Criar um usuário do IAM na sua conta da AWS - AWS Identity and Access Management

Criar um usuário do IAM na sua conta da AWS

Você pode criar um ou mais usuários do IAM na sua conta da AWS. Você pode criar um usuário do IAM quando alguém ingressa em sua equipe, ou quando cria um novo aplicativo que precisa fazer chamadas da API à AWS.

Importante

Se você encontrou esta página porque está procurando informações sobre a API Product Advertising para vender produtos da Amazon em seu site, consulte a Documentação da API Product Advertising 5.0.

Se você chegou até esta página a partir do console do IAM, é possível que sua conta não inclua usuários do IAM, embora você esteja conectado. Você pode estar conectado como o Usuário raiz da conta da AWS usando uma função ou conectado com credenciais temporárias. Para saber mais sobre essas identidades do IAM, consulte Identidades do IAM (usuários, grupos e funções).

O processo de criar um usuário e habilitá-lo para executar tarefas de trabalho consiste nas seguintes etapas:

  1. Crie o usuário no Console de gerenciamento da AWS na AWS CLI, no Tools para Windows PowerShell ou usando uma operação da API da AWS. Se você criar o usuário no Console de gerenciamento da AWS, as etapas 1 – 4 serão tratadas automaticamente com base em suas opções. Se você criar os usuários de forma programática, você deverá executar cada uma dessas etapas individualmente.

  2. Crie credenciais para o usuário, dependendo do tipo de acesso que o usuário requer:

    • Acesso programático: o usuário do IAM pode precisar fazer chamadas à API, usar a AWS CLI ou usar o Tools para Windows PowerShell. Nesse caso, crie uma chave de acesso (um ID de chave de acesso e uma chave de acesso secreta) para esse usuário.

    • Acesso ao Console de gerenciamento da AWS: se o usuário precisar acessar o Console de gerenciamento da AWS, crie uma senha para o usuário.

    Como uma melhor prática, crie apenas as credenciais de que o usuário precisa. Por exemplo, para um usuário que precise de acesso apenas pelo Console de gerenciamento da AWS, não crie chaves de acesso.

  3. Forneça ao usuário permissões para executar as tarefas necessárias adicionando o usuário a um ou mais grupos. Você também pode conceder permissões anexando políticas de permissões diretamente ao usuário. No entanto, recomendamos que você coloque seus usuários em grupos e gerencie permissões por meio de políticas anexadas a esses grupos. Você também pode usar um limite de permissões para limitar as permissões que um usuário pode ter, embora isso não seja comum.

  4. (Opcional) Adicione metadados ao usuário anexando tags. Para obter mais informações sobre como usar tags no IAM, consulte Marcar usuários e funções do IAM.

  5. Forneça ao usuário as informações de login necessárias. Isso inclui a senha e a URL do console na página de login da conta em que o usuário fornece essas credenciais. Para obter mais informações, consulte Como os usuários do IAM fazem login na AWS.

  6. (Opcional) Configure a multi-factor authentication (MFA) para o usuário. A MFA requer que o usuário forneça um código de uso único a cada vez que ele faz login no Console de gerenciamento da AWS.

  7. (Opcional) Conceda aos usuários permissões para gerenciar suas próprias credenciais de segurança. (Por padrão, os usuários não têm permissões para gerenciar suas próprias credenciais.) Para obter mais informações, consulte Permitir que os usuários do IAM alterem as próprias senhas.

Para obter informações sobre as permissões de que você precisa para criar um usuário, consulte Permissões necessárias para acessar os recursos do IAM.

Criar usuários do IAM (console)

É possível usar o Console de gerenciamento da AWS para criar usuários do IAM.

Para criar um ou mais usuários do IAM (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Digite o nome para o novo usuário. Este é o nome de login para a AWS. Se você deseja adicionar mais de um usuário ao mesmo tempo, escolha Adicionar outro usuário para cada usuário adicional e digite seus nomes de usuário. Você pode adicionar até 10 usuários por vez.

    nota

    O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte Cotas do IAM e do STS. Os nomes de usuário podem ser uma combinação de até 64 letras, números e estes caracteres: adição (+), igual (=), vírgula (,), ponto (.), arroba (@), sublinhado (_) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois usuários denominados TESTUSER e testuser.

