Criar um usuário do IAM na sua Conta da AWS - AWS Identity and Access Management

Criar um usuário do IAM na sua Conta da AWS

Importante

As práticas recomendadas do IAM aconselham exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias em vez de usuários do IAM com credenciais de longo prazo.

nota

Se você encontrou esta página porque está procurando informações sobre a API Product Advertising para vender produtos da Amazon em seu site, consulte a Documentação da Product Advertising API 5.0.

Se você chegou a esta página do console do IAM, é possível que sua conta não inclua usuários do IAM, mesmo que você esteja conectado. Você pode estar conectado como o Usuário raiz da conta da AWS usando uma função ou conectado com credenciais temporárias. Para saber mais sobre essas identidades do IAM, consulte Identidades do IAM (usuários, grupos de usuários e funções).

O processo de criar um usuário e habilitá-lo para executar tarefas de trabalho consiste nas seguintes etapas:

  1. Crie o usuário no AWS Management Console, na AWS CLI, no Tools for Windows PowerShell ou usando uma operação da API da AWS. Se você criar o usuário no AWS Management Console, as etapas de 1 a 4 serão tratadas automaticamente com base em suas opções. Se você criar os usuários de forma programática, você deverá executar cada uma dessas etapas individualmente.

  2. Crie credenciais para o usuário, dependendo do tipo de acesso que o usuário requer:

    • Habilitar acesso ao console: opcional: se o usuário precisar acessar o AWS Management Console, crie uma senha para o usuário. Desabilitar o acesso ao console para um usuário impede que ele faça login no AWS Management Console usando seu próprio nome de usuário e senha. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida.

    dica

    Crie apenas as credenciais necessárias para o usuário. Por exemplo, para um usuário que precise de acesso apenas pelo AWS Management Console, não crie chaves de acesso.

  3. Forneça ao usuário permissões para executar as tarefas necessárias adicionando o usuário a um ou mais grupos. Você também pode conceder permissões associando políticas de permissões diretamente ao usuário. No entanto, recomendamos que você coloque seus usuários em grupos e gerencie permissões por meio de políticas anexadas a esses grupos. Você também pode usar um limite de permissões para limitar as permissões que um usuário pode ter, embora isso não seja comum.

  4. (Opcional) Adicione metadados ao usuário anexando tags. Para obter mais informações sobre como usar etiquetas no IAM, consulte Recursos de etiquetas do IAM.

  5. Forneça ao usuário as informações de login necessárias. Isso inclui a senha e a URL do console na página de login da conta em que o usuário fornece essas credenciais. Para ter mais informações, consulte Como os usuários do IAM fazem login na AWS.

  6. (Opcional) Configure a multi-factor authentication (MFA) para o usuário. A MFA requer que o usuário forneça um código de uso único a cada vez que ele faz login no AWS Management Console.

  7. (Opcional) Conceda aos usuários permissões para gerenciar suas próprias credenciais de segurança. (Por padrão, os usuários não têm permissões para gerenciar suas próprias credenciais.) Para ter mais informações, consulte Permitir que os usuários do IAM alterem as próprias senhas.

Para obter informações sobre as permissões de que você precisa para criar um usuário, consulte Permissões necessárias para acessar recursos do IAM.

Criação de usuários do IAM (console)

É possível usar o AWS Management Console para criar usuários do IAM.

Para criar um usuário do IAM (console)
  1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.

  2. Na página inicial do console, selecione o serviço do IAM.

  3. No painel de navegação, selecione Usuários e Adicionar usuários.

  4. Na página Especificar detalhes do usuário, em Detalhes do usuário, em Nome de usuário, insira o nome do novo usuário. É o nome de login para a AWS.

    nota

    O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte IAM e cotas do AWS STS. Os nomes de usuário podem ser uma combinação de até 64 letras, dígitos e estes caracteres: adição (+), igual (=), vírgula (,), ponto (.), arroba (@), sublinhado (_) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois usuários denominados TESTUSER e testuser. Quando o nome de usuário é usado em uma política ou como parte de um ARN, o nome diferencia maiúsculas de minúsculas. Quando é exibido para os clientes no console, por exemplo, como durante o processo de login, o nome de usuário não diferencia maiúsculas de minúsculas.

  5. Selecione Fornecer acesso do usuário ao AWS Management Console: opcional Isso produz credenciais de login no AWS Management Console para o novo usuário.

    Será exibida uma mensagem perguntado se você está fornecendo acesso ao console para uma pessoa. Recomendamos criar usuários no Centro de Identidade do IAM em vez de no IAM.

    • Para alternar para a criação do usuário no Centro de Identidade do IAM, selecione Especificar um usuário no Centro de Identidade.

      Caso não tenha habilitado o Centro de Identidade do IAM, ao selecionar essa opção, você será encaminhado à página de serviço no console para que possa habilitar o serviço. Para obter detalhes sobre esse procedimento, consulte Comece a usar tarefas comuns no Centro de Identidade do IAM no Guia de usuário do AWS IAM Identity Center

      Caso tenha habilitado o Centro de Identidade do IAM, ao selecionar essa opção, você será encaminhado à página Especificar detalhes do usuário no Centro de Identidade do IAM. Para obter detalhes sobre esse procedimento, consulte Adicionar usuários no Guia do usuário do AWS IAM Identity Center

    • Se não puder usar o Centro de Identidade do IAM, selecione Quero criar um usuário do IAM e continue seguindo esse procedimento.

    1. Em Senha do console, selecione uma das opções a seguir:

      • Senha gerada automaticamente: o usuário obtém uma senha gerada de maneira aleatória que atende à política de senha da conta. É possível visualizar ou baixar a senha ao acessar a página Recuperar senha.

      • Senha personalizada: o usuário recebe a senha que você inserir na caixa.

    2. (Opcional) A opção Os usuários deverão criar uma senha no próximo login (recomendado) é selecionada por padrão para garantir que o usuário seja forçado a alterar a senha na primeira vez em que fizer login.

      nota

      Se um administrador tiver habilitado a configuração Permitir que os usuários alterem sua própria senha da política de senha da conta, essa caixa de seleção não terá nenhum efeito. Caso contrário, ele associa automaticamente uma política AWS gerenciada nomeada IAMUserChangePassword aos novos usuários. A política concede a eles permissão para alterar suas próprias senhas.

  6. Escolha Próximo.

  7. Na página Definir permissões, especifique como deseja atribuir permissões a esse novo usuário. Selecione uma das três opções a seguir:

    • Adicionar usuário ao grupo: selecione esta opção se você desejar atribuir o usuário a um ou mais grupos que já tenham políticas de permissões. O IAM exibe uma lista dos grupos em sua conta, junto com suas políticas anexadas. Você pode selecionar um ou mais grupos existentes ou selecionar Criar grupo para criar um novo grupo. Para ter mais informações, consulte Alteração de permissões de um usuário do IAM.

    • Copiar permissões: selecione esta opção para copiar todas as associações de grupo, políticas gerenciadas anexadas e políticas em linha incorporadas e limites de permissões de um usuário existente para o novo usuário. O IAM exibe uma lista dos usuários em sua conta. Selecione a opção cujas permissões atendam melhor às necessidades do novo usuário.

    • Anexar políticas diretamente: selecione esta opção para ver uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione as políticas que deseja anexar ao usuário ou selecione Criar política para abrir uma nova aba no navegador e criar uma nova política. Para obter mais informações, consulte a etapa 4 no procedimento Criação de políticas do IAM. Depois de criar a política, feche essa guia e retorne à guia original para adicionar a política ao usuário.

      dica

      Sempre que possível, anexe suas políticas a um grupo e torne os usuários membros dos grupos apropriados.

  8. (Opcional) Defina um limite de permissões. Este é um recurso avançado.

    Abra a seção Limite de permissões e selecione Usar um limite de permissões para controlar o número máximo de permissões. O IAM exibe uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione a política a ser usada para o limite de permissões ou selecione Criar política para abrir uma nova guia no navegador e criar uma nova política. Para obter mais informações, consulte a etapa 4 no procedimento Criação de políticas do IAM. Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.

  9. Escolha Próximo.

  10. (Opcional) Na página Revisar e criar, em Etiquetas, selecione Adicionar nova etiqueta para adicionar metadados ao usuário anexando etiquetas aos pares de chave-valor. Para obter mais informações sobre como usar etiquetas no IAM, consulte Recursos de etiquetas do IAM.

