Identity and Access Management para o AWS Global Accelerator - AWS Global Accelerator
Conceitos e termosPermissões necessárias para acesso ao console, gerenciamento de autenticação e controle de acessoComo o Global Accelerator funciona com o IAMSolucionando problemas de autenticação e controle Políticas baseadas em tag

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identity and Access Management para o AWS Global Accelerator

O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda um administrador a controlar com segurança o acesso aos recursos da AWS, incluindo os recursos do AWS Global Accelerator. Os administradores usam o IAM para controlar quem éAutenticado(conectado) eautorizado(tem permissões) para usar recursos do Global Accelerator. O IAM é um recurso incluído na conta da AWS gratuitamente.

Importante

Se não estiver familiarizado com o IAM, reveja as informações introdutórias nesta página e consulteConceitos básicos do IAM. Opcionalmente, você pode saber mais sobre autenticação e controle de acesso consultandoO que é autenticação?,O que é controle de acesso?, eO que são políticas?.

Tópicos

Conceitos e termos

Autenticação— para fazer login na AWS, você deve usar um dos seguintes: credenciais de usuário raiz (não recomendadas), credenciais de usuário do IAM ou credenciais temporárias usando funções do IAM. Para saber mais sobre essas entidades, consulte O que é autenticação?.

Controle de acesso— os administradores da AWS usam políticas para controlar o acesso aos recursos da AWS, como os aceleradores do Global Accelerator. Para saber mais, consulte O que é controle de acesso? e O que são políticas?.

Importante

Todos os recursos de uma conta são de propriedade da conta, independentemente de quem os criou. Você deve receber acesso para criar um recurso. No entanto, você não tem acesso completo a um recurso automaticamente só porque o criou. Um administrador deve conceder permissões explicitamente para cada ação que você deseja executar. Esse administrador também pode revogar suas permissões a qualquer momento.

Para ajudar a compreender os conceitos básicos de como o IAM funciona, reveja os termos a seguir:

Recursos

Os serviços da AWS, como o Global Accelerator e o IAM, geralmente incluem objetos chamados objetos. Na maioria dos casos, você pode criar, gerenciar e excluir esses recursos do serviço. Os recursos do IAM incluem usuários, grupos, funções e políticas:

Usuários

Um usuário do IAM representa a pessoa ou o aplicativo que usa suas credenciais para interagir com a AWS. Um usuário consiste em um nome, uma senha para fazer login no Console de Gerenciamento da AWS e até duas chaves de acesso que podem ser usadas com a CLI da AWS ou a API da AWS.

Grupos

Um grupo do IAM é um conjunto de usuários do IAM. Os administradores podem usar grupos para especificar permissões para usuários membros. Isso facilita o gerenciamento de permissões de vários usuários.

Funções

Uma função do IAM não tem nenhuma credencial de longo prazo (senha ou chaves de acesso) associada a ela. Uma função pode ser assumida por qualquer pessoa que precise dela e tenha permissões. Um usuário do IAM pode assumir uma função para conseguir temporariamente permissões diferentes para uma tarefa específica. Os usuários federados podem assumir uma função usando um provedor de identidade externo que esteja mapeado para a função. Alguns serviços da AWS podem assumir umaFunção de serviço doPara acessar os recursos da AWS em seu nome.

Políticas

Políticas são documentos JSON que definem as permissões do objeto ao qual são anexadas. A AWS oferece suportePolíticas baseadas em identidade doque você anexa a identidades (usuários, grupos ou funções do). Alguns serviços da AWS permitem que você anexePolíticas baseadas em recursos doPara recursos a fim de controlar o que um principal (pessoa ou aplicativo) pode fazer com esse recurso. O Global Accelerator não oferece suporte a políticas baseadas em recurso.

Identidades

Identidades são os recursos do IAM para os quais você pode definir permissões. Entre eles estão usuários, grupos e funções.

Entidades

Entidades são os recursos do IAM do que você usa para autenticação. Entre eles estão usuários e funções.

Principais

Na AWS, um principal é uma pessoa ou um aplicativo que usa uma entidade para fazer login e solicitações à AWS. Como um principal, você pode usar o Console de Gerenciamento da AWS, a CLI da AWS ou a API da AWS para executar uma operação (como excluir um acelerador). Isso cria uma solicitação para essa operação. Sua solicitação especifica a ação, o recurso, o principal, a conta do principal e qualquer informação adicional sobre a solicitação. Todas essas informações fornecem à AWS ocontextpara o seu pedido. A AWS verifica todas as políticas aplicáveis ao contexto da sua solicitação. A AWS autorizará a solicitação somente se cada parte de sua solicitação tiver permissão concedida pelas políticas.

Para visualizar um diagrama do processo de autenticação e de controle de acesso, consulteNoções básicas sobre o funcionamento donoGuia do usuário do IAM. Para obter detalhes sobre como a AWS determina se uma solicitação deve obter permissão, consulteLógica da avaliação de políticasnoGuia do usuário do IAM.

Permissões necessárias para acesso ao console, gerenciamento de autenticação e controle de acesso

Para usar o Global Accelerator ou gerenciar sua própria autorização e controle de acesso ou de outros usuários, você deve ter as permissões corretas.

Permissões necessárias para criar um acelerador Global Accelerator

Para criar um acelerador do AWS Global Accelerator, os usuários devem ter permissão para criar funções vinculadas ao serviço associadas ao Global Accelerator.

Para garantir que os usuários tenham as permissões corretas para criar aceleradores no Global Accelerator, anexe uma política ao usuário, como a seguinte.

nota

Se você criar uma política de permissões baseada em identidade que seja mais restritiva, os usuários com essa política não poderão criar um acelerador.

{
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "globalaccelerator.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
      ],
      "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*"
    }

Permissões necessárias para usar o console do Global Accelerator

Para acessar o console do AWS Global Accelerator, é necessário ter um conjunto mínimo de permissões que permitam listar e visualizar detalhes sobre os recursos do Global Accelerator na conta da AWS. Se você criar uma política de permissões baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades com essa política.

Para garantir que essas entidades ainda consigam usar o console do Global Accelerator ou as ações da API, anexe também ao usuário uma das seguintes políticas gerenciadas pela AWS, conforme descrito emCriar políticas na guia JSON:

        GlobalAcceleratorReadOnlyAccess
        GlobalAcceleratorFullAccess

Anexar a primeira política,GlobalAcceleratorReadOnlyAccess, se os usuários só precisarem visualizar informações no console ou fazer chamadas para a CLI da AWS ou a API que usamList*ouDescribe*operações.

Anexar a segunda política,GlobalAcceleratorFullAccess, para usuários que precisam criar ou fazer atualizações em aceleradores. A política de acesso total inclui oCompletopermissões para o Global Accelerator, bem comodescribepermissões para o Amazon EC2 e Elastic Load Balancing.

nota

Se você criar uma política de permissões baseada em identidade que não inclua as permissões necessárias para o Amazon EC2 e o Elastic Load Balancing, os usuários com essa política não poderão adicionar recursos do Amazon EC2 e do Elastic Load Balancing aos aceleradores.

Segue-se a política de acesso completo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Permissões necessárias para o gerenciamento de autenticação

Para gerenciar suas próprias credenciais, como senha, chaves de acesso e dispositivos de autenticação multifator (MFA - Multi-factor Authentication), o administrador deve conceder a você as permissões necessárias. Para visualizar a política que inclui essas permissões, consulte Permitir que usuários do gerenciem automaticamente suas credenciais.

Como administrador da AWS, você precisa de acesso completo ao IAM para que possa criar e gerenciar usuários, grupos, funções e políticas no IAM. Você deve usar oAdministratorAccessPolítica gerenciada pela AWS que inclui acesso completo a toda a AWS. Esta política não fornece acesso ao console de Billing and Cost Management da AWS nem permite tarefas que exigem credenciais de usuário raiz da conta da AWS. Para obter mais informações, consulteTarefas da AWS que exigem credenciais do usuário raiz da conta da AWSnoReferência geral da AWS.

Atenção

Somente um usuário administrador deve ter acesso completo à AWS. Quem tem essa política tem permissão para gerenciar completamente a autenticação e o controle de acesso, além de modificar todos os recursos da AWS. Para saber como criar esse usuário, consulte Crie seu usuário administrador do IAM.

Permissões necessárias para o controle de acesso

Se o administrador tiver lhe fornecido credenciais de usuário do IAM, ele terá anexado políticas a seu usuário do IAM para controlar os recursos que você acessa. Para visualizar as políticas anexadas a sua identidade de usuário no Console de Gerenciamento da AWS, você deve ter as seguintes permissões:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "ListUsersViewGroupsAndPolicies",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Se precisar de permissões adicionais, peça ao administrador para atualizar suas políticas para permitir acesso às ações de que você precisa.

Entendendo como o Global Accelerator funciona com o IAM

Os serviços podem funcionar com o IAM de várias maneiras:

Ações

O Global Accelerator oferece suporte ao uso de ações em uma política. Isso permite que um administrador controle se uma entidade pode concluir uma operação no Global Accelerator. Por exemplo, para permitir que uma entidade chame o métodoGetPolicyPara visualizar uma política da AWS, um administrador deve anexar uma política que permita oiam:GetPolicyAção .

