As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de identidade e acesso no AWS Control Tower
Para realizar qualquer operação em sua landing zone, como provisionar contas no Account Factory ou criar novas unidades organizacionais (OUs) no console do AWS Control Tower, AWS IAM Identity Center solicite ou solicite que você autentique que é um usuário aprovado. AWS Identity and Access Management AWS Por exemplo, se você estiver usando o console do AWS Control Tower, autentica sua identidade fornecendo suas AWS credenciais, conforme fornecidas pelo seu administrador.
Depois de autenticar sua identidade, o IAM controla seu acesso AWS com um conjunto definido de permissões em um conjunto específico de operações e recursos. Se você for administrador da conta, poderá usar o IAM para controlar o acesso de outros usuários do IAM aos recursos associados à sua conta.
Tópicos
- Autenticação
- Controle de acesso
- Trabalhando com o AWS IAM Identity Center e o AWS Control Tower
- Visão geral do gerenciamento de permissões de acesso aos seus recursos do AWS Control Tower
- Evite a falsificação de identidade entre serviços
- Usando políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower
Autenticação
Você tem acesso a AWS qualquer um dos seguintes tipos de identidades:
-
AWS usuário raiz da conta — Ao criar uma AWS conta pela primeira vez, você começa com uma identidade que tem acesso completo a todos os AWS serviços e recursos da conta. Essa identidade é chamada de usuário raiz da AWS conta. Você tem acesso a essa identidade ao fazer login com o endereço de e-mail e a senha usados para criar a conta. É recomendável não usar o usuário raiz para suas tarefas diárias, nem mesmo para as administrativas. Em vez disso, adote a prática recomendada de usar o usuário raiz somente para criar seu primeiro usuário do IAM Identity Center (recomendado) ou usuário do IAM (não é uma prática recomendada na maioria dos casos de uso). Depois, guarde as credenciais do usuário raiz em um lugar seguro e utilize-as para executar somente algumas tarefas de gerenciamento de contas e serviços. Para ter mais informações, consulte Quando fazer login como usuário root.
-
Usuário do IAM — Um usuário do IAM é uma identidade em sua AWS conta que tem permissões específicas e personalizadas. Você pode usar as credenciais de usuário do IAM para entrar em AWS páginas da Web seguras, como o AWS Management Console, os fóruns de AWS discussão ou o AWS Support Center. AWS as melhores práticas recomendam que você crie um usuário do IAM Identity Center em vez de um usuário do IAM, porque há mais risco de segurança ao criar um usuário do IAM com credenciais de longo prazo.
Se você precisar criar um usuário do IAM para uma determinada finalidade, além das credenciais de login, poderá gerar chaves de acesso para cada usuário do IAM. Você pode usar essas chaves ao chamar AWS serviços programaticamente, por meio de um dos vários SDKs ou usando a Interface de Linha de AWS Comando (CLI). As ferramentas do SDK e da CLI usam as chaves de acesso para cadastrar criptograficamente sua solicitação. Se você não usa AWS ferramentas, você mesmo deve assinar a solicitação. O AWS Control Tower oferece suporte ao Signature versão 4, um protocolo para autenticar solicitações de API de entrada. Para obter mais informações sobre solicitações de autenticação, consulte Processo de assinatura do Signature versão 4 na Referência AWS geral.
-
Perfil do IAM: perfil do IAM é uma identidade do IAM que você pode criar em sua conta com permissões específicas. Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade e tem políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. Os perfis do IAM com credenciais temporárias são úteis nas seguintes situações:
-
Acesso de usuário federado — em vez de criar um usuário do IAM, você pode usar identidades existentes do seu diretório de AWS Directory Service usuários corporativo ou de um provedor de identidade da web. Eles são conhecidos como usuários federados. AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidade. Para obter mais informações sobre usuários federados, consulte Usuários federados e funções no Manual do usuário do IAM.
-
AWS acesso ao serviço — Uma função de serviço é uma função do IAM que um serviço assume para realizar ações em sua conta em seu nome. Ao configurar alguns ambientes AWS de serviço, você deve definir uma função a ser assumida pelo serviço. Essa função de serviço deve incluir todas as permissões necessárias para que o serviço acesse os AWS recursos necessários. As funções de serviço variam de acordo com o serviço, mas muitas permitem que você escolha suas permissões, desde que atenda aos requisitos documentados para esse serviço. As funções de serviço fornecem acesso apenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços em outras contas. Você pode criar, modificar e excluir uma função de serviço no IAM. Por exemplo, é possível criar uma função que permita ao Amazon Redshift acessar um bucket do Amazon S3 em seu nome e carregar dados do bucket em um cluster do Amazon Redshift. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS serviço no Guia do usuário do IAM.
-
Aplicativos em execução no Amazon EC2 — Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma instância do Amazon EC2 e fazendo solicitações de CLI AWS ou API. AWS É preferível fazer isso a armazenar chaves de acesso na instância do Amazon EC2. Para atribuir uma AWS função a uma instância do Amazon EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância que é anexado à instância. Um perfil de instância contém o perfil e permite que programas que estejam em execução na instância do Amazon EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Usar um perfil do IAM para conceder permissões a aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.
-
-
A autenticação do usuário do IAM Identity Center no portal do usuário do IAM Identity Center é controlada pelo diretório que você conectou ao IAM Identity Center. No entanto, a autorização para as AWS contas que estão disponíveis para os usuários finais no portal do usuário é determinada por dois fatores:
-
A quem foi atribuído acesso a essas AWS contas no console do AWS IAM Identity Center. Para obter mais informações, consulte Acesso de login único no Guia do AWS IAM Identity Center usuário.
-
Que nível de permissões foi concedido aos usuários finais no console do AWS IAM Identity Center para permitir o acesso adequado a essas AWS contas. Para obter mais informações, consulte Conjuntos de permissões no Guia AWS IAM Identity Center do usuário.
-
Controle de acesso
Para criar, atualizar, excluir ou listar recursos do AWS Control Tower ou outros AWS recursos em sua landing zone, você precisa de permissões para realizar a operação e precisa de permissões para acessar os recursos correspondentes. Além disso, para realizar a operação de forma programática, você precisa de chaves de acesso válidas.
As seções a seguir descrevem como gerenciar permissões para o AWS Control Tower:
Tópicos
