Alteração de permissões de um usuário do IAM - AWS Identity and Access Management

Alteração de permissões de um usuário do IAM

Você pode alterar as permissões de um usuário do IAM em sua conta da AWS alterando suas associações a grupos, copiando permissões de um usuário existente, anexando políticas diretamente a um usuário ou definindo um limite de permissões. Um limite de permissões controla o número máximo de permissões que um usuário pode ter. Os limites de permissões são um recurso avançado da AWS.

Para obter informações sobre as permissões que você precisa para modificar as permissões de um usuário, consulte Permissões necessárias para acessar recursos do IAM.

Visualizar acesso do usuário

Antes de alterar as permissões de um usuário, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando as informações do último acesso.

Gerar uma política com base na atividade de acesso de um usuário

Às vezes, você pode conceder permissões a uma entidade do IAM (usuário ou função) além do que é exigido. Para ajudar você a refinar as permissões concedidas, você pode gerar uma política do IAM baseada na atividade de acesso para uma entidade. O IAM Access Analyzer revisa seus logs do AWS CloudTrail e gera um modelo de política que contém as permissões que foram usadas pela entidade no intervalo de datas especificado. Você pode usar o modelo para criar uma política gerenciada com permissões refinadas e anexá-la à entidade do IAM. Dessa forma, você concede apenas as permissões de que o usuário ou a função precisa para interagir com os recursos da AWS para seu caso de uso específico. Para saber mais, consulte Gerar políticas com base na atividade de acesso.

Adição de permissões a um usuário (console)

O IAM oferece três formas de adicionar políticas de permissões a um usuário:

  • Adicionar usuário ao grupo: torne o usuário um membro de um grupo. As políticas do grupo são anexadas ao usuário.

  • Copiar permissões de um usuário existente: copie todas as associações de grupo, políticas gerenciadas anexadas, políticas em linha e quaisquer limites de permissões existentes do usuário-fonte.

  • Anexar políticas diretamente ao usuário: anexe uma política gerenciada diretamente ao usuário. Como melhores práticas, recomendamos que você anexe suas políticas a um grupo e, em seguida, torne os usuários membros dos grupos apropriados.

Importante

Se o usuário tiver um limite de permissões, você não poderá adicionar mais permissões a um usuário além das permitidas pelo limite de permissões.

Adição de permissões incluindo o usuário em um grupo

A adição de usuário a um grupo afeta o usuário imediatamente.

Para adicionar permissões a um usuário incluindo-o em um grupo

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Analise as associações a grupos atuais para os usuários na coluna Grupos do console. Se necessário, adicione a coluna à tabela de usuários concluindo as etapas a seguir:

    1. Acima da tabela, no canto direito, selecione o símbolo de configurações ( 
                    Settings icon
                  ).

    2. Na caixa de diálogo Gerenciar colunas, selecione a coluna Grupos. Você também pode desmarcar a caixa de seleção para qualquer cabeçalhos de coluna que você não deseje exibir na tabela de usuários.

    3. Escolha Fechar para retornar à lista de usuários.

    A coluna Grupos mostra os grupos aos quais o usuário pertence. A coluna inclui os nomes de até dois grupos. Se o usuário for membro de três ou mais grupos, os primeiros dois grupos serão mostrados (classificados alfabeticamente) e o número de associações a grupos adicionais será incluído. Por exemplo, se o usuário pertencer aos grupos A, B, C e D, o campo conterá o valor Grupo A, grupo B+2. Para ver o número total de grupos aos quais o usuário pertence, você pode adicionar a coluna Contagem de grupos à tabela de usuários.

  4. Escolha o nome do usuário cujas permissões você deseja modificar.

  5. Selecione a guia Permissões e escolha Adicionar permissões. Escolha Add user to group.

  6. Marque a caixa de seleção de cada grupo no qual você deseja que o usuário ingresse. A lista mostra o nome de cada grupo e as políticas que o usuário receberá se tornar membro desse grupo.

  7. (Opcional) Além de selecionar a partir de grupos existentes, você pode escolher Criar grupo para definir um novo grupo:

    1. Na guia Novo, em Nome do grupo, digite um nome para o novo grupo.

      nota

      O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para mais informações, consulte IAM e cotas, requisitos de nome e limites de caracteres do AWS STS. Os nomes de grupos podem ser uma combinação de até 128 letras, dígitos e estes caracteres: adição (+), igual (=), vírgula (,), ponto (.), arroba (@) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois grupos denominados TESTGROUP e testgroup.

    2. Marque uma ou mais caixas de seleção para as políticas gerenciadas que você deseja anexar ao grupo. Você também pode criar uma nova política gerenciada escolhendo Criar política. Se fizer isso, volte para esta guia ou janela do navegador quando a nova política for concluída; escolha Atualizar e, em seguida, escolha a nova política para anexá-la ao grupo. Para mais informações, consulte Criação de políticas do IAM.

    3. Escolha Create group (Criar grupo).

    4. Retorne à guia original e atualize a lista de grupos. Em seguida, marque a caixa de seleção do novo grupo.

  8. Escolha Próximo: Análise para ver uma lista de associações a grupos a serem adicionadas ao usuário. Em seguida, selecione Adicionar permissões.

Adição de permissões por cópia de outro usuário

A cópia de permissões afeta o usuário imediatamente.

Para adicionar permissões a um usuário copiando permissões de outro usuário

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Usuários no painel de navegação, selecione o nome do usuário cujas permissões deseja modificar e escolha a guia Permissões.

  3. Escolha Adicionar permissões e, em seguida, escolha Copiar permissões de um usuário existente. A lista exibe os usuários disponíveis junto com suas associações a grupos e políticas anexadas. Se a lista completa de grupos ou políticas não se encaixar em uma única linha, você poderá escolher o link para e n mais. Ao fazer isso, uma nova guia do navegador será aberta exibindo a lista completa de políticas (guia Permissões) e grupos (guia Grupos).

  4. Selecione o botão ao lado do usuário cujas permissões você deseja copiar.

  5. Escolha Próximo: Análise para ver uma lista de alterações a serem feitas para o usuário. Em seguida, selecione Adicionar permissões.

Adição de permissões anexando políticas diretamente ao usuário

A anexação de políticas afeta o usuário imediatamente.

Para adicionar permissões a um usuário anexando diretamente políticas gerenciadas

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Usuários no painel de navegação, selecione o nome do usuário cujas permissões deseja modificar e escolha a guia Permissões.

  3. Escolha Adicionar permissões e escolha Anexar políticas existentes diretamente ao usuário.

  4. Marque uma ou mais caixas de seleção para as políticas gerenciadas que você deseja anexar ao usuário. Você também pode criar uma nova política gerenciada escolhendo Criar política. Se fizer isso, volte para esta guia ou janela do navegador quando a nova política for concluída. Escolha Atualizar e marque a caixa de seleção da nova política para anexá-la ao usuário. Para mais informações, consulte Criação de políticas do IAM.

  5. Escolha Próximo: Análise para ver a lista de políticas a serem anexadas ao usuário. Em seguida, selecione Adicionar permissões.

Definição do limite de permissões para um usuário

A definição de um limite de permissões afeta o usuário imediatamente.

Para definir o limite de permissões para um usuário

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja alterar.

  4. Escolha a guia Permissions (Permissões). Se necessário, abra a seção Limite de permissões e, em seguida, escolha Definir limite.

  5. Selecione a política que você deseja usar para o limite de permissões.

  6. Escolha Definir limite.

Alteração das permissões de um usuário (console)

O IAM permite que você altere as permissões associadas a um usuário das seguintes maneiras:

  • Editar uma política de permissões: edite a política em linha de um usuário, a política em linha do grupo do usuário ou edite uma política gerenciada associada ao usuário diretamente ou de um grupo. Se o usuário tiver um limite de permissões, você não poderá fornecer mais permissões além das permitidas pela política usada como o limite de permissões do usuário.

  • Alterar o limite de permissões: altere a política usada como o limite de permissões para o usuário. Isso pode expandir ou restringir o número máximo de permissões que um usuário pode ter.

Editar uma política de permissões anexada a um usuário

A alteração de permissões afeta o usuário imediatamente.

Para editar as políticas gerenciadas anexadas a um usuário

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cuja política de permissões você deseja alterar.

  4. Escolha a guia Permissions (Permissões). Se necessário, abra a seção Políticas de permissões.

  5. Escolha o nome da política que deseja editar para visualizar os detalhes da política. Escolha a guia Usada como para visualizar outras entidades que poderão ser afetadas se você editar a política.

  6. Escolha a guia Permissões e revise as permissões concedidas pela política. Em seguida, escolha Editar política.

  7. Edite a política usando a guia Visual editor (Editor visual) ou a guia JSON e resolva qualquer recomendação de validação de política. Para mais informações, consulte Edição de políticas do IAM.

  8. Escolha Revisar política, revise o resumo da política e escolha Salvar alterações.

Alteração do limite de permissões para um usuário

A alteração de um limite de permissões afeta o usuário imediatamente.

Para alterar a política usada para definir o limite de permissões para um usuário

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja alterar.

  4. Escolha a guia Permissions (Permissões). Se necessário, abra a seção Limite de permissões e, em seguida, escolha Alterar limite.

  5. Selecione a política que você deseja usar para o limite de permissões.

  6. Escolha Alterar limite.

Remoção de uma política de permissões de um usuário (console)

A remoção de uma política afeta o usuário imediatamente.

Para revogar permissões para usuários do IAM

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja remover.

  4. Escolha a guia Permissions (Permissões).

  5. Se você deseja revogar permissões removendo uma política existente, visualize o tipo de política para entender como o usuário está recebendo essa política antes de escolher X para removê-la:

    • Se a política for aplicável devido à associação ao grupo, escolher X removerá o usuário do grupo. Lembre-se de que você pode ter várias políticas anexadas a um único grupo. Se você remover um usuário de um grupo, ele perderá o acesso a todas as políticas que recebeu por meio dessa associação ao grupo.

    • Se for uma política gerenciada anexada diretamente ao usuário, selecionar X desanexará a política do usuário. Isso não afetará a política em si nem qualquer outra entidade à qual política esteja anexada.

    • Se for uma política incorporada em linha, selecionar X removerá a política do IAM. As políticas em linha anexadas diretamente a um usuário existem somente para esse usuário.

Remoção do limite de permissões de um usuário (console)

A remoção de um limite de permissões afeta o usuário imediatamente.

Para remover o limite de permissões de um usuário

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujo limite de permissões você deseja remover.

  4. Escolha a guia Permissions (Permissões). Se necessário, abra a seção Limite de permissões e, em seguida, escolha Remover limite.

  5. Escolha Remover para confirmar que você deseja remover o limite de permissões.

Adição e remoção das permissões de um usuário (AWS CLI ou API da AWS)

Para adicionar ou remover permissões de forma programática, você deve adicionar ou remover as associações a grupos, anexar ou desanexar as políticas gerenciadas ou adicionar ou excluir as políticas em linha. Para obter mais informações, consulte os tópicos a seguir: