Identity and Access Management no Amazon Cloud Directory - Amazon Cloud Directory
AuthenticationControle de acesso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identity and Access Management no Amazon Cloud Directory

O acesso ao Amazon Cloud Directory exige credenciais que a AWS possa usar para autenticar as solicitações. Essas credenciais devem ter permissões para acessar recursos da AWS. As seguintes seções fornecem detalhes sobre como você pode usar oAWS Identity and Access Management (IAM)E o Cloud Directory para ajudar a proteger seus recursos controlando quem pode acessá-los:

Authentication

Você pode acessar a AWS como alguns dos seguintes tipos de identidades:

  • Usuário raiz da conta da AWS: ao criar uma conta AWS, você começa com uma única identidade de login que tem acesso completo a todos os serviços e recursos da AWS na conta. Essa identidade é denominada usuário raiz da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável que você não use o usuário raiz nas tarefas diárias, nem mesmo nas administrativas. Em vez disso, siga as práticas recomendadas para o uso do usuário raiz somente a fim de criar seu primeiro usuário do IAM. Depois, armazene as credenciais do usuário raiz com segurança e use-as para executar somente algumas tarefas de gerenciamento de contas e de serviços.

  • Usuário do IAM— UmUsuário do IAMO é uma identidade na sua conta da AWS com permissões personalizadas específicas (por exemplo, permissões para criar um diretório no Cloud Directory). É possível usar um nome de usuário e uma senha do IAM para fazer login em páginas da Web seguras da AWS, como o Console de Gerenciamento da AWS, os Fóruns de discussão da AWS ou o AWS Support Center.

     

    Além de um nome e senha de usuário, você também pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja por meio de um dos vários SDKs ou usando a Interface da linha de comando (CLI) da AWS. As ferramentas de SDK e de CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizar ferramentas da AWS, assine a solicitação você mesmo. Cloud DirectorySignature versão 4, um protocolo para autenticar solicitações de API de entrada. Para obter mais informações sobre solicitações de autenticação, consulte Processo de assinatura do Signature versão 4 na Referência geral da AWS.

     

  • Função do IAM: uma função do IAM é uma identidade do IAM que você pode criar em sua conta com permissões específicas. Uma função do IAM é semelhante a um usuário do IAM, pois é uma identidade da AWS com políticas de permissão que determinam o que a identidade pode e não pode fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumida por qualquer pessoa que precisar dela. Além disso, uma função não tem credenciais de longo prazo padrão, como uma senha ou chaves de acesso, associadas a ela. Em vez disso, quando você assumir uma função, ela fornecerá credenciais de segurança temporárias para sua sessão de função. As funções do IAM com credenciais temporárias são úteis nas seguintes situações:

     

    • Acesso de usuário federado: em vez de criar um usuário do IAM, é possível usar identidades existentes do AWS Directory Service, o diretório de usuários da sua empresa ou um provedor de identidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter mais informações sobre usuários federados, consulte Usuários e funções federados no Guia do usuário do IAM.

       

    • Acesso ao serviço da AWS: uma função de serviço é uma função do IAM que um serviço assume para realizar ações em seu nome. As funções de serviço fornecem acesso apenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços em outras contas. Um administrador do IAM pode criar, modificar e excluir uma função de serviço do IAM. Para obter mais informações, consulte Criar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

       

    • Aplicações em execução no Amazon EC2: é possível usar uma função do IAM para gerenciar credenciais temporárias para aplicações em execução em uma instância do EC2 que fazem solicitações de API da AWS ou de CLI da AWS. É preferível fazer isso do que armazenar chaves de acesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância para ser anexado à instância. Um perfil de instância contém a função e permite que programas que estão em execução na instância do EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Usar uma função do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Controle de acesso

Você pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha permissões, não pode criar nem acessar os recursos do Cloud Directory. Por exemplo, você deve ter permissões para criar um Amazon Cloud Directory.

As seções a seguir descrevem como gerenciar permissões para o Cloud Directory. Recomendamos que você leia a visão geral primeiro.