Tutorial do IAM: Criar e anexar sua primeira política gerenciada pelo cliente - AWS Identity and Access Management

Tutorial do IAM: Criar e anexar sua primeira política gerenciada pelo cliente

Neste tutorial, você usará o AWS Management Console para criar uma política gerenciada pelo cliente e anexará essa política a um usuário do IAM na sua conta da AWS. A política que você cria permite que um usuário de teste do IAM faça login diretamente no AWS Management Console com permissões somente leitura.

Esse fluxo de trabalho tem três etapas básicas:

Etapa 1: Criar a política

Por padrão, os usuários do IAM não têm permissões para fazer nada. Eles não podem acessar o Console de Gerenciamento da AWS ou gerenciar os dados, a menos que você permita. Nesta etapa, você cria uma política gerenciada pelo cliente que permite a qualquer usuário anexado fazer login no console.

Etapa 2: Anexar a política

Quando você anexa uma política a um usuário, ele herda todas as permissões de acesso associadas a essa política. Nesta etapa, você anexa a nova política a uma conta de usuário de teste.

Etapa 3: Testar o acesso do usuário

Assim que a política é anexada, você pode fazer login como o usuário e testá-la.

Pré-requisitos

Para executar as etapas neste tutorial, você precisa já ter o seguinte:

  • Uma conta da AWS com a qual você possa fazer login como usuário do IAM com permissões administrativas.

  • Um usuário de teste do IAM que não tenha permissões atribuídas ou associações de grupo da seguinte forma:

    Nome de usuário Grupo Permissões
    PolicyUser <nenhum> <nenhum>

Etapa 1: Criar a política

Nesta etapa, você cria uma política gerenciada pelo cliente que permita a qualquer usuário anexado fazer login no AWS Management Console com acesso somente leitura aos dados do IAM.

Para criar a política para o usuário de teste

  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/ com seu usuário que tenha permissões de administrador.

  2. No painel de navegação, escolha Policies (Políticas).

  3. No painel de conteúdo, escolha Criar política.

  4. Escolha a guia JSON e copie o texto do documento de política JSON a seguir. Cole este texto na caixa de texto do JSON.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] }
  5. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, escolha Review policy (Revisar política).

    nota

    É possível alternar entre as guias Visual editor (Editor visual) e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher a opção Review policy (Revisar política) na guia Visual editor (Editor visual), o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para mais informações, consulte Reestruturação da política.

  6. Na página Revisar, digite UsersReadOnlyAccessToIAMConsole para o nome da política. Analise o Resumo da política para ver as permissões concedidas pela sua política e, em seguida, escolha Criar política para salvar seu trabalho.

    A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada.

Etapa 2: Anexar a política

Em seguida, anexe a política que você acabou de criar ao usuário de teste do IAM.

Para anexar a política ao usuário de teste

  1. No console do IAM, no painel de navegação, escolha Policies (Políticas).

  2. Na parte superior da lista de políticas, na caixa de pesquisa, comece a digitar UsersReadOnlyAccesstoIAMConsole até ver a política. Depois, marque a caixa de seleção ao lado de UsersReadOnlyAccessToIAMConsole na lista.

  3. Selecione o botão Actions (Ações) e escolha Attach (Anexar).

  4. Em Filtrar, escolha Usuários.

  5. Na caixa de pesquisa, comece a digitar PolicyUser até que o usuário fique visível na lista. Depois, marque a caixa de seleção ao lado desse usuário na lista.

  6. Escolha Attach Policy.

Você anexou a política ao usuário de teste do IAM, o que significa que o usuário agora tem acesso somente leitura ao console do IAM.

Etapa 3: Testar o acesso do usuário

Para este tutorial, recomendamos que você teste o acesso, fazendo login como o usuário de teste para ver o que os usuários podem experimentar.

Para testar o acesso fazendo login com sua conta de usuário de teste

  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/ com o seu usuário de teste PolicyUser.

  2. Navegue pelas páginas do console e tente criar um novo usuário ou grupo. Observe que PolicyUser pode exibir dados, mas não pode criar ou modificar dados existentes do IAM.

Recursos relacionados

Para obter informações relacionadas no Guia do usuário do IAM, consulte os seguintes recursos:

Resumo

Você concluiu com êxito todas as etapas necessárias para criar e anexar uma política gerenciada pelo cliente. Como resultado, você pode fazer login no console do IAM com sua conta de teste para ver como é a experiência para os usuários.