  4. Selecione o tipo de acesso que este conjunto de usuários terá. Você pode selecionar acesso programático, acesso ao Console de gerenciamento da AWS ou ambos.

    • Selecione Acesso programático se os usuários precisarem de acesso à API, à AWS CLI ou ao Tools para Windows PowerShell. Isso cria uma nova chave de acesso para cada usuário. Você pode visualizar ou fazer download das chaves de acesso ao acessar a página Final.

    • Selecione Acesso do Console de gerenciamento da AWS se os usuários precisarem de acesso ao Console de gerenciamento da AWS. Isso cria uma senha para cada novo usuário.

    1. Em Console password, selecione uma das opções a seguir:

      • Senha gerada automaticamente. Cada usuário obtém uma senha gerada de maneira aleatória que atende à política de senha da conta em vigor (se houver). Você pode visualizar ou fazer download das senhas ao acessar a página Final.

      • Custom password. A cada usuário é atribuída a senha digitada na caixa.

    2. (Opcional) Recomendamos selecionar Require password reset (Solicitar redefinição de senha) para garantir que os usuários sejam forçados a alterar a senha na primeira vez em que fizerem login.

      nota

      Se você não ativou a configuração da política de senha no âmbito da conta Allow users to change their own password (Permitir que os usuários alterem sua própria senha), a seleção de Require password reset (Exigir redefinição de senha) anexará automaticamente uma política gerenciada pela AWS denominadaIAMUserChangePassword para os novos usuários que lhes concede permissão para alterar suas próprias senhas.

  5. Escolha Próximo: Permissões.

  6. Na página Definir permissões, especifique como você deseja atribuir permissões a esse conjunto de novos usuários. Escolha uma das três opções a seguir:

    • Adicionar usuário a grupo. Escolha essa opção se você deseja atribuir usuários a um ou mais grupos que já tenham políticas de permissões. O IAM exibe uma lista de grupos em sua conta, junto com suas políticas anexadas. Você pode selecionar um ou mais grupos existentes ou Criar grupo para criar um novo grupo. Para obter mais informações, consulte Alterar permissões de um usuário do IAM.

    • Copie as permissões de um usuário existente. Escolha essa opção para copiar todas as associações de grupo, políticas gerenciadas anexadas e políticas em linha incorporadas e qualquer limite de permissões de um usuário existente para novos usuários. O IAM exibe uma lista dos usuários na sua conta. Selecione um cujas permissões atendam melhor às necessidades dos novos usuários.

    • Anexar políticas existentes ao usuário diretamente. Escolha essa opção para ver uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione as políticas que deseja anexar aos novos usuários ou escolha Criar política para abrir uma nova aba no navegador e criar uma nova política desde o início. Para obter mais informações, consulte a etapa 4 no procedimento Criar políticas do IAM (console). Depois de criar a política, feche essa guia e retorne à guia original para adicionar a política ao novo usuário. Como melhores práticas, recomendamos que você anexe suas políticas a um grupo e, em seguida, torne os usuários membros dos grupos apropriados.

  7. (Opcional) Defina um limite de permissões. Este é um recurso avançado.

    Abra a seção Definir permissões de limite e escolha Use um limite máximo de permissões para controlar as permissões de usuário. O IAM exibe uma lista das políticas gerenciadas pelo AWS e gerenciadas pelo cliente em sua conta. Selecione a política a ser usada para o limite de permissões ou escolha Criar política para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte a etapa 4 no procedimento Criar políticas do IAM (console). Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.

  8. Escolha Next: Tags (Próximo: tags).

  9. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar usuários e funções do IAM.

  10. Escolha Próximo: Analisar para ver todas as escolhas feitas até esse ponto. Quando você estiver pronto para continuar, selecione Criar usuário.

  11. Para visualizar as chaves de acesso dos usuários (IDs de chaves de acesso e chaves de acesso secretas), escolha Mostrar ao lado de cada senha e chave de acesso secreta que você deseja ver. Para salvar as chaves de acesso, escolha Fazer download de .csv e, em seguida, salve o arquivo em um local seguro.

    Importante

    Esta é a única oportunidade de visualizar ou fazer download das chaves de acesso secretas, e você deve fornecer essas informações aos usuários para que eles possam usar a AWS API. Salve a ID de chave de acesso e a chave de acesso secreta do usuário em um local seguro e protegido. Você não terá acesso às chaves secretas novamente depois dessa etapa.

