Visão geral do acesso e autenticação - AWS Global Accelerator
O que é autenticação?O que é controle de acesso?O que são políticas?Conceitos básicos do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral do acesso e autenticação

Se você for novo no IAM, leia os seguintes tópicos para começar a usar autorização e acesso na AWS.

O que é autenticação?

A autenticação é a forma como você faz login na AWS usando suas credenciais.

nota

Para começar a usar rapidamente, ignore esta seção. Primeiro, reveja as informações introdutórias emIdentity and Access Management para o AWS Global Acceleratore depois consulteConceitos básicos do IAM.

Como um diretor, você deve serAutenticado(conectado à AWS) usando uma entidade (usuário raiz, usuário do IAM ou função do IAM) para enviar uma solicitação à AWS. Um usuário do IAM pode ter credenciais de longo prazo, como um nome de usuário e uma senha ou um conjunto de chaves de acesso. Ao assumir uma função do IAM, você recebe credenciais de segurança temporárias.

Para autenticar-se no AWS Management Console como um usuário, você deve fazer login com seu nome de usuário e senha. Para obter a autenticação na CLI da AWS ou na API da AWS, você deve fornecer sua chave de acesso e chave secreta ou credenciais temporárias. A AWS fornece ferramentas de SDK e CLI para assinar de forma criptográfica sua solicitação usando suas credenciais. Se você não utilizar ferramentas da AWS, assine a solicitação você mesmo. Independentemente do método de autenticação usado, também pode ser exigido que você forneça informações adicionais de segurança. Por exemplo, a AWS recomenda o uso de autenticação multifator (MFA) para aumentar a segurança de conta.

Como principal, você pode fazer login na AWS usando as seguintes entidades (usuários ou funções):

Usuário raiz da conta da AWS

Ao criar uma conta do AWS pela primeira vez, você começa com uma única identidade de login que tem acesso completo a todos os serviços e recursos da AWS na conta. Essa identidade é denominada usuário raiz da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável que você não use o usuário raiz nas tarefas diárias, nem mesmo nas administrativas. Em vez disso, siga as práticas recomendadas para o uso do usuário raiz somente a fim de criar seu primeiro usuário do IAM. Depois, armazene as credenciais do usuário raiz com segurança e use-as para executar somente algumas tarefas de gerenciamento de contas e de serviços.

Usuário do IAM

UmaUsuário do IAMO é uma entidade dentro de sua conta da AWS que tem permissões específicas. O Global AcceleratorSignature versão 4, um protocolo para autenticar solicitações de API de entrada. Para obter mais informações sobre solicitações de autenticação, consulte Processo de assinatura do Signature versão 4 na Referência geral da AWS.

IAM role (Função do IAM)

UmaIAM role (Função do IAM)O é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Uma função do IAM é semelhante a um usuário do IAM, pois é uma identidade da AWS com políticas de permissão que determinam o que a identidade pode e não pode fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumida por qualquer pessoa que precisar dela. Além disso, uma função não tem credenciais de longo prazo padrão, como uma senha ou chaves de acesso, associadas a ela. Em vez disso, quando você assumir uma função, ela fornecerá credenciais de segurança temporárias para sua sessão de função. As funções do IAM com credenciais temporárias são úteis nas seguintes situações:

Acesso de usuário federado

Em vez de criar um usuário do IAM, é possível usar identidades existentes do AWS Directory Service, o diretório de usuários da sua empresa ou um provedor de identidades da web. Estes são conhecidos como usuários federados. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter mais informações sobre usuários federados, consulte Usuários e funções federados no Guia do usuário do IAM.

Permissões temporárias de

Um usuário do IAM pode assumir temporariamente uma função para adquirir permissões diferentes para uma tarefa específica.

Acesso entre contas

Você pode usar uma função do IAM para permitir que um principal confiável em outra conta acesse recursos em sua conta. As funções são a principal forma de conceder acesso entre contas. No entanto, com alguns serviços da AWS, é possível anexar uma política diretamente a um recurso (em vez de usar uma função como proxy). O Global Accelerator não oferece suporte a essas políticas baseadas em recurso. Para obter mais informações sobre como escolher usar uma política baseada em função ou uma política baseada em recurso para permitir acesso entre contas, consulte Controlar o acesso a entidades principais em outra conta.

Acesso ao serviço da AWS

Uma função de serviço é umIAM role (Função do IAM)que um serviço assume para realizar ações em seu nome. As funções de serviço fornecem acesso apenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços em outras contas. Um administrador do IAM pode criar, modificar e excluir uma função de serviço do IAM. Para obter mais informações, consulte Criar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

Aplicativos em execução no Amazon EC2

Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos em execução em uma instância do EC2 que fazem solicitações AWS API ou da CLI da AWS. É preferível fazer isso do que armazenar chaves de acesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância para ser anexado à instância. Um perfil de instância contém a função e permite que programas que estão em execução na instância do EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Usar uma função do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

O que é controle de acesso?

Depois de fazer login (ser autenticado) na AWS, o acesso aos recursos e operações da AWS é regido por políticas. O controle de acesso também é conhecido como autorização.

nota

Para começar a usar rapidamente, ignore esta página. Primeiro, reveja as informações introdutórias emIdentity and Access Management para o AWS Global Acceleratore depois consulteConceitos básicos do IAM.

Durante a autorização, a AWS usa valores doContexto da solicitaçãoPara verificar as políticas aplicáveis. Em seguida, ela usa as políticas para determinar se deve permitir ou negar uma solicitação. A maioria das políticas são armazenadas na AWS como documentos JSON e especificam as permissões que são permitidas ou negadas aos principais. Para obter mais informações sobre a estrutura e o conteúdo de documentos JSON de políticas, consulte O que são políticas?.

As políticas permitem que um administrador especifique quem tem acesso aos recursos da AWS e quais ações essas pessoas podem realizar neles. Cada entidade do IAM (usuário ou função) começa sem permissões. Em outras palavras, por padrão, os usuários não podem fazer nada, nem mesmo visualizar suas próprias chaves de acesso. Para dar permissão a um usuário para fazer algo, um administrador deve anexar uma política de permissões ao usuário. Ou pode adicionar o usuário a um grupo que tenha as permissões pretendidas. Quando um administrador concede permissões a um grupo, todos os usuários desse grupo obtêm essas permissões.

Você pode ter credenciais válidas para autenticar solicitações, mas, a menos que um administrador conceda permissões a você, você não pode criar nem acessar os recursos do AWS Global Accelerator. Por exemplo, é necessário ter permissões explícitas para criar um acelerador do AWS Global Accelerator.

Como administrador, você pode escrever uma política para controlar o acesso ao seguinte:

  • Principais— Controle o que a pessoa ou o aplicativo que está fazendo a solicitação (aprincipal) tem permissão para fazer.

  • Identidades do IAM— Controle quais identidades do IAM (grupos, usuários e funções) podem ser acessadas e como.

  • Políticas do IAM— Controle quem pode criar, editar e excluir políticas gerenciadas pelo cliente, e quem pode anexar e desanexar todas as políticas gerenciadas.

  • Recursos da AWS— controle quem tem acesso aos recursos usando uma política baseada em identidade ou em recurso.

  • Contas da AWS— Controle se uma solicitação é permitida somente para membros de uma conta específica.

Controlar o acesso de principais do

As políticas de permissão controlam o que você, como um principal, tem permissão para fazer. Um administrador deve anexar uma política de permissões baseada em identidade à identidade (usuário, grupo ou função) que fornece suas permissões. As políticas de permissões permitem ou negam acesso à AWS. Os administradores também podem definir um limite de permissões para uma entidade do IAM (usuário ou função) para definir o número máximo de permissões que a entidade pode ter. Os limites de permissões são um recurso avançado do IAM. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

Para obter mais informações e um exemplo de como controlar o acesso à AWS para principais, consulteControlar o acesso de principaisnoGuia do usuário do IAM.

Controlar o acesso às identidades

Os administradores controlam o que você pode fazer para uma identidade do IAM (usuário, grupo ou função) criando uma política que limite o que pode ser feito para uma identidade ou quem pode acessá-la. Em seguida, eles anexam essa política à identidade que fornece suas permissões.

Por exemplo, um administrador pode permitir que você redefina a senha para três usuários específicos. Para fazer isso, eles anexam uma política ao usuário do IAM que permite que você redefina a senha para você mesmo e para os usuários com o ARN dos três usuários especificados. Isso permite que você redefina a senha dos membros de sua equipe, mas não de outros usuários do IAM.

Para obter mais informações e um exemplo de como usar uma política para controlar o acesso à AWS a identidades, consulteControlar o acesso às identidadesnoGuia do usuário do IAM.

Controlar o acesso às políticas

Os administradores podem controlar quem pode criar, editar e excluir políticas gerenciadas pelo cliente, e quem pode anexar e desanexar todas as políticas gerenciadas. Ao revisar uma política, você pode visualizar o resumo de política que inclui um resumo do nível de acesso para cada serviço dentro da política. A AWS categoriza cada ação de serviço em uma das quatroNíveis de acessocom base no que cada ação faz:List,Read,Write, ouPermissions management. Você pode usar esses níveis de acesso para determinar quais ações incluir em suas políticas. Para obter mais informações, consulteNoções básicas sobre resumos em nível de acesso em resumos denoGuia do usuário do IAM.

Atenção

Você deve limitarPermissions ManagementPermissões de nível de acesso em sua conta. Caso contrário, os membros de sua conta poderão criar políticas para si mesmos com mais permissões do que as que devem ter. Ou podem criar usuários separados com acesso completo à AWS.

Para obter mais informações e um exemplo de como controlar o acesso à AWS a políticas, consulteControlar o acesso às políticasnoGuia do usuário do IAM.

Controlar o acesso aos recursos do

Os administradores podem controlar o acesso aos recursos usando uma política baseada em identidade ou em recurso. Em uma política baseada em identidade, você anexa a política a uma identidade e especifica que recursos essa identidade pode acessar. Em uma política baseada em recursos, você anexa uma política ao recurso que deseja controlar. Na política, você especifica quais entidades principais podem acessar esse recurso.

Para obter mais informações, consulteControle de acesso aos recursosnoGuia do usuário do IAM.

Os criadores de recursos não têm permissões automaticamente

Todos os recursos de uma conta são de propriedade da conta, independentemente de quem os criou. O usuário raiz da conta da AWS é o proprietário da conta e, portanto,A tem permissão para executar qualquer ação em qualquer recurso da conta.

Importante

É altamente recomendável que você não use o usuário raiz nas tarefas diárias, nem mesmo nas administrativas. Em vez disso, siga aPrática recomendada de usar o usuário raiz somente para criar seu primeiro usuário do IAM. Depois, armazene as credenciais do usuário raiz com segurança e use-as para executar somente algumas tarefas de gerenciamento de contas e de serviços. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulteTarefas da AWS que exigem usuário root.

As entidades (usuários ou funções) na conta da AWS devem receber acesso para criar um recurso. No entanto, eles não têm acesso completo a um recurso automaticamente só porque o criaram. Os administradores devem conceder essas permissões explicitamente para cada ação. Além disso, os administradores podem revogar essas permissões a qualquer momento, desde tenham acesso para gerenciar permissões de usuários e funções.

Controlar o acesso a entidades principais em outra conta

Os administradores podem usar políticas baseadas em recurso da AWS, funções entre contas do IAM ou o serviço de AWS Organizations para permitir que os principais de outra conta acessem recursos da conta.

Para alguns serviços da AWS, os administradores podem conceder acesso entre contas para os seus recursos. Para fazer isso, um administrador anexa uma política diretamente ao recurso que deseja compartilhar em vez de usar uma função como um proxy. Se o serviço oferecer suporte a esse tipo de política, o recurso que o administrador compartilha também deve oferecer suporte a políticas baseadas em recurso. Ao contrário de uma política baseada em usuários, uma política baseada em recursos especifica quem (na forma de uma lista de números de ID de contas da AWS) pode acessar aquele recurso. O Global Accelerator não oferece suporte a políticas baseadas em recurso.

O acesso entre contas com uma política baseada em recurso tem algumas vantagens sobre uma função. Com um recurso acessado por meio de uma política baseada em recurso, o principal (pessoa ou aplicativo) ainda trabalha na conta confiável e não precisa abrir mão de suas permissões de usuário no lugar das permissões de função. Em outras palavras, o principal tem acesso aos recursos na conta confiável e, ao mesmo tempo, na conta de confiança. Isso é útil para tarefas como cópia de informações de uma conta para outra. Para obter mais informações sobre o uso de funções entre contas, consulteComo fornecer acesso a um usuário do IAM em outra conta da AWS que você possuinoGuia do usuário do IAM.

