Visão geral do gerenciamento de acesso: permissões e políticas - AWS Identity and Access Management

Visão geral do gerenciamento de acesso: permissões e políticas

A parte de gerenciamento de acesso do AWS Identity and Access Management (IAM) ajuda você a definir o que uma entidade principal pode fazer em uma conta. Uma entidade principal é uma pessoa ou aplicativo que é autenticado usando uma entidade do IAM (usuário ou função). O gerenciamento de acesso geralmente é referenciado como autorização. Você gerencia o acesso no AWS criando políticas e anexando-as a identidades do IAM (usuários, grupos de usuários ou regras) ou recursos do AWS. Uma política é um objeto no AWS que, quando associado a uma identidade ou recurso, define suas permissões. O AWS avalia essas políticas quando um principal usa uma entidade do IAM (usuário ou função) para fazer uma solicitação. As permissões nas políticas determinam se a solicitação é consentida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON. Para obter mais informações sobre os tipos e os usos de políticas, consulte Políticas e permissões no IAM.

Políticas e contas

Se você gerenciar uma única conta na AWS, você definirá as permissões nessa conta usando políticas. Se você gerenciar permissões entre várias contas, será mais difícil gerenciar as permissões de seus usuários. Você pode usar funções do IAM, políticas baseadas em recurso ou listas de controle de acesso (ACLs) para permissões entre contas. No entanto, se você possuir várias contas, em vez disso, recomendamos o uso do serviço AWS Organizations para ajudá-lo a gerenciar essas permissões. Para obter mais informações, consulte O que é o AWS Organizations? no Guia do usuário do Organizations.

Políticas e usuários

Os usuários do IAM são identidades no serviço. Quando você cria um usuário do IAM, ele não pode acessar nada em sua conta até que você conceda permissão a ele. Você concede permissões a um usuário criando uma política baseada em identidade, que é uma política que é anexada ao usuário ou grupo ao qual o usuário pertence. O exemplo a seguir mostra a política JSON que permite que o usuário execute todas as ações do Amazon DynamoDB (dynamodb:*) na tabela Books na conta 123456789012 na região us-east-2.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" } }

Depois que você anexar essa política a seu usuário do IAM, o usuário somente terá essas permissões do DynamoDB. A maioria dos usuários têm várias políticas que juntas representam as permissões para esse usuário.

Por padrão, as ações ou os recursos que não são explicitamente permitidos são negados. Por exemplo, se a política anterior for a única política anexada a um usuário, esse usuário terá permissão para executar apenas as ações do DynamoDB na tabela Books. As ações em todas as outras tabelas são proibidas. Da mesma forma, o usuário não pode executar nenhuma ação no Amazon EC2, no Amazon S3 ou em qualquer outro serviço da AWS. O motivo é que as permissões para trabalhar com esses serviços não estão incluídas na política.

Políticas e grupos

Você pode organizar os usuários do IAM em Grupos do IAM e anexar uma política a um grupo. Neste caso, os usuários individuais ainda têm suas próprias credenciais, mas todos os usuários em um grupo têm as permissões que são anexadas ao grupo. Use grupos para facilitar o gerenciamento de permissões e siga o nossas Melhores práticas de segurança no IAM.


        Os usuários podem ser organizados em grupos para facilitar o gerenciamento de permissões, porque os usuários têm as permissões atribuídas a um grupo.

Os usuários ou os grupos podem ter várias políticas anexadas a eles que concedem diferentes permissões. Nesse caso, as permissões dos usuários são calculadas com base na combinação de políticas. No entanto, o princípio básico ainda se aplica: se o usuário não recebeu uma permissão explícita para uma ação e um recurso, ele não terá essas permissões.

Usuários federados e funções

Os usuários federados não têm identidades permanentes em sua conta da AWS como os usuários do IAM. Para atribuir permissões a usuários federados, você pode criar uma entidade denominada função e definir permissões para a função. Quando um usuário federado fizer login na AWS, ele estará associado à função e terá as permissões definidas na função. Para obter mais informações, consulte Criar uma função para um provedor de identidade de terceiros (federação).

Políticas baseadas em identidade e em recursos

As políticas baseadas em identidade são políticas de permissões que você pode anexar a uma identidade do IAM, como um usuário, grupo ou função do IAM. As políticas baseadas em recurso são políticas de permissões que você anexa a um recurso, como um bucket do Amazon S3 ou uma política de confiança de função do IAM.

As Políticas baseadas em identidade controlam quais ações cada identidade pode realizar, em quais recursos e em que condições. As políticas baseadas em identidade podem ser categorizadas em:

  • Políticas gerenciadas – Políticas independentes baseadas em identidade que você pode anexar a vários usuários, grupos e funções na sua conta da AWS. Você pode usar dois tipos de políticas gerenciadas:

    • Políticas gerenciadas pela AWS – políticas gerenciadas que são criadas e gerenciadas pela AWS. Se você não tiver experiência com o uso de políticas, recomendamos começar usando políticas gerenciadas pela AWS.

    • Políticas gerenciadas pelo cliente – políticas gerenciadas que você criar e gerenciar em sua conta da AWS. As políticas gerenciadas pelo cliente oferecem um controle mais preciso de suas políticas do que as políticas gerenciadas pela AWS. Você pode criar, editar e validar uma política do IAM no editor visual ou criando diretamente o documento de política JSON. Para obter mais informações, consulte Criar políticas do IAM e Editar políticas do IAM.

  • Políticas em linha – Políticas que você cria e gerencia e que são incorporadas diretamente em um único usuário, grupo ou função. Na maioria dos casos, não recomendamos o uso de políticas embutidas.

As Políticas baseadas em recurso controlam quais ações uma entidade principal pode realizar nesses recursos, e em que condições. As políticas baseadas em recursos são políticas em linha, e não há políticas gerenciadas que sejam baseadas em recurso. Para permitir o acesso entre contas, você pode especificar uma conta inteira ou as entidades do IAM em outra conta como o principal em uma política baseada em recurso.

O serviço do IAM oferece suporte a apenas um tipo de política baseada em recurso chamada política de confiança de uma função, que é anexada a uma função do IAM. Como uma função do IAM é uma identidade e um recurso que oferece suporte a políticas baseadas em recurso, você deve anexar uma política de confiança e uma política baseada em identidade a uma função do IAM. As políticas de confiança definem quais entidades principais (contas, usuários, funções e usuários federados) podem assumir a função. Para saber como as funções do IAM são diferentes das outras políticas baseadas em recurso, consulte Como as funções do IAM diferem de políticas baseadas em recursos.

Para ver quais serviços oferecem suporte a políticas baseadas em recursos, consulte Serviços da AWS compatíveis com o IAM. Para saber mais sobre as políticas baseadas em recursos, consulte Políticas baseadas em identidade e em recursos.