As práticas recomendadas aconselham que você remova usuários do IAM não utilizados da Conta da AWS. Se quiser reter as credenciais dos usuários do IAM para uso futuro, em vez de excluí-las da conta, você poderá desativar o acesso do usuário. Para ter mais informações, consulte Desativar um usuário do IAM.
Pré-requisito: visualizar o acesso do usuário do IAM
Antes de remover um usuário, analise sua atividade recente em nível de serviço. Esse processo ajuda a evitar a remoção do acesso de uma entidade principal (pessoa ou aplicação) que o esteja usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando informações do último acesso.
Remoção de um usuário do IAM (console)
Quando você usa o AWS Management Console para remover um usuário do IAM, o IAM exclui automaticamente as seguintes informações associadas:
-
O identificador de usuário do IAM
-
Quaisquer associações de grupo: ou seja, o usuário do IAM é removido de todos os grupos dos quais o usuário do IAM era membro
-
Qualquer senha associada ao usuário do IAM
-
Quaisquer chaves de acesso pertencentes ao usuário do IAM
-
Todas as políticas em linha incorporadas no usuário do IAM (as políticas que foram aplicadas ao usuário do IAM usando permissões de grupo de usuários não são afetadas)
nota
O IAM remove todas as políticas gerenciadas anexadas ao usuário do IAM quando você exclui o usuário, mas não exclui as políticas gerenciadas.
-
Todos os dispositivos MFA associados
Para remover um usuário do IAM (console)
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.
-
Na página inicial do console, selecione o serviço do IAM.
-
No painel de navegação, escolha Usuários e, em seguida, marque a caixa de seleção ao lado do nome de usuário do IAM que você deseja excluir.
-
Na parte superior da página, escolha Delete (Excluir).
-
Na caixa de diálogo de confirmação, insira o nome de usuário no campo de entrada de texto para confirmar a exclusão do usuário. Escolha Excluir.
O console exibe uma notificação de status informando que o usuário do IAM foi excluído.
Exclusão de um usuário do IAM (AWS CLI)
Ao contrário do AWS Management Console, quando você exclui um usuário do IAM com a AWS CLI, é necessário excluir manualmente os itens anexados ao usuário do IAM. Este procedimento ilustra o processo.
Para excluir um usuário do IAM da Conta da AWS (AWS CLI)
-
Exclua a senha do usuário, caso ele tenha uma.
-
Exclui as chaves de acesso do usuário, se o usuário as tiver.
aws iam list-access-keys
(para listar as chaves de acesso do usuário) eaws iam delete-access-key
-
Exclui o certificado de assinatura do usuário. Observe que ao excluir uma credencial de segurança, ela é removida permanentemente e não pode ser recuperada.
aws iam list-signing-certificates
(para listar o certificados de assinatura do usuário) eaws iam delete-signing-certificate
-
Exclui a chave pública SSH do usuário, se o usuário tiver uma.
aws iam list-ssh-public-keys
(para listar as chaves públicas SSH do usuário) eaws iam delete-ssh-public-key
-
Exclui as credenciais do Git do usuário.
aws iam list-service-specific-credentials
(para listar as credenciais do git do usuário) eaws iam delete-service-specific-credential
-
Desativa o dispositivo de autenticação multifator (MFA), se o usuário tiver um.
aws iam list-mfa-devices
(para listar os dispositivos MFA do usuário),aws iam deactivate-mfa-device
(para desativar o dispositivo) eaws iam delete-virtual-mfa-device
(para excluir permanentemente um dispositivo MFA virtual) -
Exclui as políticas em linha do usuário.
aws iam list-user-policies
(para listar as políticas em linha do usuário) eaws iam delete-user-policy
(para excluir a política) -
Desanexa todas as políticas gerenciadas anexadas ao usuário.
aws iam list-attached-user-policies
(para listar as políticas gerenciadas anexadas ao usuário) eaws iam detach-user-policy
(para desanexar a política) -
Remova o usuário de todos os grupos do IAM.
aws iam list-groups-for-user
(para listar os grupos do IAM aos quais o usuário pertence) eaws iam remove-user-from-group
-
Exclua o usuário.
Desativar um usuário do IAM
Talvez seja necessário desativar um usuário do IAM enquanto ele estiver temporariamente fora da empresa. Você pode manter as credenciais de usuário do IAM do usuário como estão e apenas bloquear o acesso dele à AWS.
Para desativar um usuário, crie e anexe uma política que negue ao usuário acesso à AWS. Você pode restaurar o acesso do usuário posteriormente.
Aqui estão dois exemplos de políticas de negação que você pode anexar a um usuário para negar seu acesso.
A política a seguir não inclui um limite de tempo. Você deve remover a política para restaurar o acesso do usuário.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*" } ] }
A política a seguir inclui uma condição que inicia a política em 24 de dezembro de 2024 às 23:59 (UTC) e termina em 28 de fevereiro de 2025 às 23:59 (UTC).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"}, "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"} } } ] }