As AWS Organizations oferecem gerenciamento baseado em políticas para várias contas da AWS de sua propriedade. Com as Organizations, você pode criar grupos de contas, automatizar a criação de contas e aplicar e gerenciar políticas para esses grupos. As Organizations permitem gerenciar políticas centralmente entre várias contas, sem necessidade de scripts personalizados e processos manuais. Usando as AWS Organizations, você pode criar Service Control Policies (SCPs) que controlam de maneira central o uso de serviços da AWS entre contas da AWS. Para obter mais informações, consulteO que são AWS Organizations?noGuia do usuário das AWS Organizations.

O que são políticas?

Você controla o acesso na AWS criando políticas e anexando-as às identidades do IAM ou aos recursos da AWS.

nota

Para começar a usar rapidamente, ignore esta página. Primeiro, reveja as informações introdutórias emIdentity and Access Management para o AWS Global Acceleratore depois consulteConceitos básicos do IAM.

Uma política é um objeto na AWS que, quando associado a uma entidade ou a um recurso, define suas permissões. A AWS avalia essas políticas quando uma entidade principal, como um usuário, faz uma solicitação. As permissões nas políticas determinam se a solicitação é consentida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON.

As políticas do IAM definem permissões para uma ação, independentemente do método usado para executar a operação. Por exemplo, se uma política permitir que oGetUserUm usuário com essa política pode obter informações do usuário no Console de Gerenciamento da AWS, na CLI da AWS ou na API da AWS. Ao criar um usuário do IAM, você pode configurar o usuário para permitir acesso ao console ou programático. O usuário do IAM pode fazer login no console usando um nome de usuário e uma senha. Ou pode usar chaves de acesso para trabalhar com a CLI ou a API.

Os seguintes tipos de política, listados em ordem de frequência, podem afetar se uma solicitação é autorizada. Para obter mais detalhes, consulte .Tipos de políticasnoGuia do usuário do IAM.

Políticas baseadas em identidade

Você pode associar políticas gerenciadas e em linha a identidades do IAM (usuários, grupos aos quais os usuários pertencem e funções).

Políticas baseadas em recursos

Você pode anexar políticas em linha a recursos em alguns serviços da AWS. Os exemplos de políticas baseadas em recurso mais comuns são as políticas de bucket do Amazon S3 e as políticas de confiança de funções do IAM. O Global Accelerator não oferece suporte a políticas baseadas em recurso.

Organizations SCPs

Você pode usar uma política de controle de serviço (SCP) do para aplicar um limite de permissões a uma organização do ou a uma unidade organizacional (UO). Essas permissões são aplicadas a todas as entidades dentro das contas-membro.

Listas de controle de acesso (ACLs)

Você pode usar ACLs para controlar quais entidades principais podem acessar um recurso. As ACLs são semelhantes às políticas baseadas em recurso, embora sejam o único tipo de política que não usa a estrutura de documento de política JSON. O Global Accelerator oferece suporte a OU não oferece suporte a ACLs.

Esses tipos de políticas podem ser categorizados como políticas de permissões ou como limites de permissões.

Políticas de permissões

Você pode associar políticas de permissões a um recurso na AWS para definir as permissões desse objeto. Em uma única conta, a AWS avalia todas as políticas de permissões em conjunto. As políticas de permissões são as políticas mais comuns. Você pode usar os seguintes tipos de políticas como políticas de permissões:

Políticas baseadas em identidade

Quando você anexa uma política gerenciada ou em linha a um usuário, grupo ou função do IAM, a política define as permissões para essa entidade.

Políticas baseadas em recursos

Ao anexar um documento de política JSON a um recurso, você define as permissões desse recurso. O serviço deve ser compatível com políticas baseadas em recurso.

Listas de controle de acesso (ACLs)

Ao anexar uma ACL a um recurso, você define uma lista de entidades principais com permissão para acessar esse recurso. O recurso deve ser compatível com ACLs.

Limites de permissões

Você pode usar políticas para definir o limite de permissões para uma entidade (usuário ou função). Um limite de permissões controla o número máximo de permissões que uma entidade pode ter. Os limites de permissões são um recurso avançado da AWS. Quando mais de um limite de permissões se aplica a uma solicitação, a AWS avalia cada limite de permissões separadamente. Você pode aplicar um limite de permissões nas seguintes situações:

Organizações

Você pode usar uma política de controle de serviço (SCP) do para aplicar um limite de permissões a uma organização do ou a uma unidade organizacional (UO).