  12. Forneça a cada usuário suas credenciais. Na página final, você pode escolher Enviar e-mail ao lado de cada usuário. Seu cliente de e-mail local é aberto com um rascunho que você pode personalizar e enviar. O modelo de e-mail inclui os seguintes detalhes de cada usuário:

    • User name

    • URL para a página de login da conta. Use o exemplo a seguir, substituindo o número de ID ou alias da conta:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    Para obter mais informações, consulte Como os usuários do IAM fazem login na AWS.

    Importante

    A senha do usuário não é incluída no e-mail gerado. Você deve fornecê-la ao cliente de forma que esteja em conformidade com as diretrizes de segurança da sua organização.

Criar usuários do IAM (AWS CLI)

Você pode usar a AWS CLI para criar um usuário do IAM.

Para criar um usuário do IAM (AWS CLI)

  1. Criar um usuário.

  2. (Opcional) Forneça ao usuário acesso ao Console de gerenciamento da AWS. Isso requer uma senha. Você também deve oferecer ao usuário o URL da página de login da sua conta.

  3. (Opcional) Forneça ao usuário acesso programático. Isso requer chaves de acesso.

    • aws iam create-access-key

    • Tools para Windows PowerShell: New-IAMAccessKey

    • API da IAM: CreateAccessKey

      Importante

      Esta é a única oportunidade de visualizar ou fazer download das chaves de acesso secretas, e você deve fornecer essas informações aos usuários para que eles possam usar a AWS API. Salve a ID de chave de acesso e a chave de acesso secreta do usuário em um local seguro e protegido. Você não terá acesso às chaves secretas novamente depois dessa etapa.

  4. Adicione o usuário a um ou mais grupos. Os grupos que você especificar devem ter políticas anexadas que concedam as permissões apropriadas para o usuário.

  5. (Opcional) Anexe uma política ao usuário que defina as permissões do usuário. Observação: recomendamos que você gerencie as permissões de usuário ao adicionar o usuário a um grupo e anexando uma política ao grupo, em vez de anexar diretamente a um usuário.

  6. (Opcional) Adicione atributos personalizados ao usuário anexando tags. Para obter mais informações, consulte Gerenciar tags em entidades do IAM (AWS CLI ou API da AWS).

  7. (Opcional) Conceda ao usuário permissão para gerenciar suas próprias credenciais de segurança. Para obter mais informações, consulte AWS: permite que os usuários do IAM autenticados por MFA gerenciem as próprias credenciais na página My Security Credentials (Minhas credenciais de segurança)..

Criar usuários do IAM (API da AWS)

Você pode usar a API da AWS para criar um usuário do IAM.

Para criar um usuário do IAM na (API da AWS)

  1. Criar um usuário.

  2. (Opcional) Forneça ao usuário acesso ao Console de gerenciamento da AWS. Isso requer uma senha. Você também deve oferecer ao usuário o URL da página de login da sua conta.

  3. (Opcional) Forneça ao usuário acesso programático. Isso requer chaves de acesso.

    • CreateAccessKey

      Importante

      Esta é a única oportunidade de visualizar ou fazer download das chaves de acesso secretas, e você deve fornecer essas informações aos usuários para que eles possam usar a AWS API. Salve a ID de chave de acesso e a chave de acesso secreta do usuário em um local seguro e protegido. Você não terá acesso às chaves secretas novamente depois dessa etapa.

  4. Adicione o usuário a um ou mais grupos. Os grupos que você especificar devem ter políticas anexadas que concedam as permissões apropriadas para o usuário.

  5. (Opcional) Anexe uma política ao usuário que defina as permissões do usuário. Observação: recomendamos que você gerencie as permissões de usuário ao adicionar o usuário a um grupo e anexando uma política ao grupo, em vez de anexar diretamente a um usuário.

  6. (Opcional) Adicione atributos personalizados ao usuário anexando tags. Para obter mais informações, consulte Gerenciar tags em entidades do IAM (AWS CLI ou API da AWS).

  7. (Opcional) Conceda ao usuário permissão para gerenciar suas próprias credenciais de segurança. Para obter mais informações, consulte AWS: permite que os usuários do IAM autenticados por MFA gerenciem as próprias credenciais na página My Security Credentials (Minhas credenciais de segurança)..