Pré-requisito: visualizar acesso do usuário Exclusão de um usuário do IAM (console)Exclusão de um usuário do IAM (AWS CLI)Desativar um usuário do IAM

Excluir ou desativar um usuário do IAM

Você pode excluir um usuário do IAM da Conta da AWS se alguém sair da empresa. Se o usuário se ausentar temporariamente, você poderá desativar seu acesso em vez de excluí-lo da conta, conforme descrito em Desativar um usuário do IAM.

Pré-requisito: visualizar acesso do usuário

Antes de excluir um usuário, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando informações do último acesso.

Exclusão de um usuário do IAM (console)

Ao usar o AWS Management Console para excluir um usuário do IAM, o IAM exclui automaticamente as seguintes informações para você:

O usuário
Quaisquer associações do grupo de usuários, ou seja, o usuário é removido de todos os grupos de usuários do IAM dos quais ele é membro
Todas as senhas associadas ao usuário
Todas as chaves de acesso pertencentes ao usuário
Todas as políticas em linha incorporadas no usuário (políticas aplicadas a um usuário por meio de permissões do grupo de usuários não são afetadas)

nota
O IAM remove todas as políticas gerenciadas anexadas ao usuário quando você exclui o usuário, mas não exclui as políticas gerenciadas.
Todos os dispositivos MFA associados

Para excluir um usuário do IAM (console)

Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação esquerdo, escolha Users (Usuários) e marque a caixa de seleção ao lado do nome do usuário que você deseja excluir.
Na parte superior da página, escolha Delete (Excluir).
Na caixa de diálogo de confirmação, insira o nome de usuário no campo de entrada de texto para confirmar a exclusão do usuário. Escolha Delete (Excluir).

Exclusão de um usuário do IAM (AWS CLI)

Ao contrário do AWS Management Console, ao excluir um usuário com a AWS CLI, você tem que excluir os itens anexados ao usuário manualmente. Este procedimento ilustra o processo.

Para excluir um usuário da conta (AWS CLI)

Exclua a senha do usuário, caso ele tenha uma.

aws iam delete-login-profile
Exclui as chaves de acesso do usuário, se o usuário as tiver.

aws iam list-access-keys (para listar as chaves de acesso do usuário) e aws iam delete-access-key
Exclui o certificado de assinatura do usuário. Observe que ao excluir uma credencial de segurança, ela é removida permanentemente e não pode ser recuperada.

aws iam list-signing-certificates (para listar o certificados de assinatura do usuário) e aws iam delete-signing-certificate
Exclui a chave pública SSH do usuário, se o usuário tiver uma.

aws iam list-ssh-public-keys (para listar as chaves públicas SSH do usuário) e aws iam delete-ssh-public-key
Exclui as credenciais do Git do usuário.

aws iam list-service-specific-credentials (para listar as credenciais do git do usuário) e aws iam delete-service-specific-credential
Desativa o dispositivo de autenticação multifator (MFA), se o usuário tiver um.

aws iam list-mfa-devices (para listar os dispositivos MFA do usuário), aws iam deactivate-mfa-device (para desativar o dispositivo) e aws iam delete-virtual-mfa-device (para excluir permanentemente um dispositivo MFA virtual)
Exclui as políticas em linha do usuário.

aws iam list-user-policies (para listar as políticas em linha do usuário) e aws iam delete-user-policy (para excluir a política)
Desanexa todas as políticas gerenciadas anexadas ao usuário.

aws iam list-attached-user-policies (para listar as políticas gerenciadas anexadas ao usuário) e aws iam detach-user-policy (para desanexar a política)
Remova o usuário de todos os grupos do IAM.

aws iam list-groups-for-user (para listar os grupos do IAM aos quais o usuário pertence) e aws iam remove-user-from-group
Exclua o usuário.

aws iam delete-user

Desativar um usuário do IAM

Talvez seja necessário desativar um usuário do IAM enquanto ele estiver temporariamente fora da empresa. Você pode manter as credenciais de usuário do IAM do usuário como estão e apenas bloquear o acesso dele à AWS.

Para desativar um usuário, crie e anexe uma política que negue ao usuário acesso à AWS. Você pode restaurar o acesso do usuário posteriormente.

Aqui estão dois exemplos de políticas de negação que você pode anexar a um usuário para negar seu acesso.

A política a seguir não inclui um limite de tempo. Você deve remover a política para restaurar o acesso do usuário.


{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

A política a seguir inclui uma condição que inicia a política em 24 de dezembro de 2024 às 23:59 (UTC) e termina em 28 de fevereiro de 2025 às 23:59 (UTC).


{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Renomear um usuário

Controlar o acesso do usuário ao console