As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Identity and Access Management em AWS Cloud Map
Para realizar qualquer ação nos AWS Cloud Map recursos, como registrar um domínio ou atualizar um registro, o AWS Identity and Access Management (IAM) exige que você autentique que é um usuário aprovado AWS . Se você estiver usando o AWS Cloud Map console, autentica sua identidade fornecendo seu nome de AWS usuário e uma senha. Se você estiver acessando AWS Cloud Map programaticamente, seu aplicativo autentica sua identidade para você usando chaves de acesso ou assinando solicitações.
Depois de autenticar sua identidade, o IAM controla seu acesso ao AWS verificando se você tem permissões para realizar ações e acessar recursos. Se você for o administrador da conta, poderá usar o IAM para controlar o acesso de outros usuários aos recursos que estão associados à sua conta.
Este capítulo explica como usar o IAM e como ajudar AWS Cloud Map a proteger seus recursos.
Tópicos
Autenticação
Você pode acessar AWS como qualquer um dos seguintes:
-
Usuário raiz da conta da AWS – Ao criar uma conta da AWS , você começa com uma única identidade de login que tenha acesso total a todos os recursos e serviços da AWS na conta. Essa identidade é chamada de Usuário raiz da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta. Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos Serviços da AWS os recursos da conta. Essa identidade é chamada de usuário Conta da AWS raiz e é acessada fazendo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do Usuário do IAM.
-
Usuário do IAM — Um usuário do IAM é uma identidade em sua AWS conta que tem permissões personalizadas específicas (por exemplo, permissões para criar um namespace HTTP em AWS Cloud Map). Você pode usar suas credenciais de login do IAM para proteger AWS páginas da Web como o AWS Management Console
, AWS re:POST ou o Center.AWS Support Além das credenciais de login, você também pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar AWS serviços de forma programática, seja por meio de um dos vários SDKs
ou usando o. AWS Command Line Interface As ferramentas do SDK e da CLI usam as chaves de acesso para cadastrar criptograficamente sua solicitação. Se você não usa AWS ferramentas, você mesmo deve assinar a solicitação. AWS Cloud Map suporta o Signature Version 4, um protocolo para autenticar solicitações de API de entrada. Para obter mais informações sobre solicitações de autenticação, consulte Assinatura de solicitações AWS da API no Guia do AWS Identity and Access Management usuário. -
Perfil do IAM: perfil do IAM é uma identidade do IAM que você pode criar em sua conta com permissões específicas. Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. Os perfis do IAM com credenciais temporárias são úteis nas seguintes situações:
-
Acesso de usuário federado — em vez de criar um usuário do IAM, você pode usar identidades de usuário existentes AWS Directory Service, do seu diretório de usuários corporativo ou de um provedor de identidade da web. Eles são conhecidos como usuários federados. AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidade. Para obter mais informações sobre usuários federados, consulte Usuários federados e funções no Manual do usuário do IAM.
-
AWS acesso ao serviço — Você pode usar uma função do IAM em sua conta para conceder permissões a um AWS serviço para acessar os recursos da sua conta. Por exemplo, é possível criar uma função que permita ao Amazon Redshift acessar um bucket do Amazon S3 em seu nome e carregar dados do bucket em um cluster do Amazon Redshift. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS serviço no Guia do usuário do IAM.
-
Aplicativos em execução no Amazon EC2 — Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma instância do Amazon EC2 e fazendo solicitações de API. AWS É preferível fazer isso a armazenar chaves de acesso na instância do Amazon EC2. Para atribuir uma AWS função a uma instância do Amazon EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém o perfil e permite que programas que estejam em execução na instância do Amazon EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Usar um perfil do IAM para conceder permissões a aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.
-
Controle de acesso
Para criar, atualizar, excluir ou listar AWS Cloud Map recursos, você precisa de permissões para realizar a ação e precisa de permissão para acessar os recursos correspondentes. Além disso, para realizar a ação de forma programática, você precisa de chaves de acesso válidas.
As seções a seguir descrevem como gerenciar permissões para AWS Cloud Map. Recomendamos que você leia a visão geral primeiro.
