Alterar permissões de um usuário do IAM - AWS Identity and Access Management

Alterar permissões de um usuário do IAM

Você pode alterar as permissões de um usuário do IAM em sua conta da AWS alterando suas associações a grupos, copiando permissões de um usuário existente, anexando políticas diretamente a um usuário ou definindo um limite de permissões. Um limite de permissões controla o número máximo de permissões que um usuário pode ter. Os limites de permissões são um recurso avançado da AWS.

Para obter informações sobre as permissões que você precisa para modificar as permissões de um usuário, consulte Permissões necessárias para acessar os recursos do IAM.

Visualizar o acesso do usuário

Antes de alterar as permissões de um usuário, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando as informações acessadas por último.

Gerar uma política com base na atividade de acesso de um usuário

Às vezes, você pode conceder mais permissões a uma entidade do IAM (usuário ou função) do que ela necessita. Para ajudar a refinar as permissões concedidas, você pode gerar uma política do IAM com base na atividade de acesso de uma entidade. O IAM Access Analyzer analisa seus logs de AWS CloudTrail e gera um modelo de política que contém as permissões usadas pela entidade no intervalo de datas especificado. Você pode usar o modelo para criar uma política gerenciada com permissões refinadas e anexá-la à entidade do IAM. Dessa forma, você concede apenas as permissões que o usuário ou função precisa para interagir com os recursos do AWS para seu caso de uso específico. Para saber mais, consulte Gerar políticas com base na atividade de acesso.

Adicionar permissões a um usuário (console)

O IAM oferece três formas para adicionar políticas de permissões a um usuário:

  • Adicionar usuário ao grupo – Torne o usuário um membro de um grupo. As políticas do grupo são anexadas ao usuário.

  • Copiar permissões de um usuário existente – copiar todas as associações a grupos, as políticas gerenciadas anexadas, as políticas em linha e todos os limites de permissões existentes do usuário de origem.

  • Anexar políticas diretamente ao usuário – Anexe uma política gerenciada diretamente ao usuário. Como melhor prática, recomendamos que você anexe suas políticas a um grupo e, em seguida, torne os usuários membros dos grupos apropriados.

Importante

Se o usuário tiver um limite de permissões, você não poderá adicionar mais permissões a um usuário além das permitidas pelo limite de permissões.

Adicionar permissões incluindo o usuário em um grupo

A adição de usuário a um grupo afeta o usuário imediatamente.

Para adicionar permissões a um usuário incluindo-o em um grupo

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Analise as associações a grupos atuais para os usuários na coluna Grupos do console. Se necessário, adicione a coluna à tabela de usuários concluindo as etapas a seguir:

    1. Acima da tabela, no canto direito, selecione o símbolo de configurações ( 
                    Settings icon
                  ).

    2. Na caixa de diálogo Gerenciar colunas, selecione a coluna Grupos. Você também pode desmarcar a caixa de seleção para qualquer cabeçalhos de coluna que você não deseje exibir na tabela de usuários.

    3. Escolha Fechar para retornar à lista de usuários.

    A coluna Grupos mostra os grupos aos quais o usuário pertence. A coluna inclui os nomes de até dois grupos. Se o usuário for membro de três ou mais grupos, os primeiros dois grupos serão mostrados (classificados alfabeticamente) e o número de associações a grupos adicionais será incluído. Por exemplo, se o usuário pertencer aos grupos A, B, C e D, o campo conterá o valor Grupo A, grupo B+2. Para ver o número total de grupos aos quais o usuário pertence, você pode adicionar a coluna Contagem de grupos à tabela de usuários.

  4. Escolha o nome do usuário cujas permissões você deseja modificar.

  5. Selecione a guia Permissões e escolha Adicionar permissões. Escolha Add user to group.

  6. Marque a caixa de seleção de cada grupo no qual você deseja que o usuário ingresse. A lista mostra o nome de cada grupo e as políticas que o usuário receberá se tornar membro desse grupo.

  7. (Opcional) Além de selecionar a partir de grupos existentes, você pode escolher Criar grupo para definir um novo grupo:

    1. Na guia Novo, em Nome do grupo, digite um nome para o novo grupo.

      nota

      O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte IAM e AWS STS cotas. Os nomes de grupos podem ser uma combinação de até 128 letras, números e estes caracteres: adição (+), igual (=), vírgula (,), ponto (.), arroba (@) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois grupos denominados TESTGROUP e testgroup.

    2. Marque uma ou mais caixas de seleção para as políticas gerenciadas que você deseja anexar ao grupo. Você também pode criar uma nova política gerenciada escolhendo Criar política. Se fizer isso, volte para esta guia ou janela do navegador quando a nova política for concluída; escolha Atualizar e, em seguida, escolha a nova política para anexá-la ao grupo. Para obter mais informações, consulte Criar políticas do IAM.

    3. Escolha Criar grupo.

    4. Retorne à guia original e atualize a lista de grupos. Em seguida, marque a caixa de seleção do novo grupo.

  8. Escolha Próximo: Análise para ver uma lista de associações a grupos a serem adicionadas ao usuário. Em seguida, selecione Adicionar permissões.

Adicionar permissões copiando outro usuário

A cópia de permissões afeta o usuário imediatamente.

Para adicionar permissões a um usuário copiando permissões de outro usuário

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Usuários no painel de navegação, selecione o nome do usuário cujas permissões deseja modificar e escolha a guia Permissões.

