O que é o IAM?

O AWS Identity and Access Management (IAM) é um serviço da Web que ajuda você a controlar o acesso aos recursos da AWS de forma segura. Com o IAM, é possível gerenciar permissões que controlam quais recursos da AWS os usuários poderão acessar. Você usa o IAM para controlar quem é autenticado (fez login) e autorizado (tem permissões) a usar os recursos. O IAM fornece a infraestrutura necessária para controlar a autenticação e autorização de sua Contas da AWS.

Identidades

Ao criar uma Conta da AWS, você começa com uma identidade de login com acesso completo a todos os AWS services e recursos na conta. Essa identidade, chamada usuário raiz da Conta da AWS, é acessada por login com o endereço de e-mail e a senha usada para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do Usuário do IAM.

Use o IAM para configurar outras identidades além do usuário-raiz, como administradores, analistas e desenvolvedores, e conceda a eles acesso aos recursos de que precisarem para ter sucesso em suas tarefas.

Gerenciamento de acesso

Depois que um usuário é configurado no IAM, ele usa suas credenciais de login para se autenticar no AWS. A autenticação é fornecida combinando as credenciais de login com uma entidade principal (usuário do IAM, usuário federado, perfil do IAM ou aplicação) na qual a Conta da AWS confia. Em seguida, é feita uma solicitação para conceder acesso aos recursos para a entidade principal. O acesso seerá concedido em resposta a uma solicitação de autorização se o usuário tiver recebido permissão para o recurso. Por exemplo, ao acessar o console pela primeira vez e ir para a página inicial do console, você não está acessando um serviço específico. Quando você seleciona um serviço, a solicitação de autorização é enviada para esse serviço, e ele verifica se a sua identidade está na lista de usuários autorizados, quais políticas estão sendo aplicadas para controlar o nível de acesso concedido e outras políticas que possam estar em vigor. As solicitações de autorização podem ser feitas por entidades principais de sua Conta da AWS ou de outra Conta da AWS na qual você confia.

Uma vez autorizada, a entidade principal pode agir ou realizar operações com recursos em sua Conta da AWS. Por exemplo, a entidade principal pode iniciar uma nova instância do Amazon Elastic Compute Cloud, modificar a associação ao grupo do IAM ou excluir buckets do Amazon Simple Storage Service.

dica

O AWS Training and Certification fornece um vídeo de introdução de dez minutos ao IAM:

Introdução ao AWS Identity and Access Management.

Disponibilidade do serviço

O IAM, como muitos outros produtos da AWS, oferece consistência final. O IAM atinge alta disponibilidade ao replicar dados em vários servidores dentro de datacenters da Amazon em todo o mundo. Se uma solicitação para alterar alguns dados for bem-sucedida, a alteração estará comprometida e armazenada com segurança. No entanto, a alteração deverá ser replicada em todo o IAM, o que pode levar algum tempo. Essas alterações incluem a criação ou a atualização de usuários, grupos, funções ou políticas. Recomendamos que você não inclua essas alterações do IAM nos caminhos de código crítico de alta disponibilidade do seu aplicativo. Em vez disso, faça alterações do IAM em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas. Para ter mais informações, consulte As alterações que eu faço nem sempre ficam imediatamente visíveis.

Informações sobre custo do serviço

O AWS Identity and Access Management (IAM), o AWS IAM Identity Center e o AWS Security Token Service (AWS STS) são recursos da conta da AWS oferecidos sem custo adicional. Você só será cobrado quando acessar outros produtos da AWS usando seus usuários do IAM ou as credenciais de segurança temporárias do AWS STS.

A análise de acesso externo do IAM Access Analyzer é oferecida sem custo adicional. Porém, você incorrerá em custos de análise de acesso e verificações de políticas de clientes não utilizadas. Para obter uma lista completa de cobranças e preços do IAM Access Analyzer, consulte Preços do IAM Access Analyzer.

Para obter informações sobre preços de outros produtos da AWS, consulte a página de preços da Amazon Web Services.

Integração com outros serviços da AWS

O IAM está integrado a muitos serviços da AWS. Para obter uma lista dos serviços da AWS que funcionam com o IAM e dos recursos do IAM compatíveis com os serviços, consulte Serviços da AWS que funcionam com o IAM.

Para obter mais informações sobre os conceitos do IAM, consulte os tópicos a seguir:

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Por que devo usar o IAM?