Alterar permissões de um usuário do IAM
Você pode alterar as permissões de um usuário do IAM na sua Conta da AWS alterando suas associações a grupos, copiando permissões de um usuário existente, anexando políticas diretamente a um usuário ou definindo um limite de permissões. Um limite de permissões controla o número máximo de permissões que um usuário pode ter. Os limites de permissões são um recurso avançado da AWS.
Para obter informações sobre as permissões que você precisa para modificar as permissões de um usuário, consulte Permissões necessárias para acessar recursos do IAM.
Visualizar acesso do usuário
Antes de alterar as permissões de um usuário, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando informações do último acesso.
Gerar uma política com base na atividade de acesso de um usuário
Às vezes, você pode conceder permissões a uma entidade do IAM (usuário ou função) além do que é exigido. Para ajudar você a refinar as permissões concedidas, você pode gerar uma política do IAM baseada na atividade de acesso para uma entidade. O IAM Access Analyzer revisa seus logs do AWS CloudTrail e gera um modelo de política que contém as permissões que foram usadas pela entidade no intervalo de datas especificado. Você pode usar o modelo para criar uma política gerenciada com permissões refinadas e anexá-la à entidade do IAM. Dessa forma, você concede apenas as permissões de que o usuário ou a função precisa para interagir com os recursos da AWS para seu caso de uso específico. Para saber mais, consulte Geração de políticas do IAM Access Analyzer.
Adição de permissões a um usuário (console)
O IAM oferece três formas de adicionar políticas de permissões a um usuário:
-
Adicionar o usuário do IAM a um grupo do IAM: tornar o usuário membro de um grupo. As políticas do grupo são anexadas ao usuário.
-
Copiar permissões de um usuário do IAM existente: copiar todas as associações de grupos, políticas gerenciadas anexadas, políticas em linha e quaisquer limites de permissões existentes do usuário de origem.
-
Anexar políticas diretamente ao usuário do IAM: anexar uma política gerenciada diretamente ao usuário. Para facilitar o gerenciamento das permissões, anexe suas políticas a um grupo e associe os usuários do IAM aos grupos apropriados.
Se o usuário tiver um limite de permissões, você não poderá adicionar mais permissões ao usuário do que as permitidas pelo limite de permissões.
Para adicionar permissões adicionando o usuário do IAM a um grupo
Adicionar um usuário do IAM a um grupo do IAM atualiza imediatamente as permissões do usuário com as permissões definidas para o grupo.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Na lista Usuários, escolha o nome de usuário do IAM.
-
Selecione a guia Grupos para exibir a lista de grupos que incluem o usuário atual.
-
Escolha Adicionar usuário aos grupos.
-
Marque a caixa de seleção de cada grupo no qual você deseja que o usuário ingresse. A lista mostra o nome de cada grupo e as políticas que o usuário receberá se tornar membro desse grupo.
-
(Opcional) Você pode escolher Criar grupo para definir um novo grupo. Esse recurso é útil se você quiser adicionar o usuário a um grupo com políticas de anexo diferentes das dos grupos existentes:
-
Na nova guia, em Nome do grupo de usuários, digite um nome para o novo grupo.
O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte IAM e cotas do AWS STS. Os nomes de grupos podem ser uma combinação de até 128 letras, dígitos e estes caracteres: adição (+), igual (=), vírgula (,), ponto (.), arroba (@) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois grupos denominados TESTGROUP e testgroup.
-
Marque uma ou mais caixas de seleção para as políticas gerenciadas que você deseja anexar ao grupo. Você também pode criar uma nova política gerenciada escolhendo Criar política. Se fizer isso, volte para esta guia ou janela do navegador quando a nova política for concluída; escolha Atualizar e, em seguida, escolha a nova política para anexá-la ao grupo. Para ter mais informações, consulte Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente.
-
Escolha Criar grupo de usuários.
-
Retorne à guia original e atualize a lista de grupos. Em seguida, marque a caixa de seleção do novo grupo.
-
Escolha Adicionar usuário aos grupos.
O console exibe uma mensagem de status informando que o usuário foi adicionado aos grupos que você especificou.
Para adicionar permissões copiando-as de outro usuário do IAM
Se você optar por adicionar permissões a um usuário do IAM por meio de cópia de permissões, o IAM copiará todas as associações de grupo, políticas gerenciadas anexadas, políticas em linha e quaisquer limites de permissões existentes do usuário especificado e as aplicará imediatamente ao usuário selecionado no momento.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Na lista Usuários, escolha o nome de usuário do IAM.
-
Na guia Permissões, escolha e selecione Adicionar permissões.
-
Na página Adicionar permissões, escolha Copiar permissões. A lista exibe os usuários do IAM disponíveis com sua associação aos grupos e às políticas anexadas.
-
Selecione o botão ao lado do usuário cujas permissões você deseja copiar.
-
Escolha Próximo para ver uma lista de alterações a serem feitas para o usuário. Em seguida, selecione Adicionar permissões.
O console exibe uma mensagem de status informando que as permissões foram copiadas do usuário do IAM que você especificou.
Para adicionar permissões anexando políticas diretamente ao usuário do IAM
Você pode anexar uma política gerenciada diretamente a um usuário do IAM. As permissões atualizadas são aplicadas imediatamente.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Na lista Usuários, escolha o nome de usuário do IAM.
-
Na guia Permissões, escolha e selecione Adicionar permissões.
-
Na página Adicionar permissões, escolha Anexar políticas diretamente. A lista Políticas de permissões exibe as políticas disponíveis juntamente com os tipos de política e entidades anexadas.
-
Selecione o botão de opção ao lado do nome da Política que você deseja anexar.
-
Escolha Próximo para ver uma lista de alterações a serem feitas para o usuário. Em seguida, selecione Adicionar permissões.
O console exibe uma mensagem de status informando que a política foi adicionada ao usuário do IAM especificado.
Para definir o limite de permissões de um usuário do IAM
Um limite de permissões é um atributo avançado para o gerenciamento de permissões na AWS que é usado para definir as permissões máximas que um usuário do IAM pode ter. Definir um limite de permissões restringe imediatamente as permissões do usuário do IAM ao limite, independentemente das outras permissões concedidas.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Na lista Usuários, escolha o nome do usuário do IAM cujo limite de permissões você deseja alterar.
-
Escolha a aba Permissões. Se necessário, abra a seção Limite de permissões e escolha Definir limite de permissões.
-
Na página Definir limite de permissões, em Políticas de permissões, selecione a política que você deseja usar para o limite de permissões.
-
Escolha Definir limite.
O console exibe uma mensagem de status informando que o limite de permissões foi adicionado.
Alteração das permissões de um usuário (console)
O IAM permite que você altere as permissões associadas a um usuário das seguintes maneiras:
-
Editar uma política de permissões: edite a política em linha de um usuário, a política em linha do grupo do usuário ou edite uma política gerenciada associada ao usuário diretamente ou de um grupo. Se o usuário tiver um limite de permissões, você não poderá fornecer mais permissões além das permitidas pela política usada como o limite de permissões do usuário.
-
Alterar o limite de permissões: altere a política usada como o limite de permissões para o usuário. Isso pode expandir ou restringir o número máximo de permissões que um usuário pode ter.
Editar uma política de permissões anexada a um usuário
A alteração das permissões atualiza o acesso do usuário imediatamente.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Na lista Usuários, escolha o nome do usuário do IAM cujo limite de permissões você deseja alterar.
-
Escolha a aba Permissões. Se necessário, abra a seção Limite de permissões.
-
Escolha o nome da política que deseja editar para visualizar os detalhes da política. Escolha a guia Entidades anexadas para visualizar outras entidades (usuários, grupos e perfis do IAM) que poderão ser afetadas caso edite a política.
-
Escolha a guia Permissões e revise as permissões concedidas pela política. Para fazer alterações nas permissões, escolha Editar.
-
Edite a política e resolva as recomendações de validação de política. Para ter mais informações, consulte Editar políticas do IAM.
-
Escolha Avançar, revise o resumo da política e, em seguida, selecione Salvar alterações.
O console exibe uma mensagem de status informando que a política foi atualizada.
Para alterar o limite de permissões de um usuário
A alteração de um limite de permissões atualiza o acesso do usuário imediatamente.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Na lista Usuários, escolha o nome do usuário do IAM cujo limite de permissões você deseja alterar.
-
Escolha a aba Permissões. Se necessário, abra a seção Limite de permissões e, em seguida, escolha Alterar limite.
-
Selecione a política que você deseja usar para o limite de permissões.
-
Escolha Definir limite.
O console exibe uma mensagem de status informando que o limite de permissões foi alterado.
Para remover uma política de permissões de um usuário (console)
A remoção de uma política de permissões atualiza o acesso do usuário imediatamente.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Escolha o nome do usuário cujas políticas de permissões você deseja remover.
-
Escolha a aba Permissões.
-
Se quiser remover as permissões removendo uma política existente, visualize a coluna Anexado via para entender como o usuário está obtendo essa política antes de escolher Remover para remover a política:
-
Se a política for aplicável devido à associação ao grupo, escolher Remover removerá o usuário do grupo. Lembre-se de que você pode ter várias políticas anexadas a um único grupo. Se você remover um usuário de um grupo, ele perderá o acesso a todas as políticas que recebeu por meio dessa associação ao grupo.
-
Se for uma política gerenciada anexada diretamente ao usuário, escolher Remover desanexará a política do usuário. Isso não afetará a política em si nem qualquer outra entidade à qual política esteja anexada.
-
Se a política for uma política incorporada em linha, a opção Remover removerá a política do IAM. As políticas em linha anexadas diretamente a um usuário existem somente para esse usuário.
Se a política tiver sido concedida ao usuário por meio de uma associação de grupo, o console exibirá uma mensagem de status informando que o usuário do IAM foi removido do grupo do IAM. Se a política estiver diretamente anexada ou em linha, a mensagem de status informará que a política foi removida.
Para remover o limite de permissões de um usuário (console)
A remoção do limite de permissões atualiza o acesso do usuário imediatamente.
- IAM console
-
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Users.
-
Na lista Usuários, escolha o nome do usuário do IAM cujo limite de permissões você deseja remover.
-
Escolha a aba Permissões. Se necessário, abra a seção Limite de permissões.
-
Escolha Alterar limite. Para confirmar que você deseja remover o limite de permissões, na caixa de diálogo de confirmação, escolha Remover limite.
O console exibe uma mensagem de status informando que o limite de permissões foi removido.
Adição e remoção das permissões de um usuário (AWS CLI ou API da AWS)
Para adicionar ou remover permissões de forma programática, você deve adicionar ou remover as associações a grupos, anexar ou desanexar as políticas gerenciadas ou adicionar ou excluir as políticas em linha. Para obter mais informações, consulte os tópicos a seguir.