  3. Escolha Adicionar permissões e, em seguida, escolha Copiar permissões de um usuário existente. A lista exibe os usuários disponíveis junto com suas associações a grupos e políticas anexadas. Se a lista completa de grupos ou políticas não couber em uma única linha, você poderá escolher o link para e n mais. Ao fazer isso, uma nova guia do navegador será aberta exibindo a lista completa de políticas (guia Permissões) e grupos (guia Grupos).

  4. Selecione o botão ao lado do usuário cujas permissões você deseja copiar.

  5. Escolha Próximo: Análise para ver uma lista de alterações a serem feitas para o usuário. Em seguida, selecione Adicionar permissões.

Adicionar permissões anexando políticas diretamente ao usuário

A anexação de políticas afeta o usuário imediatamente.

Para adicionar permissões a um usuário anexando diretamente políticas gerenciadas

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Usuários no painel de navegação, selecione o nome do usuário cujas permissões deseja modificar e escolha a guia Permissões.

  3. Escolha Adicionar permissões e escolha Anexar políticas existentes diretamente ao usuário.

  4. Marque uma ou mais caixas de seleção para as políticas gerenciadas que você deseja anexar ao usuário. Você também pode criar uma nova política gerenciada escolhendo Criar política. Se fizer isso, volte para esta guia ou janela do navegador quando a nova política for concluída. Escolha Atualizar e marque a caixa de seleção da nova política para anexá-la ao usuário. Para obter mais informações, consulte Criar políticas do IAM.

  5. Escolha Próximo: Análise para ver a lista de políticas a serem anexadas ao usuário. Em seguida, selecione Adicionar permissões.

Definir o limite de permissões de um usuário

A definição de um limite de permissões afeta o usuário imediatamente.

Para definir o limite de permissões para um usuário

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja alterar.

  4. Escolha a guia Permissions. Se necessário, abra a seção Limite de permissões e, em seguida, escolha Definir limite.

  5. Selecione a política que você deseja usar para o limite de permissões.

  6. Escolha Definir limite.

Alterar as permissões de um usuário (console)

O IAM permite que você altere as permissões associadas a um usuário das seguintes maneiras:

  • Editar uma política de permissões – editar uma política em linha de um usuário, a política em linha do grupo do usuário ou editar uma política gerenciada anexada ao usuário diretamente ou a partir de um grupo. Se o usuário tiver um limite de permissões, você não poderá fornecer mais permissões além das permitidas pela política usada como o limite de permissões do usuário.

  • Alterar o limite de permissões – alterar a política usada como o limite de permissões para o usuário. Isso pode expandir ou restringir o número máximo de permissões que um usuário pode ter.

Editar uma política de permissões anexada a um usuário

A alteração de permissões afeta o usuário imediatamente.

Para editar as políticas gerenciadas anexadas a um usuário

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cuja política de permissões você deseja alterar.

  4. Escolha a guia Permissions. Se necessário, abra a seção Políticas de permissões.

  5. Escolha o nome da política que deseja editar para visualizar os detalhes da política. Escolha a guia Usada como para visualizar outras entidades que poderão ser afetadas se você editar a política.

  6. Escolha a guia Permissões e revise as permissões concedidas pela política. Em seguida, escolha Editar política.

  7. Edite a política usando a guia Visual editor ou a guia JSON e resolva quaisquer recomendações da validação de políticas. Para obter mais informações, consulte Editar políticas do IAM.

  8. Escolha Revisar política, revise o resumo da política e escolha Salvar alterações.

Alterar o limite de permissões de um usuário

A alteração de um limite de permissões afeta o usuário imediatamente.

Para alterar a política usada para definir o limite de permissões para um usuário

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja alterar.

  4. Escolha a guia Permissions. Se necessário, abra a seção Limite de permissões e, em seguida, escolha Alterar limite.

  5. Selecione a política que você deseja usar para o limite de permissões.

  6. Escolha Alterar limite.

Remover uma política de permissões de um usuário (console)

A remoção de uma política afeta o usuário imediatamente.

Para revogar permissões para usuários do IAM

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja remover.

  4. Escolha a guia Permissions.

  5. Se você deseja revogar permissões removendo uma política existente, visualize o tipo de política para entender como o usuário está recebendo essa política antes de escolher X para removê-la:

    • Se a política for aplicável devido à associação ao grupo, escolher X removerá o usuário do grupo. Lembre-se de que você pode ter várias políticas anexadas a um único grupo. Se você remover um usuário de um grupo, ele perderá o acesso a todas as políticas que recebeu por meio dessa associação ao grupo.

    • Se for uma política gerenciada anexada diretamente ao usuário, selecionar X desanexará a política do usuário. Isso não afetará a política em si nem qualquer outra entidade à qual política esteja anexada.

    • Se for uma política incorporada em linha, selecionar X removerá a política do IAM. As políticas em linha anexadas diretamente a um usuário existem somente para esse usuário.

Remover o limite de permissões de um usuário (console)

A remoção de um limite de permissões afeta o usuário imediatamente.

Para remover o limite de permissões de um usuário

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja remover.

  4. Escolha a guia Permissions. Se necessário, abra a seção Limite de permissões e, em seguida, escolha Remover limite.

  5. Escolha Remover para confirmar que você deseja remover o limite de permissões.

Adicionar e remover as permissões de um usuário (AWS CLI ou API da AWS)

Para adicionar ou remover permissões de forma programática, você deve adicionar ou remover as associações a grupos, anexar ou desanexar as políticas gerenciadas ou adicionar ou excluir as políticas em linha. Para obter mais informações, consulte os tópicos a seguir: