Como os usuários do IAM fazem login na AWS - AWS Identity and Access Management

Como os usuários do IAM fazem login na AWS

Para fazer login no AWS Management Console como usuário do IAM, você deve fornecer seu ID de conta ou alias de conta, além de seu nome de usuário e senha. Quando o administrador criou seu usuário do IAM no console, ele deve ter enviado suas credenciais de login, incluindo seu nome de usuário e o URL para a página de login da sua conta, que inclui o ID ou o alias da sua conta.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
Dica

Para criar um marcador para a página de login da conta no navegador da web, digite manualmente o URL de login da conta na entrada do marcador. Não use o recurso de marcador do navegador da web, pois os redirecionamentos podem ocultar o URL de login.

Você também pode fazer login no seguinte endpoint geral de login e digitar o ID ou o alias da conta manualmente:

https://console.aws.amazon.com/

Para maior conveniência, a página de login da AWS usa um cookie de navegador para lembrar o nome de usuário e as informações da conta do IAM. Na próxima vez que o usuário acessar qualquer página no AWS Management Console, o console usará o cookie para redirecionar o usuário para a página de login da conta.

Você tem acesso apenas aos recursos da AWS que seu administrador especifica na política anexada à sua identidade de usuário do IAM. Para trabalhar no console, você deve ter permissões para executar as ações que o console executa, como listar e criar recursos da AWS. Para obter mais informações, consulte Gerenciamento de acesso para recursos da AWS e Exemplos de políticas baseadas em identidade do IAM.

nota

Se sua organização tiver um sistema de identidade existente, você poderá criar uma opção de autenticação única (SSO). A SSO fornece aos usuários acesso ao AWS Management Console de sua conta sem exigir que eles tenham uma identidade de usuário do IAM. O SSO também elimina a necessidade do login dos usuários no site da organização e na AWS separadamente. Para mais informações, consulte Habilitar o acesso do agente de identidades personalizado ao console da AWS.

Registrar detalhes de login no CloudTrail

Se você habilitar o CloudTrail para registrar eventos de login em seus logs, você deverá estar ciente de como o CloudTrail escolhe onde os eventos devem ser registrados.

  • Se fizerem login diretamente em um console, os usuários serão redirecionados para um endpoint de login global ou regional, com base no suporte a regiões pelo console de serviço selecionado. Por exemplo, a página inicial do console principal é compatível com regiões, logo, se você fizer login no seguinte URL:

    https://alias.signin.aws.amazon.com/console

    você será redirecionado para um endpoint de login regional como https://us-east-2.signin.aws.amazon.com, o que resulta em um registro em log do CloudTrail no log da região do usuário:

    Por outro lado, o console do Amazon S3 não oferece suporte a regiões, logo, se você fizer login no URL a seguir

    https://alias.signin.aws.amazon.com/console/s3

    A AWS redirecionará você para o endpoint de login global em https://signin.aws.amazon.com, o que resulta em um registro em log do CloudTrail global.

  • Você pode solicitar manualmente um determinado endpoint de login regional fazendo login na página inicial do console compatível com a região usando uma sintaxe de URL como a seguinte:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    A AWS redirecionará você para o endpoint de login regional ap-southeast-1 e isso resultará em um evento de log do CloudTrail regional.

Para obter mais informações sobre o CloudTrail e o IAM, consulte Registrar eventos do IAM no CloudTrail.

Caso os usuários precisem de acesso programático para trabalhar com a conta, você pode criar um par de chaves de acesso (uma ID de chave de acesso e uma chave de acesso secreta) para cada usuário, conforme descrito em Gerenciar chaves de acesso (console).