  11. Revise todas as escolhas feitas até esse ponto. Quando você estiver pronto para continuar, selecione Criar usuário.

  12. Na página Recuperar senha, obtenha a senha atribuída ao usuário:

    • Selecione Exibir ao lado da senha para visualizar a senha do usuário e poder gravá-la manualmente.

    • Selecione Baixar .csv para baixar as credenciais de login do usuário como um arquivo. csv que você poderá salvar em um local seguro.

  13. Selecione Instruções de login de e-mail. Seu cliente de e-mail local é aberto com um rascunho que você pode personalizar e enviar ao usuário. O modelo de e-mail inclui os seguintes detalhes de cada usuário:

    • Nome do usuário

    • URL para a página de login da conta. Use o exemplo a seguir, substituindo o número de ID ou alias da conta:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console
    Importante

    A senha do usuário não é incluída no e-mail gerado. É necessário fornecer a senha ao usuário de forma que esteja em conformidade com as diretrizes de segurança de sua organização.

  14. Se o usuário também precisar de chaves de acesso para acesso programático, consulte Gerenciamento de chaves de acesso de usuários do IAM.

Criação de usuários do IAM (AWS CLI)

Você pode usar a AWS CLI para criar um usuário do IAM.

Para criar um usuário do IAM (AWS CLI)
  1. Criar um usuário.

  2. (Opcional) Forneça ao usuário acesso ao AWS Management Console. Isso requer uma senha. Você também deve oferecer ao usuário o URL da página de login da sua conta.

  3. (Opcional) Forneça ao usuário acesso programático. Isso requer chaves de acesso.

    • aws iam create-access-key

    • Tools for Windows PowerShell: New-IAMAccessKey

    • API do IAM: CreateAccessKey

      Importante

      Esta é a única oportunidade de visualizar ou fazer download das chaves de acesso secretas, e você deve fornecer essas informações aos usuários para que eles possam usar a AWS API. Salve a nova ID da chave de acesso do usuário e a chave de acesso secreta em um local seguro e protegido. Você não terá acesso às chaves secretas novamente depois dessa etapa.

  4. Adicione o usuário a um ou mais grupos. Os grupos que você especificar devem ter políticas anexadas que concedam as permissões apropriadas para o usuário.

  5. (Opcional) Anexe uma política ao usuário que defina as permissões do usuário. Observação: recomendamos que você gerencie as permissões de usuário ao adicionar o usuário a um grupo e anexando uma política ao grupo, em vez de anexar diretamente a um usuário.

  6. (Opcional) Adicione atributos personalizados ao usuário anexando etiquetas. Para ter mais informações, consulte Gerenciamento de etiquetas em usuários do IAM (AWS CLI ou API da AWS).

  7. (Opcional) Conceda ao usuário permissão para gerenciar suas próprias credenciais de segurança. Para ter mais informações, consulte AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança.

Criação de usuários do IAM (API da AWS)

Você pode usar a API da AWS para criar um usuário do IAM.

Para criar um usuário do IAM na (API da AWS)
  1. Criar um usuário.

  2. (Opcional) Forneça ao usuário acesso ao AWS Management Console. Isso requer uma senha. Você também deve oferecer ao usuário o URL da página de login da sua conta.

  3. (Opcional) Forneça ao usuário acesso programático. Isso requer chaves de acesso.

    • CreateAccessKey

      Importante

      Esta é a única oportunidade de visualizar ou fazer download das chaves de acesso secretas, e você deve fornecer essas informações aos usuários para que eles possam usar a AWS API. Salve a nova ID da chave de acesso do usuário e a chave de acesso secreta em um local seguro e protegido. Você não terá acesso às chaves secretas novamente depois dessa etapa.

  4. Adicione o usuário a um ou mais grupos. Os grupos que você especificar devem ter políticas anexadas que concedam as permissões apropriadas para o usuário.

  5. (Opcional) Anexe uma política ao usuário que defina as permissões do usuário. Observação: recomendamos que você gerencie as permissões de usuário ao adicionar o usuário a um grupo e anexando uma política ao grupo, em vez de anexar diretamente a um usuário.

  6. (Opcional) Adicione atributos personalizados ao usuário anexando etiquetas. Para ter mais informações, consulte Gerenciamento de etiquetas em usuários do IAM (AWS CLI ou API da AWS).

  7. (Opcional) Conceda ao usuário permissão para gerenciar suas próprias credenciais de segurança. Para ter mais informações, consulte AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança.