Tutorial do IAM: Permitir que os usuários gerenciem suas credenciais e configurações de MFA - AWS Identity and Access Management

Tutorial do IAM: Permitir que os usuários gerenciem suas credenciais e configurações de MFA

É possível permitir que seus usuários gerenciem os próprios dispositivos e credenciais de autenticação multifator (MFA) na página My Security Credentials (Minhas credenciais de segurança). Você pode usar o AWS Management Console para configurar credenciais (chaves de acesso, senhas, certificados de assinatura e chaves públicas SSH) e dispositivos MFA para seus usuários. Isso é útil para um pequeno número de usuários. No entanto, essa tarefa pode rapidamente se tornar demorada à medida que o número de usuários aumenta. As melhores práticas de segurança especificam que os usuários devem alterar suas senhas e alternar suas chaves de acesso regularmente. Também é recomendado excluir ou desativar as credenciais que não são necessárias. Também recomendamos usar a MFA para operações confidenciais. Este tutorial mostra como habilitar essas melhores práticas sem sobrecarregar seus administradores.

Este tutorial mostra como permitir que usuários acessem os serviços da AWS, mas apenas quando fazem login com MFA. Se o login desse usuários não for feito com um dispositivo MFA, eles não poderão acessar outros serviços.

Esse fluxo de trabalho tem três etapas básicas.

Etapa 1: Criar uma política para impor o login com MFA

Crie uma política gerenciada pelo cliente que proíba todas as ações, exceto as poucas ações do IAM. Essas exceções permitem que um usuário altere as próprias credenciais e gerencie os dispositivos com MFA na página My Security Credentials (Minhas credenciais de segurança). Para obter mais informações sobre como acessar essa página, consulte Como os usuários do IAM alteram a própria senha (console).

Etapa 2: Anexar políticas ao grupo de usuários de teste

Crie um grupo de usuários cujos membros tenham acesso total a todas as ações do Amazon EC2 se eles fizerem login com MFA. Para criar esse grupo de usuários, anexe a política gerenciada pela AWS chamada AmazonEC2FullAccess e a política gerenciada pelo cliente que você criou na primeira etapa.

Etapa 3: Testar o acesso do usuário

Faça login como o usuário de teste para verificar se o acesso ao Amazon EC2 está bloqueado até que o usuário crie um dispositivo com MFA. Depois, o usuário pode fazer login usando esse dispositivo.

Pré-requisitos

Para executar as etapas neste tutorial, você já deve ter o seguinte:

  • Uma conta da AWS com a qual você possa fazer login como usuário do IAM com permissões administrativas.

  • O número do ID da conta que você digitará na política na Etapa 1.

    Para localizar o número de ID de sua conta, na barra de navegação na parte superior da página, escolha Suporte e, em seguida, escolha Central de suporte. Você pode localizar o ID da conta no menu Suporte dessa página.

  • Um dispositivo de MFA virtual (baseado em software), chave de segurança FIDO ou dispositivo de MFA baseado em hardware.

  • Um usuário de teste do IAM que é membro de um grupo de usuários da seguinte forma:

Criar conta de usuário Criar e configurar conta de grupo de usuários
Nome de usuário Outras instruções Nome do grupo de usuários Adicionar usuário como membro Outras instruções
MFAUser Escolha apenas a opção para Acesso do AWS Management Console e atribua uma senha. EC2MFA MFAUser NÃO anexe quaisquer políticas nem conceda permissões para este grupo de usuários.

Etapa 1: Criar uma política para impor o login com MFA

Comece com a criação de uma política gerenciada pelo cliente do IAM que negue todas as permissões, exceto as necessárias para os usuários do IAM gerenciarem suas próprias credenciais e dispositivos com MFA.

  1. Faça login no Console de Gerenciamento da AWS como um usuário com credenciais de administrador. Para aderir às práticas recomendadas do IAM, não faça login com as credenciais de usuário raiz da Conta da AWS. Para obter mais informações, consulte Criar usuários individuais do IAM.

  2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. No painel de navegação, escolha Políticas e, em seguida, Criar política.

  4. Selecione a guia JSON copie o texto do documento de política JSON a seguir: AWS: permite que os usuários do IAM autenticados por MFA gerenciem as próprias credenciais na página My Security Credentials (Minhas credenciais de segurança).

  5. Cole o texto da política na caixa de texto JSON. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Next: Tags (Próximo: tags).

    nota

    É possível alternar entre as guias Visual editor (Editor visual) e JSON sempre que quiser. No entanto, a política acima inclui o elemento NotAction, que não é compatível com o editor visual. Para esta política, você verá uma notificação na guia Editor visual. Volte para a guia JSON para continuar a trabalhar com esta política.

    Este exemplo de polítia não permite que os usuários redefinam uma senha quando fazem login no AWS Management Console pela primeira vez. Recomendamos que você não conceda permissões a novos usuários até que eles façam login e redefinam suas senhas.

  6. Na página Tags, você pode adicionar pares de chave-valor de tag à política gerenciada pelo cliente (opcional) e escolher Next: Review (Próximo: Revisão).

  7. Na página Revisar, digite Force_MFA para o nome da política. Para obter a descrição da política, digite This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.. Revise o Resumo da política para ver as permissões concedidas pela sua política e, em seguida, escolha Criar política para salvar seu trabalho.

    A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada.

Etapa 2: Anexar políticas ao grupo de usuários de teste

Em seguida, anexe duas políticas ao grupo de usuários de teste do IAM, que serão usadas para conceder as permissões protegidas por MFA.

  1. No painel de navegação, selecione User groups (Grupos de usuários).

  2. Na caixa de pesquisa, digite EC2MFA e, em seguida, escolha o nome do grupo (não a caixa de seleção) na lista.

  3. Escolha a guia Permissions (Permissões), Add permissions (Adicionar permissões) e Attach policy (Anexar política).

  4. Na página Attach permission policies to EC2MFA group (Anexar políticas de permissão ao grupo EC2MFA), na caixa de pesquisa, digite EC2Full. Depois, marque a caixa de seleção ao lado de AmazonEC2FullAccess na lista. Não salve ainda as alterações.

  5. Na caixa de pesquisa, digite Force e, em seguida, marque a caixa de seleção ao lado de Forçar MFA na lista.

  6. Escolha Attach policies (Anexar políticas).

Etapa 3: Testar o acesso do usuário

Nesta parte do tutorial, você faz login como o usuário de teste e verifica se a política funciona conforme o esperado.

  1. Faça login em sua conta da AWS como MFAUser com a senha atribuída na seção anterior. Use o URL: https://<alias or account ID number>.signin.aws.amazon.com/console

  2. Escolha EC2 para abrir o console do Amazon EC2 e confirme se o usuário não tem permissões para fazer nada.

  3. Na barra de navegação no canto superior direito, selecione o nome de usuário MFAUser e selecione My Security Credentials (Minhas credenciais de segurança).

    
            Link para My Security Credentials (Minhas credenciais de segurança) do Console de Gerenciamento da AWS
  4. Agora adicione um dispositivo MFA. Na seção Multi-Factor Authentication (MFA), selecione Assign MFA device (Atribuir dispositivo MFA).

    nota

    É possível que você receba um erro informando que você não está autorizado a executar iam:DeleteVirtualMFADevice. Isso pode acontecer se alguém tiver começado a atribuir um dispositivo MFA virtual a esse usuário anteriormente e tiver cancelado o processo. Para continuar, você ou outro administrador deve excluir o dispositivo MFA existente do usuário. Para mais informações, consulte Não estou autorizado a executar: iam:DeleteVirtualMFADevice.

  5. Para este tutorial, usamos um dispositivo MFA virtual (em software), como o aplicativo Google Authenticator em um celular. Escolha Dispositivo MFA virtual e, em seguida, clique em Continuar.

    O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da chave de configuração secreta que está disponível para entrada manual em dispositivos que não suportam códigos de QR.

  6. Abra o seu aplicativo de MFA virtual. (Para obter uma lista de aplicativos que você pode usar para hospedar dispositivos MFA virtuais, consulte Aplicativos de MFA virtual.) Se o aplicativo de MFA virtual oferecer suporte a várias contas (vários dispositivos MFA virtuais), selecione a opção para criar uma nova conta (um novo dispositivo MFA virtual).

  7. Determine se o aplicativo de MFA é compatível com códigos QR e, em seguida, execute uma das seguintes ações:

    • No assistente, escolha Mostrar código QR. Em seguida, use o aplicativo para digitalizar o código QR. Por exemplo, você pode escolher o ícone de câmera ou escolher uma opção semelhante a Digitalizar código e, em seguida, usar a câmera do dispositivo para digitalizar o código.

    • No assistente Gerenciar dispositivo MFA, selecione Mostrar chave secreta e, em seguida, digite a chave secreta em seu aplicativo MFA.

    Quando você tiver concluído, o dispositivo MFA virtual inicia a geração de senhas de uso único.

  8. No assistente Gerenciar dispositivo MFA, na caixa Código MFA 1, digite a senha de uso único que atualmente é exibida no dispositivo MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa Código MFA 2. Escolha Atribuir MFA.

    Importante

    Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA conseguirá se associar ao usuário. No entanto, o dispositivo MFA estará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

    O dispositivo MFA virtual está pronto para ser usado com a AWS.

  9. Saia do console e, em seguida, faça login como MFAUser novamente. Dessa vez, a AWS solicita um código de MFA de seu telefone. Quando você obtiver esse código, digite-o na caixa e, em seguida, escolha Enviar.

  10. Escolha EC2 para abrir o console do Amazon EC2 novamente. Desta vez, observe que você poderá ver todas as informações e realizar qualquer ação desejada. Se você acessar qualquer outro console como esse usuário, verá mensagens de acesso negado. O motivo é que as políticas neste tutorial concedem acesso somente ao Amazon EC2.

Para obter as informações relacionadas no Guia do usuário do IAM, consulte os seguintes recursos: