Amazon Web Services
Referência geral (Versão 1.0)

Compreender os conceitos e suas credenciais de segurança

Os diferentes tipos de credenciais de segurança são usados dependendo de como você interage com a AWS. Por exemplo, você usa um nome de usuário e senha para entrar no Console de gerenciamento da AWS. Use as chaves de acesso para fazer chamadas programáticas para operações da API da AWS ou para usar comandos da AWS CLI.

Se você esquecer ou perder suas credenciais, você não poderá recuperá-las. Por motivos de segurança, a AWS não permite recuperar suas senhas ou chaves de acesso secretas, e não armazena as chaves privadas que fazem parte de um par de chaves. Porém, você pode criar novas credenciais e depois desabilitar ou excluir as antigas.

nota

As credenciais de segurança são específicas para cada conta. Se você tiver acesso a várias contas da AWS, use as credenciais que estão associadas com a conta que você deseja acessar.

Obter credenciais de Usuário raiz da conta da AWS é diferente de obter credenciais de usuário do IAM. Para credenciais de usuário raiz, você obtém credenciais, como as chaves de acesso ou os pares de chaves, da página Credenciais de segurança no Console de gerenciamento da AWS. Para credenciais de usuário do IAM, você obtém credenciais a partir do console do IAM.

A lista a seguir descreve os tipos de credenciais de segurança da AWS, quando você pode usá-las e como obter cada tipo de credencial para o Usuário raiz da conta da AWS ou para um usuário do IAM.

E-mail e senha (Usuário raiz)

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os serviços e recursos da AWS na conta. Essa identidade é chamada de conta usuário raiz da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.

Importante

Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulte Tarefas da AWS que exigem usuário raiz

Use o endereço de e-mail da conta da AWS e a senha para fazer login no Console de gerenciamento da AWS como Usuário raiz da conta da AWS.

nota

Se você tiver feito login anteriormente no console com as credenciais de usuário do IAM, talvez seu navegador memorize essa preferência e abra a página de login específica da sua conta. Você não pode usar a página de login de usuário do IAM para fazer login com suas credenciais de Usuário raiz da conta da AWS. Se a página de login de usuário do IAM for exibida, escolha Sign-in using usuário raiz credentials (Fazer login usando as credenciais usuário raiz) perto da parte inferior da página para retornar à página de login principal. Nessa página, você pode inserir o endereço de e-mail da conta da AWS e a senha.

Você pode alterar o endereço de e-mail e a senha na página Credenciais de segurança. Você também pode selecionar Esqueceu a senha? na página de login da AWS para redefinir sua senha.

Nome de usuário e senha do IAM

Use o AWS Identity and Access Management (IAM) para criar identidades de usuários exclusivas na AWS. Os usuários do IAM fornecem os nomes de usuário e as senhas ao fazer login no Console de gerenciamento da AWS, fóruns de discussão da AWS ou na Central de suporte da AWS. Em alguns casos, são necessários um nome de usuário do IAM e senha para usar um serviço, como enviar e-mail com SMTP usando o Amazon Simple Email Service (Amazon SES).

Para obter mais informações sobre usuários do IAM, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Ao criar usuários, você especifica nomes para eles. Se preferir, você poderá criar senhas para cada usuário. Para obter mais informações, consulte Gerenciar senhas para usuários do IAM no Guia do usuário do IAM.

nota

Os usuários do IAM podem gerenciar sua própria senha, mas somente se eles tiverem permissão. Para obter mais informações, consulte Permitir que usuários do IAM alterem sua própria senha no Guia do usuário do IAM.

Autenticação multifator (MFA)

A autenticação multifator (MFA) fornece um nível extra de segurança que pode ser aplicado a sua conta da AWS. Para segurança adicional, recomendamos que você exija MFA nas credenciais de Usuário raiz da conta da AWS e usuários do IAM altamente privilegiados. Para obter mais informações, consulte Como usar a autenticação multifator (MFA) na AWS no Guia do usuário do IAM.

Com a MFA habilitada, quando fizer login em um site da AWS, você receberá uma solicitação para fornecer seu nome de usuário, senha e um código de autenticação de um dispositivo MFA. Juntos, eles fornecem maior segurança para suas configurações e recursos de conta da AWS.

Por padrão, a autenticação multifatorial (MFA) não está habilitada. Você pode habilitar e gerenciar dispositivos de MFA para o Usuário raiz da conta da AWS acessando a página Credenciais de segurança ou o painel do IAM no Console de gerenciamento da AWS. Para obter mais informações sobre como habilitar a MFA para usuários do IAM, consulte Habilitar de dispositivos de MFA no Guia do usuário do IAM.

Chaves de acesso (ID de chave de acesso e chave de acesso secreta)

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, AKIAIOSFODNN7EXAMPLE) e uma chave de acesso secreta (por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Use as chaves de acesso para assinar solicitações programáticas que você faz para a AWS se usar os comandos da AWS CLI (usando os SDKs) ou usando as operações da API da AWS. Para obter mais informações, consulte Assinar solicitações de API do AWS. Como um nome de usuário e uma senha, você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações. Gerencie suas chaves de acesso de forma tão segura quanto você gerencia seu nome de usuário e sua senha.

Quando você cria chaves de acesso, o ID da chave de acesso e a chave de acesso secreta são criados como um conjunto. Durante a criação de chaves de acesso, a AWS oferece a você uma oportunidade de visualizar e fazer download da chave de acesso secreta que faz parte de uma chave de acesso. Se não fizer o download ou perdê-lo, você pode excluir a chave de acesso e, em seguida, criar uma nova. Você pode criar chaves de acesso para usuários do IAM com o console do IAM, a AWS CLI ou a API da AWS. Para obter mais informações, consulte Gerenciamento de chaves de acesso para usuários do IAM no Guia do usuário do IAM. Para criar chaves de acesso para o Usuário raiz da conta da AWS, você deve usar o Console de gerenciamento da AWS. Para obter mais informações, consulte Gerenciamento de chaves de acesso para sua conta do Usuário raiz da conta da AWS na Guia do usuário do IAM. Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulte Tarefas da AWS que exigem usuário raiz.

Importante

Não forneça suas chaves de acesso a terceiros, mesmo que seja para ajudar a encontrar seu ID de usuário canônico. Ao fazer isso, você pode dar a alguém acesso total à sua conta.

Uma chave de acesso recém-criada tem o status de ativo, o que significa que você pode usar a chave de acesso para chamadas de API e CLI. Você possui um limite de duas chaves de acesso para cada usuário do IAM, o que é útil quando você deseja alternar as chaves de acesso. Você também pode atribuir até duas chaves de acesso para o usuário raiz. Quando você desabilita uma chave de acesso, ela não pode ser usada para chamadas de API, e chaves inativas também contam para o limite. Você pode criar ou excluir uma chave de acesso a qualquer momento. No entanto, se uma chave de acesso for excluída, isto será definitivo, e não poderá ser recuperada.

Você também pode criar e usar as chaves de acesso temporárias, conhecidas como credenciais de segurança temporárias. Além do ID da chave de acesso e da chave de acesso secreta, as credenciais de segurança temporárias incluem um token de segurança que você deve enviar para a AWS quando usar credenciais de segurança temporárias. A vantagem das credenciais de segurança temporárias é que elas são de curto prazo. Depois que expiram, não são mais válidas. Você pode usar chaves de acesso temporárias em menos ambientes seguros ou distribuí-las para conceder aos usuários acesso temporário aos recursos da sua conta da AWS. Por exemplo, você pode conceder às entidades de outras contas da AWS acesso aos recursos na sua conta da AWS (acesso entre contas). Você também pode conceder aos usuários que não têm credenciais de segurança da AWS acesso aos recursos na sua conta da AWS (federação). Para obter mais informações, consulte Credenciais de segurança temporárias no Guia do usuário do IAM. Para obter informações sobre os IDs exclusivos que o IAM cria, incluindo seus prefixos (como o AKIA usado acima em AKIAIOSFODNN7EXAMPLE), consulte Identificadores do IAM no Guia do usuário do IAM.

Pares de chaves

Os pares de chaves não estão relacionadas às chaves de acesso, e consistem em uma chave pública e uma chave privada. A chave privada é usada para criar uma assinatura digital e, em seguida, a AWS usa a chave pública correspondente para validar a assinatura. Os pares de chaves são usados apenas para o Amazon EC2 e o Amazon CloudFront.

Para o Amazon EC2, são usados pares de chaves para acessar instâncias do Amazon EC2, como quando você usa o SSH para se fazer login em uma instância do Linux. Para obter mais informações, consulte Conectar-se a instâncias do Linux no Guia do usuário do Amazon EC2 para instâncias do Linux.

No Amazon CloudFront, os pares de chaves são usados para criar URLs assinadas para conteúdo privado, como em caso de distribuição de conteúdo restrito que alguém tenha pago. Para obter mais informações, consulte Oferecer conteúdo privado por meio do CloudFront no Guia do desenvolvedor do Amazon CloudFront.

A AWS não fornece pares de chaves para a sua conta, você deve criá-las. Você pode criar pares de chaves do Amazon EC2 a partir do console do Amazon EC2, da CLI ou da API. Para obter mais informações, consulte Pares de chaves do Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.

Crie os pares de chaves do Amazon CloudFront na página Credenciais de segurança. Somente o Usuário raiz da conta da AWS (não os usuários do IAM) pode criar pares de chaves do CloudFront. Para obter mais informações, consulte Oferecer conteúdo privado por meio do CloudFront no Guia do desenvolvedor do Amazon CloudFront.