento em arquivo com a AWS. Qualquer atividade da AWS executada por usuários em sua conta é cobrada em sua conta.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para mais informações, consulte IAM e cotas, requisitos de nome e limites de caracteres do AWS STS.

Usuários como contas de serviço

Um usuário do IAM é um recurso no IAM que tem credenciais e permissões associadas. Um usuário do IAM pode representar uma pessoa ou uma aplicação que usa credenciais para fazer solicitações da AWS. Isso é geralmente chamado de conta de serviço. Se você optar por usar as credenciais de longo prazo de um usuário do IAM em sua aplicação, não incorpore chaves de acesso diretamente no código da aplicação. Os SDKs da AWS a AWS Command Line Interface permitem que você coloque as chaves de acesso em locais conhecidos, para que não seja necessário mantê-las em código. Para obter mais informações, consulte Gerenciar chaves de acesso do usuário do IAM de maneira adequada na Referência geral da AWS. Como alternativa, e como uma prática recomendada, você pode usar credenciais de segurança temporárias (funções do IAM), em vez de chaves de acesso de longo prazo.