Visão geral do gerenciamento de identidades da AWS: usuários - AWS Identity and Access Management

Visão geral do gerenciamento de identidades da AWS: usuários

Para maior segurança e organização, você pode conceder acesso à sua conta da AWS a usuários específicos, identidades que você cria com permissões personalizadas. Você pode simplificar ainda mais o acesso para esses usuários por meio da federação de identidades existentes na AWS.

Somente primeiro acesso: credenciais do usuário raiz

Ao criar uma conta da AWS, você cria uma identidade de usuário raiz da Conta da AWS, que pode ser usada para fazer login na AWS. Você pode fazer login no AWS Management Console usando essa identidade de usuário raiz, ou seja, com o endereço de e-mail e a senha que você fornece ao criar a conta. Essa combinação de seu endereço de e-mail e senha também é chamada de credenciais de usuário raiz.

Ao usar suas credenciais de usuário raiz, você tem acesso total e irrestrito a todos os recursos da sua conta da AWS, incluindo o acesso às informações de faturamento e a capacidade de alterar a senha. Esse nível de acesso é necessário quando você configura inicialmente a conta. No entanto, recomendamos que você não use as credenciais de usuário raiz para acesso diário. Recomendamos também que você não compartilhe suas credenciais de usuário raiz com outras pessoas, pois isso permite que elas tenham acesso irrestrito à sua conta. Somente as políticas de controle de serviço (SCPs) nas organizações podem restringir as permissões concedidas ao usuário raiz.

As seções a seguir explicam como usar o IAM para criar e gerenciar a identidade e as permissões de usuário para fornecer acesso limitado seguro aos recursos da AWS tanto para você quanto para outras pessoas que precisam trabalhar com os recursos da AWS.

Usuários do IAM

O aspecto “identidade” do AWS Identity and Access Management (IAM) ajuda você com a pergunta “Quem é este usuário?”, geralmente chamado de autenticação. Em vez de compartilhar suas credenciais de usuário raiz com outras pessoas, você pode criar usuários individuais do IAM na conta que correspondam aos usuários na sua organização. Os usuários do IAM não são contas separadas; eles são usuários dentro da sua conta. Cada usuário pode ter sua própria senha para o acesso ao AWS Management Console. Você também pode criar uma chave de acesso individual para cada usuário, para que ele possa fazer solicitações programáticas para trabalhar com recursos em sua conta. Na figura a seguir, os usuários Li, Mateo, DevApp1, DevApp2, TestApp1 e TestApp2 foram adicionados a uma única conta da AWS. Cada usuário tem suas próprias credenciais.


        Uma conta da AWS com usuários individuais do IAM, cada um com suas próprias credenciais.

Observe que alguns dos usuários são, na verdade, aplicativos (por exemplo, DevApp1). Um usuário do IAM não precisa representar uma pessoa real; você pode criar um usuário do IAM para gerar uma chave de acesso para uma aplicação que é executada em sua rede corporativa e que precisa de acesso à AWS.

Recomendamos que você crie um usuário do IAM para você e, em seguida, atribua permissões administrativas à sua conta. Em seguida, você pode fazer login como esse usuário para adicionar mais usuários, conforme necessário.

Federação de usuários existentes

Se os usuários na sua organização já tiverem uma forma de autenticação, por exemplo, ao fazer login na sua rede corporativa, você não precisará criar usuários do IAM separados para eles. Em vez disso, você pode criar a federação dessas identidades de usuários na AWS.

O diagrama a seguir mostra como um usuário pode usar o IAM para obter credenciais de segurança temporárias da AWS para acessar recursos em sua conta da AWS.


        Os usuários que já estão autenticados em outro lugar podem ser federados na AWS sem a necessidade de um usuário do IAM.

A federação é especialmente útil nos seguintes casos:

  • Seus usuários já têm identidades em um diretório corporativo.

    Se o seu diretório corporativo for compatível com Security Assertion Markup Language 2.0 (SAML 2.0), você poderá configurar o diretório corporativo para fornecer acesso de logon único (SSO) ao AWS Management Console para seus usuários. Para mais informações, consulte Cenários comuns para credenciais temporárias.

    Se o seu diretório corporativo não for compatível com SAML 2.0, você poderá criar um aplicativo identity broker para fornecer acesso de logon único (SSO) ao AWS Management Console para seus usuários. Para mais informações, consulte Habilitar o acesso do agente de identidades personalizado ao console da AWS.

    Se o seu diretório corporativo for o Microsoft Active Directory, você poderá usar o AWS Directory Service para estabelecer confiança entre o diretório corporativo e sua conta da AWS.

  • Seus usuários já têm identidades da Internet.

    Se você estiver criando um aplicativo móvel ou um aplicativo baseado na web que permita aos usuários se identificar por meio de um provedor de identidade da Internet, como Login with Amazon, Facebook, Google ou qualquer provedor de identidade compatível com OpenID Connect (OIDC), o aplicativo poderá usar a federação para acessar a AWS. Para mais informações, consulte Sobre a federação de identidades da Web.

    Dica

    Para usar a federação de identidades com provedores de identidade da Internet, recomendamos usar o Amazon Cognito.