Métodos de gerenciamento do IAM - AWS Identity and Access Management
Console do AWSInterface de linha de comando (CLI) da AWS e kits de desenvolvimento de software (SDKs)

Métodos de gerenciamento do IAM

É possível gerenciar o IAM usando o console da AWS, a interface de linha de comando da AWS ou por meio das interfaces de aplicações (APIs) nos SDKs associados. Ao se preparar, considere a quais métodos você deseja oferecer suporte e como planeja oferecer suporte a diferentes usuários.

Console do AWS

O Console de gerenciamento da AWS é uma aplicação Web que compreende e se refere a um amplo acervo de consoles de serviço para gerenciar recursos da AWS. Quando você faz login pela primeira vez, vê a página inicial do console. A página inicial fornece acesso a todos os consoles de serviço e oferece um único local para acessar as informações necessárias para executar suas tarefas relacionadas à AWS. Os serviços e aplicações disponíveis para você depois de entrar no console dependem dos recursos da AWS que você tem permissão para acessar. É possível receber permissões para recursos assumindo um perfil, sendo membro de um grupo ao qual permissões foram concedidas ou recebendo uma permissão explícita. Para uma conta da AWS independente, o usuário raiz ou o administrador do IAM configura o acesso aos recursos. Nas AWS Organizations, a conta de gerenciamento ou o administrador delegado configura o acesso aos recursos.

Se você planeja que as pessoas usem o Console de gerenciamento da AWS para gerenciar recursos da AWS, recomendamos configurar usuários com credenciais temporárias como uma prática recomendada de segurança. Os usuários do IAM que assumiram um perfil, os usuários federados e os usuários no Centro de Identidade do IAM têm credenciais temporárias, enquanto o usuário do IAM e o usuário raiz têm credenciais de longo prazo. As credenciais do usuário raiz fornecem acesso total à Conta da AWS, enquanto outros usuários têm credenciais que fornecem acesso aos recursos concedidos pelas políticas do IAM.

A experiência de login é diferente para os diferentes tipos de usuários do AWS Management Console.

  • Os usuários do IAM e o usuário raiz fazem login via URL de login principal da AWS (https://signin.aws.amazon.com). Depois de fazer login, eles têm acesso aos recursos da conta para a qual receberam permissão.

    Para fazer login como usuário raiz, é necessário ter o endereço de e-mail e a senha do usuário raiz.

    Para entrar como usuário do IAM, é necessário ter o número ou o alias da Conta da AWS, o nome de usuário do IAM e a senha do usuário do IAM.

    Recomendamos restringir os usuários do IAM em sua conta a situações específicas que exijam credenciais de longo prazo, como acesso de emergência, e usar o usuário raiz somente para tarefas que exijam credenciais de usuário raiz.

    Para maior conveniência, a página de login da AWS usa um cookie de navegador para lembrar o nome de usuário e as informações da conta do IAM. Na próxima vez que o usuário acessar qualquer página no AWS Management Console, o console usará o cookie para redirecionar o usuário para a página de login da conta.

    Saia do console ao terminar sua sessão para evitar a reutilização do seu login anterior.

  • Os usuários do Centro de Identidade do IAM fazem login usando um portal de acesso específico da AWS que é exclusivo para sua organização. Depois de fazer login, eles podem escolher qual conta ou aplicação acessar. Se optarem por acessar uma conta, eles escolherão qual conjunto de permissões desejam usar para a sessão de gerenciamento.

  • Usuários federados gerenciados em um provedor de identidade externo vinculado a um login de Conta da AWS usando um portal de acesso corporativo personalizado. Os recursos da AWS disponíveis para usuários federados dependem das políticas selecionadas por sua organização.

nota

Para fornecer um nível adicional de segurança, o usuário raiz, os usuários do IAM e os usuários do Centro de Identidade do IAM podem ter a autenticação multifator (MFA) verificada pela AWS antes de conceder acesso aos recursos da AWS. Quando a MFA está habilitada, você também deve ter acesso ao dispositivo de MFA para fazer login.

Para saber mais sobre como diferentes usuários fazem login no console de gerenciamento, consulte Login no Console de gerenciamento da AWS no Guia do usuário de login da AWS.

