Pré-requisitos Etapa 1: Criar a política Etapa 2: Anexar a política Etapa 3: Testar o acesso do usuário Recursos relacionados Resumo

Tutorial do IAM: Criar e anexar sua primeira política gerenciada pelo cliente

Neste tutorial, você usará o AWS Management Console para criar uma política gerenciada pelo cliente e anexará essa política a um usuário do IAM na sua Conta da AWS. A política que você cria permite que um usuário de teste do IAM faça login diretamente no AWS Management Console com permissões somente leitura.

Esse fluxo de trabalho tem três etapas básicas:

Etapa 1: Criar a política: Por padrão, os usuários do IAM não têm permissões para fazer nada. Eles não podem acessar o Console de Gerenciamento da AWS ou gerenciar os dados, a menos que você permita. Nesta etapa, você cria uma política gerenciada pelo cliente que permite a qualquer usuário anexado fazer login no console.
Etapa 2: Anexar a política: Quando você anexa uma política a um usuário, ele herda todas as permissões de acesso associadas a essa política. Nesta etapa, você anexa a nova política a um usuário de teste.
Etapa 3: Testar o acesso do usuário: Assim que a política é anexada, você pode fazer login como o usuário e testá-la.

Pré-requisitos

Para executar as etapas neste tutorial, você precisa já ter o seguinte:

Uma Conta da AWS com a qual você possa fazer login como usuário do IAM com permissões administrativas.

Um usuário de teste do IAM que não tenha permissões atribuídas ou associações de grupo da seguinte forma:

Nome do usuário	Grupo	Permissões
PolicyUser	<nenhum>	<nenhum>

Etapa 1: Criar a política

Nesta etapa, você cria uma política gerenciada pelo cliente que permita a qualquer usuário anexado fazer login no AWS Management Console com acesso somente leitura aos dados do IAM.

Para criar a política para o usuário de teste

Faça login no console do IAM em https://console.aws.amazon.com/iam/ com seu usuário que tenha permissões de administrador.
No painel de navegação, escolha Policies.
No painel de conteúdo, escolha Criar política.

Escolha a opção JSON e copie o texto do documento da política JSON a seguir. Cole este texto na caixa de texto do JSON.


{
    "Version": "2012-10-17",
    "Statement": [ {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    } ]
}

Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Próximo.

nota
Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. No entanto, se você fizer alterações ou escolher a opção Review policy (Revisar política) na guia Visual editor (Editor visual), o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para ter mais informações, consulte Reestruturação da política.
Na página Revisar e criar, digite UsersReadOnlyAccessToIAMConsole para o nome da política. Revise as permissões concedidas pela política e depois escolha Criar política para salvar seu trabalho.

A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada.

Etapa 2: Anexar a política

Em seguida, anexe a política que você acabou de criar ao usuário de teste do IAM.

Para anexar a política ao usuário de teste

No console do IAM, no painel de navegação, escolha Policies (Políticas).
Na parte superior da lista de políticas, na caixa de pesquisa, comece a digitar UsersReadOnlyAccesstoIAMConsole até ver a política. Depois, escolha o botão de seleção ao lado de UsersReadOnlyAccessToIAMConsole na lista.
Selecione o botão Actions (Ações) e escolha Attach (Anexar).
Nas entidades do IAM, escolha a opção de filtrar por Usuários.
Na caixa de pesquisa, comece a digitar PolicyUser até que o usuário fique visível na lista. Depois, marque a caixa de seleção ao lado desse usuário na lista.
Escolha Anexar política.

Você anexou a política ao usuário de teste do IAM, o que significa que o usuário agora tem acesso somente leitura ao console do IAM.

Etapa 3: Testar o acesso do usuário

Para este tutorial, recomendamos que você teste o acesso, fazendo login como o usuário de teste para ver o que os usuários podem experimentar.

Para testar o acesso fazendo login com seu usuário de teste

Faça login no console do IAM em https://console.aws.amazon.com/iam/ com o seu usuário de teste PolicyUser.
Navegue pelas páginas do console e tente criar um novo usuário ou grupo. Observe que PolicyUser pode exibir dados, mas não pode criar ou modificar dados existentes do IAM.

Recursos relacionados

Para obter informações relacionadas, consulte os recursos a seguir:

Resumo

Você concluiu com êxito todas as etapas necessárias para criar e anexar uma política gerenciada pelo cliente. Como resultado, você pode fazer login no console do IAM com sua conta de teste para ver como é a experiência para os usuários.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Delegar acesso entre Contas da AWS usando perfis

Usar controle de acesso baseado em atributos (ABAC)