O exemplo a seguir permite que um usuário execute oCreateAcceleratorpara criar programaticamente um acelerador para sua conta da AWS:

{
   "Version": "2018-08-08",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "globalaccelerator:CreateAccelerator"
         ],
         "Resource":"*"
      }
   ]
}
Permissões em nível de recurso

O Global Accelerator oferece suporte a permissões no nível do recurso. As permissões em nível de recurso permitem usar ARNs para especificar recursos individuais na política.

Políticas baseadas em recursos

O Global Accelerator não oferece suporte a políticas baseadas em recurso. Com políticas baseadas em recurso, você pode anexar uma política a um recurso do serviço. As políticas baseadas em recursos incluem umPrincipalPara especificar quais identidades do IAM podem acessar esse recurso.

Autorização baseada em tags

O Global Accelerator oferece suporte a tags baseadas em autorização. Esse recurso permite que você use tags de recursos na condição de uma política.

Credenciais temporárias

Global Accelerator oferece suporte a credenciais temporárias. Com credenciais temporárias, você pode fazer login com federação, assumir uma função do IAM ou assumir uma função entre contas. As credenciais de segurança temporárias são obtidas chamando operações da API do AWS STS, como oAssumeRoleouGetFederationToken.

Funções vinculadas ao serviço

O Global Accelerator oferece suporte a funções vinculadas ao serviço. Esse recurso permite que um serviço assuma uma função vinculada ao serviço em seu nome. A função permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para funções vinculadas ao serviço.

Funções de serviço

O Global Accelerator não oferece suporte a funções de serviço. Esse recurso permite que um serviço assuma uma função de serviço em seu nome. A função permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para essa função. Porém, isso pode alterar a funcionalidade do serviço.

Solucionando problemas de autenticação e controle

Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o IAM.

Não tenho autorização para executar uma ação no Global Accelerator

Se o Console de Gerenciamento da AWS informar que você não está autorizado a executar uma ação, entre em contato com o administrador que forneceu o nome de usuário e a senha para você.

O exemplo a seguir ocorre quando um usuário do IAM chamadomy-user-nameO tenta usar o console do para executar oglobalaccelerator:CreateAcceleratoração, mas não tem permissões:

User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-globalaccelerator:CreateAccelerator on resource: my-example-accelerator

Neste caso, peça ao administrador para atualizar suas políticas a fim de permitir acesso aosmy-example-acceleratorUsando oaws-globalaccelerator:CreateAcceleratorAção .

Sou administrador e desejo permitir que outros usuários tenham acesso ao Global Accelerator

Para permitir que outros usuários acessem o Global Accelerator, é necessário criar uma entidade do IAM (usuário ou função) para a pessoa ou a aplicação que precisa do acesso. Eles usarão as credenciais dessa entidade para acessar a AWS. Você deve anexar uma política à entidade que concede a eles as permissões corretas no Global Accelerator.

Para começar a usar rapidamente, consulte Conceitos básicos do IAM.

Desejo saber do IAM sem me tornar um especialista

Para saber mais sobre os termos, conceitos e procedimentos do IAM, consulte os tópicos a seguir:

Políticas baseadas em tag

Ao criar políticas do IAM, você pode definir permissões granulares concedendo acesso a recursos específicos. À medida que o número de recursos que você gerencia cresce, essa tarefa se torna mais difícil. Marcar aceleradores e usar tags em condições de declaração de política pode facilitar essa tarefa. Você concede acesso em massa a qualquer acelerador com uma determinada tag. Depois, você aplica essa tag repetidamente a aceleradores relevantes, quando você criar o acelerador ou atualizando o acelerador posteriormente.

nota

O uso de tags em condições é uma forma de controlar o acesso a recursos e solicitações. Para obter informações sobre marcação no Global Accelerator, consulteMarcação no AWS Global Accelerator ator ator.

As tags podem ser anexadas a um recurso ou passadas na solicitação para serviços que ofereçam suporte a tags. No Global Accelerator, apenas aceleradores podem incluir tags. Quando você criar uma política do IAM, poderá usar chaves de condição de tag para controlar:

  • Quais usuários podem executar ações em um acelerador, com base nas tags que ele já tem.

  • Quais tags podem ser transmitidas na solicitação de uma ação.

  • Se chaves de tags específicas podem ser usadas em uma solicitação.

Para obter a sintaxe a semântica completas das chaves de condição de tag, consulteControle o acesso usando tags do IAMnoGuia do usuário do IAM.

Por exemplo, o Global AcceleratorGlobalAcceleratorFullAccessA política gerenciada do oferece aos usuários permissão ilimitada para executar qualquer ação do Global Accelerator em qualquer recurso. A seguinte política limita esse poder e nega a usuários não autorizados permissão para realizar qualquer ação do Global Accelerator em qualquerProduçãoAceleradores. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.

{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}