Interface de linha de comando (CLI) da AWS e kits de desenvolvimento de software (SDKs)

Os usuários do Centro de Identidade do IAM e os usuários do IAM usam métodos diferentes para autenticar suas credenciais quando se autenticam por meio da CLI ou das interfaces de aplicações (APIs) nos SDKs associados.

As credenciais e as configurações estão localizadas em vários locais, como variáveis de ambiente do sistema ou do usuário, arquivos de configuração local da AWS, ou explicitamente declaradas na linha de comando como um parâmetro. Certos locais têm precedência sobre outros.

Tanto o Centro de Identidade do IAM quanto o IAM fornecem chaves de acesso que podem ser usadas com a CLI ou o SDK. As chaves de acesso do Centro de Identidade do IAM são credenciais temporárias que podem ser atualizadas automaticamente e são recomendadas no lugar das chaves de acesso de longo prazo associadas aos usuários do IAM.

Para gerenciar sua Conta da AWS usando a CLI ou o SDK, é possível usar a AWS CloudShell a partir do seu navegador. Se você usa o CloudShell para executar comandos da CLI ou do SDK, é necessário entrar no console primeiro. As permissões para acessar recursos da AWS são baseadas nas credenciais que você usou para entrar no console. Dependendo da sua experiência, talvez você considere a CLI um método mais eficiente de gerenciar a Conta da AWS.

Para o desenvolvimento de aplicações, é possível baixar a CLI ou o SDK para o seu computador e fazer login no prompt de comando ou em uma janela do Docker. Nesse cenário, você configura as credenciais de autenticação e acesso como parte do script da CLI ou da aplicação do SDK. É possível configurar o acesso programático aos recursos de maneiras diferentes, dependendo do ambiente e do acesso disponível para você.

  • As opções recomendadas para autenticar o código local com serviço da AWS são o Centro de Identidade do IAM e o IAM Roles Anywhere

  • As opções recomendadas para autenticar o código executado em um ambiente da AWS são usar perfis do IAM ou usar as credenciais do Centro de Identidade do IAM.

Se você estiver usando o Centro de Identidade do IAM, poderá obter credenciais de curto prazo na página inicial do portal de acesso da AWS, onde é possível escolher seu conjunto de permissões. Essas credenciais têm duração definida e não são atualizadas automaticamente. Se desejar utilizar essas credenciais, após entrar no portal da AWS, escolha a Conta da AWS e, em seguida, escolha o conjunto de permissões. Selecione Linha de comando ou acesso programático para ver as opções que podem ser usadas para acessar os recursos da AWS de forma programática ou via CLI. Para obter mais informações sobre esses métodos, consulte Obtenção e atualização de credenciais temporárias no Guia do usuário do Centro de Identidade do IAM. Essas credenciais são frequentemente usadas durante o desenvolvimento da aplicação para testar rapidamente o código.

Recomendamos usar as credenciais do Centro de Identidade do IAM, as quais são atualizadas automaticamente ao automatizar o acesso aos seus recursos da AWS. Se você configurou usuários e conjuntos de permissões no Centro de Identidade do IAM, use o comando aws configure sso para usar um assistente de linha de comando que o ajudará a identificar as credenciais disponíveis para você e armazená-las em um perfil. Para obter mais informações sobre como configurar seu perfil, consulte Configuração do seu perfil com o assistente aws configure sso no Guia do usuário da Interface de linha de comando da AWS para a versão 2.

nota

Muitas aplicações de exemplo usam chaves de acesso de longo prazo associadas aos usuários do IAM ou ao usuário raiz. Use as credenciais de longo prazo somente em um ambiente sandbox como parte de um exercício de aprendizado. Analise as alternativas às chaves de acesso de longo prazo e planeje fazer a transição do seu código para usar credenciais alternativas, como credenciais ou perfis do IAM do Centro de Identidade do IAM, o mais rápido possível. Depois de fazer a transição do código, exclua as chaves de acesso.

Para saber mais sobre como configurar a CLI, consulte Instalação ou atualização da versão mais recente da CLI da AWS no Guia do usuário da Interface de linha de comando da AWS para a versão 2 e Credenciais de autenticação e acesso no Guia do usuário da Interface de linha de comando da AWS

Para saber mais sobre como configurar o SDK, consulte Autenticação do Centro de Identidade do IAM no Guia de referência de SDKs e ferramentas da AWS e IAM Roles Anywhere no Guia de referência de SDKs e ferramentas da AWS.