Gerenciar usuários do IAM

nota

Como prática recomendada, aconselhamos exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias. Seguindo as práticas recomendadas, você não gerenciará usuários e grupos do IAM. Em vez disso, seus usuários e grupos serão gerenciados fora da AWS e podem acessar recursos da AWS como identidade federada. Identidade federada é um usuário de seu diretório de usuários corporativos, um provedor de identidades da Web, AWS Directory Service, o diretório do Centro de Identidade ou qualquer usuário que acesse os serviços da AWS usando credenciais fornecidas por meio de uma fonte de identidade. As identidades federadas utilizam os grupos definidos pelo provedor de identidade. Se você estiver usando o AWS IAM Identity Center, consulte Manage identities in IAM Identity Center (Gerenciar identidades no Centro de Identidade do IAM) no Guia do usuário do AWS IAM Identity Center para obter informações sobre a criação de usuários e grupos no Centro de Identidade do IAM.

A Amazon Web Services oferece várias ferramentas para gerenciar os usuários do IAM na sua Conta da AWS. Você pode listar os usuários do IAM em sua conta ou em um grupo de usuários, ou listar todos os grupos de usuários dos quais um usuário é membro. Você pode renomear ou alterar o caminho de um usuário do IAM. Se estiver migrando para utilizar identidades federadas em vez de usuários do IAM, você poderá excluir um usuário do IAM da conta da AWS ou desativá-lo.

Para obter mais informações sobre como adicionar, alterar ou remover políticas gerenciadas para um usuário do IAM, consulte Alteração de permissões de um usuário do IAM. Para obter informações sobre como gerenciar políticas em linha para usuários do IAM, consulte Adicionar e remover permissões de identidade do IAM, Edição de políticas do IAM e Exclusão de políticas do IAM. Como prática recomendada, use políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas pela AWS concedem permissões para vários casos de uso comuns. Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso por todos os clientes da AWS. Como resultado, recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS. Para obter mais informações sobre políticas gerenciadas pela AWSque são projetadas para funções de trabalho específicas, consulte Políticas gerenciadas pela AWS para funções de trabalho.

Para saber como validar políticas do IAM, consulte Validação de políticas do IAM.

dica

O IAM Access Analyzer pode analisar os serviços e as ações que seus perfis do IAM usam e, em seguida, gerar uma política aperfeiçoada que você pode utilizar. Depois de testar cada política gerada, você pode implantar a política em seu ambiente de produção. Isso garante que você conceda apenas as permissões necessárias para suas workloads. Para obter mais informações sobre a geração de políticas, consulte Geração de políticas do IAM Access Analyzer.

Para obter informações sobre como gerenciar senhas de usuário do IAM, consulte Gerenciamento de senhas de usuários do IAM,

Visualizar acesso do usuário

Antes de excluir um usuário, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte Refinar permissões na AWS usando as informações do último acesso.

Listagem de usuários do IAM

Você pode listar os usuários do IAM na sua Conta da AWS ou em um grupo de usuários do IAM específico e listar todos os grupos de usuários em que um usuário está. Para obter informações sobre as permissões que você precisa para listar usuários, consulte Permissões necessárias para acessar recursos do IAM.

Para listar todos os usuários na conta

• AWS Management Console: No painel de navegação, selecione Users (Usuários). O console exibe os usuários na sua Conta da AWS.

• AWS CLI: aws iam list-users

• API da AWS: ListUsers

Para listar os usuários em um grupo de usuários específico

• AWS Management Console: no painel de navegação, selecione User groups (Grupos de usuários), escolha o nome do grupo de usuários e, depois, escolha a guia Users (Usuários).

• AWS CLI: aws iam get-group

• API da AWS: GetGroup

Para listar todos os grupos de usuários em que um usuário se encontra

• AWS Management Console: No painel de navegação, selecione Usuários, escolha o nome do usuário e, então, selecione a guia Grupos.

• AWS CLI: aws iam list-groups-for-user

• API da AWS: ListGroupsForUser

Renomeação de um usuário do IAM

Para alterar o nome ou caminho de um usuário, você deve usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS. Não há opção no console para renomear um usuário. Para obter informações sobre as permissões que você precisa para renomear um usuário, consulte Permissões necessárias para acessar recursos do IAM.

Quando você altera o nome ou caminho de um usuário, acontece o seguinte:

• Todas as políticas anexadas ao usuário permanecem com o usuário sob o novo nome.

• O usuário permanecerá nos mesmos grupos de usuários com o novo nome.

• O ID exclusivo para o usuário permanece o mesmo. Para obter mais informações sobre IDs exclusivos, consulte Identificadores exclusivos.

• Todas as políticas de recurso ou função que se refiram ao usuário como um principal (o usuário está sendo recebendo acesso) são automaticamente atualizadas para usar o novo nome ou caminho. Por exemplo, quaisquer políticas baseadas em fila no Amazon SQS ou políticas baseadas em recursos no Amazon S3 são atualizadas automaticamente para usar o novo nome e caminho.

O IAM não atualiza automaticamente as políticas que se referem ao usuário como um recurso para usar o novo nome ou caminho; você deve fazer isso manualmente. Por exemplo, imagine que o usuário Richard tenha uma política anexada que lhe permite gerenciar suas credenciais de segurança. Se um administrador renomear Richard como Rich, o administrador também precisa atualizar essa política para alterar o recurso disso:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

para isso:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Isso também se aplica se um administrador mudar o caminho; o administrador precisa atualizar a política para refletir o novo caminho para o usuário.

Para renomear um usuário

• AWS CLI: aws iam update-user

• API da AWS: UpdateUser

Exclusão de um usuário do IAM

Você pode excluir um usuário do IAM da Conta da AWS se alguém sair da empresa. Se o usuário se ausentar temporariamente, você poderá desativar seu acesso em vez de excluí-lo da conta, conforme descrito em Desativar um usuário do IAM.

Tópicos

• Exclusão de um usuário do IAM (console)
• Exclusão de um usuário do IAM (AWS CLI)

Exclusão de um usuário do IAM (console)

Ao usar o AWS Management Console para excluir um usuário do IAM, o IAM exclui automaticamente as seguintes informações para você:

• O usuário

• Quaisquer associações do grupo de usuários, ou seja, o usuário é removido de todos os grupos de usuários do IAM dos quais ele é membro

• Todas as senhas associadas ao usuário

• Todas as chaves de acesso pertencentes ao usuário

• Todas as políticas em linha incorporadas no usuário (políticas aplicadas a um usuário por meio de permissões do grupo de usuários não são afetadas)

  nota

  O IAM remove todas as políticas gerenciadas anexadas ao usuário quando você exclui o usuário, mas não exclui as políticas gerenciadas.

• Todos os dispositivos MFA associados

Para excluir um usuário do IAM (console)

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação esquerdo, escolha Users (Usuários) e marque a caixa de seleção ao lado do nome do usuário que você deseja excluir.

3. Na parte superior da página, escolha Delete (Excluir).

4. Na caixa de diálogo de confirmação, insira o nome de usuário no campo de entrada de texto para confirmar a exclusão do usuário. Escolha Delete (Excluir).

Exclusão de um usuário do IAM (AWS CLI)

Ao contrário do AWS Management Console, ao excluir um usuário com a AWS CLI, você tem que excluir os itens anexados ao usuário manualmente. Este procedimento ilustra o processo.

Para excluir um usuário da conta (AWS CLI)

1. Exclua a senha do usuário, caso ele tenha uma.

   aws iam delete-login-profile

2. Exclui as chaves de acesso do usuário, se o usuário as tiver.

   aws iam list-access-keys (para listar as chaves de acesso do usuário) e aws iam delete-access-key

3. Exclui o certificado de assinatura do usuário. Observe que ao excluir uma credencial de segurança, ela é removida permanentemente e não pode ser recuperada.

   aws iam list-signing-certificates (para listar o certificados de assinatura do usuário) e aws iam delete-signing-certificate

4. Exclui a chave pública SSH do usuário, se o usuário tiver uma.

   aws iam list-ssh-public-keys (para listar as chaves públicas SSH do usuário) e aws iam delete-ssh-public-key

5. Exclui as credenciais do Git do usuário.

   aws iam list-service-specific-credentials (para listar as credenciais do git do usuário) e aws iam delete-service-specific-credential

6. Desativa o dispositivo de autenticação multifator (MFA), se o usuário tiver um.

   aws iam list-mfa-devices (para listar os dispositivos MFA do usuário), aws iam deactivate-mfa-device (para desativar o dispositivo) e aws iam delete-virtual-mfa-device (para excluir permanentemente um dispositivo MFA virtual)

7. Exclui as políticas em linha do usuário.

   aws iam list-user-policies (para listar as políticas em linha do usuário) e aws iam delete-user-policy (para excluir a política)

8. Desanexa todas as políticas gerenciadas anexadas ao usuário.

   aws iam list-attached-user-policies (para listar as políticas gerenciadas anexadas ao usuário) e aws iam detach-user-policy (para desanexar a política)

9. Remova o usuário de todos os grupos de usuários.

   aws iam list-groups-for-user (para listar os grupos de usuários aos quais o usuário pertence) e aws iam remove-user-from-group

10. Exclua o usuário.

    aws iam delete-user

Desativar um usuário do IAM

Talvez seja necessário desativar um usuário do IAM enquanto ele estiver temporariamente fora da empresa. Você pode manter as credenciais de usuário do IAM do usuário como estão e apenas bloquear o acesso dele à AWS.

Para desativar um usuário, crie e anexe uma política que negue ao usuário acesso à AWS. Você pode restaurar o acesso do usuário posteriormente.

Aqui estão dois exemplos de políticas de negação que você pode anexar a um usuário para negar seu acesso.

A política a seguir não inclui um limite de tempo. Você deve remover a política para restaurar o acesso do usuário.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

A política a seguir inclui uma condição que inicia a política em 24 de dezembro de 2024 às 23:59 (UTC) e termina em 28 de fevereiro de 2025 às 23:59 (UTC).

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}