O que é o IAM? - AWS Identity and Access Management

O que é o IAM?

O AWS Identity and Access Management (IAM) é um serviço da web que ajuda você a controlar o acesso aos recursos da AWS de forma segura. Você usa o IAM para controlar quem é autenticado (fez login) e autorizado (tem permissões) a usar os recursos.

Ao criar uma conta da AWS, você começa com uma única identidade de login que tenha acesso total a todos os recursos e serviços da AWS na conta. Essa identidade é chamada de AWS da conta da usuário raiz e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta. Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços.

Vídeo de introdução ao IAM

O treinamento e certificação da AWS fornece uma introdução de vídeo de 10 minutos para o IAM:

Introdução à AWS Identity and Access Management

Recursos do IAM

O IAM oferece os seguintes recursos:

Acesso compartilhado à sua conta da AWS

Você pode conceder permissões a outras pessoas para administrar e usar recursos em sua conta da AWS sem a necessidade de compartilhar sua senha ou chave de acesso.

Permissões granulares

Você pode conceder permissões diferentes a pessoas diferentes para diferentes recursos. Por exemplo, você pode conceder acesso completo a alguns usuários ao Amazon Elastic Compute Cloud (Amazon EC2), ao Amazon Simple Storage Service (Amazon S3), ao Amazon DynamoDB, ao Amazon Redshift, e a outros serviços da AWS. Para outros usuários, você pode permitir acesso somente leitura a apenas alguns buckets do S3 ou permissão para administrar apenas algumas instâncias do EC2 ou para acessar suas informações de faturamento, mas nada mais.

Acesso seguro a recursos da AWS para aplicativos que são executados no Amazon EC2

Você pode usar recursos do IAM para fornecer credenciais de forma segura aos aplicativos que são executados em instâncias do EC2. Essas credenciais fornecem permissões ao aplicativo para acessar outros recursos da AWS. Os exemplos incluem buckets do S3 e tabelas do DynamoDB.

Autenticação multifator (MFA)

Você pode adicionar a autenticação de dois fatores à sua conta e a usuários individuais para proporcionar segurança extra. Com a MFA, você ou seus usuários devem fornecer não apenas uma senha ou chave de acesso para trabalhar com a sua conta, mas também um código de um dispositivo especialmente configurado.

Federação de identidades

Você pode permitir que os usuários que já têm senhas em outro lugar — por exemplo, em sua rede corporativa ou com um provedor de identidade de Internet — obtenham acesso temporário à sua conta da AWS.

informações de identidade para garantia

Se você usar o AWS CloudTrail, receberá registros de log com informações sobre quem fez solicitações de recursos na sua conta. Essas informações são baseadas em identidades do IAM.

Compatibilidade com PCI DSS

IAM oferece suporte a processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços, e foi validado como em conformidade com o Data Security Standard (DSS – Padrão de segurança de dados) da Payment Card Industry (PCI – Setor de cartão de crédito). Para obter mais informações sobre PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com PCI da AWS, consulte Nível 1 do PCI DSS.

Integrados com muitos serviços da AWS

Para obter uma lista de serviços da AWS que funcionam com o IAM, consulte Serviços da AWS compatíveis com o IAM.

Finalmente consistente

O IAM, como muitos outros serviços da AWS, é finalmente consistente. O IAM atinge alta disponibilidade replicando dados entre vários servidores nos datacenters da Amazon ao redor do mundo. Se uma solicitação para alterar alguns dados for bem-sucedida, a alteração estará comprometida e armazenada com segurança. No entanto, a alteração deverá ser replicada em todo o IAM, o que pode levar algum tempo. Essas alterações incluem a criação ou a atualização de usuários, grupos, funções ou políticas. Recomendamos que você não inclua essas alterações do IAM nos caminhos de código crítico de alta disponibilidade do seu aplicativo. Em vez disso, faça alterações do IAM em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas. Para obter mais informações, consulte As alterações que eu faço nem sempre ficam imediatamente visíveis.

Uso gratuito

O AWS Identity and Access Management (IAM) e o AWS Security Token Service (AWS STS) são recursos da sua conta da AWS oferecidos sem custos adicionais. Você será cobrado apenas quando acessar outros serviços da AWS usando os usuários do IAM ou as credenciais temporárias de segurança do AWS STS. Para obter informações sobre a definição de preços de outros produtos da AWS, consulte a página de definição de preços da Amazon Web Services.

Como acessar o IAM

Você pode trabalhar com o AWS Identity and Access Management de qualquer uma das seguintes formas.

Console de gerenciamento da AWS

O console é uma interface baseada em navegador para gerenciar recursos do IAM e da AWS. Para obter mais informações sobre como acessar o IAM por meio do console, consulte Fazer login no Console de gerenciamento da AWS como um usuário do IAM ou usuário raiz. Para ver um tutorial que guie você pelo console, consulte Criar o primeiro grupo e usuário administrador do IAM.

Ferramentas de linha de comando da AWS

Você pode usar as ferramentas de linha de comando da AWS para emitir comandos na linha de comando de seu sistema e realizar tarefas do IAM e da AWS. Usar a linha de comando pode ser mais rápido e mais conveniente do que o console. As ferramentas da linha de comando também são úteis se você quiser criar scripts que realizem tarefas da AWS.

A AWS fornece dois conjuntos de ferramentas de linha de comando: a AWS Command Line Interface (AWS CLI) e o AWS Tools para Windows PowerShell. Para obter informações sobre a instalação e o uso da AWS CLI, consulte Guia do usuário do AWS Command Line Interface. Para obter informações sobre a instalação e o uso do Tools para Windows PowerShell, consulte Guia do usuário do AWS Tools para Windows PowerShell.

SDKs da AWS

A AWS fornece SDKs (kits de desenvolvimento de software) que consistem em bibliotecas e códigos de exemplo para várias linguagens de programação e plataformas (Java, Python, Ruby, .NET, iOS, Android, etc.). Os SDKs constituem uma forma conveniente de criar acesso programático para o IAM e a AWS. Por exemplo, os SDKs processam tarefas como assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre os AWS SDKs, incluindo como fazer download deles e instalá-los, consulte a página Ferramentas para a Amazon Web Services.

API HTTPS do IAM

Você pode acessar o IAM e a AWS de forma programática usando a API HTTPS do IAM, que permite que você atribua solicitações HTTPS diretamente ao serviço. Quando você usa a API HTTPS, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte Chamar a API do IAM usando solicitações de consulta HTTP e IAM API Reference.