Usuários ou funções do IAM

Você pode usar uma política gerenciada para um usuário ou para um limite de permissões da função. Para obter mais informações, consulteLimites de permissões para entidades IAMnoGuia do usuário do IAM.

Políticas baseadas em identidade

Você pode anexar as políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

Anexar uma política de permissões a um usuário ou grupo na sua conta

Para conceder a um usuário permissões para criar um recurso do AWS Global Accelerator, como um acelerador, você pode anexar uma política de permissões a um usuário ou a um grupo ao qual o usuário pertence.

Anexar uma política de permissões a uma função (conceder permissões entre contas)

Você pode associar uma política de permissões baseada em identidade a uma função do IAM para conceder permissões entre contas. Por exemplo, o administrador na conta A pode criar uma função para conceder permissões entre contas a outra conta da AWS (por exemplo, conta B) ou um serviço da AWS da seguinte forma:

  1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões a recursos da conta A.

  2. Um administrador da conta A anexa uma política de confiança à função identificando a conta B como a principal, que pode assumir a função.

  3. O administrador da conta B pode acabar delegando permissões para assumir a função para todos os usuários na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A. O principal na política de confiança também poderá ser um serviço da AWS principal se você quiser conceder a um serviço da AWS permissões para assumir a função.

Para obter mais informações sobre como usar o IAM para delegar permissões, consulteGerenciamento de acessonoGuia do usuário do IAM.

Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Veja a seguir dois exemplos de políticas que você pode usar com o Global Accelerator O primeiro exemplo de política concede a um usuário acesso programático a todas as ações Lista e Descreva para aceleradores em sua conta da AWS:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:List*",
                "globalaccelerator:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

O exemplo a seguir concede acesso programático àListAcceleratorsoperação:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:ListAccelerators",
            ],
            "Resource": "*"
        }
    ]
}

Políticas baseadas em recursos

Políticas baseadas em recurso são documentos de políticas JSON que você anexa a um recurso. Essas políticas permitem especificar quais ações uma entidade principal especificada pode executar nesse recurso e em quais condições. A política baseada em recurso mais comum é para um bucket do Amazon S3. As políticas baseadas em recurso são políticas em linha que existem apenas no recurso. Não há políticas baseadas em recurso gerenciadas.

A concessão de permissões a membros de outras contas da AWS usando uma política baseada em recurso tem algumas vantagens sobre uma função do IAM. Para mais informações, consulte Como as funções do IAM diferem de políticas baseadas em recursos no Guia do usuário do IAM.

Classificações de nível de acesso à política

No console do IAM, as ações são agrupadas usando as seguintes classificações de nível de acesso:

Lista

Fornece permissão para listar recursos dentro do serviço a fim de determinar se um objeto existe. Ações com esse nível de acesso podem listar objetos, mas não podem ver os conteúdos de um recurso. A maioria das ações com o nível de acesso List (Lista) não podem ser executadas em um recurso específico. Ao criar uma declaração de política com essas ações, você deve especificar All resources (Todos os recursos) ("*").

Leia

Oferece permissão para ler, mas não para editar o conteúdo e os atributos de recursos no serviço. Por exemplo, as operações do Amazon S3GetObjecteGetBucketLocationTenha oLeiaNível de acesso.

Gravação

Oferece permissão para criar, excluir ou modificar recursos no serviço. Por exemplo, as operações do Amazon S3CreateBucket,DeleteBucket, ePutObjectTenha oGravaçãoNível de acesso.

Gerenciamento de permissões

Fornece permissão para conceder ou modificar permissões de recursos no serviço. Por exemplo, a maioria das ações de políticas do IAM e das AWS Organizations têm oGerenciamento de permissõesNível de acesso.

Tip

Para melhorar a segurança da sua conta da AWS, restrinja ou monitore regularmente políticas que incluam aGerenciamento de permissõesclassificação de nível de acesso.

Atribuição de tags (tagging)

Fornece permissão para criar, excluir ou modificar tags que são anexadas a um recurso no serviço. Por exemplo, o Amazon EC2CreateTagseDeleteTagsas operações têm oAtribuição de tags (tagging)Nível de acesso.

Conceitos básicos do IAM

O AWS Identity and Access Management (IAM) é um serviço da AWS que permite gerenciar o acesso aos serviços e aos recursos da com segurança. O IAM é um recurso da conta da AWS oferecido gratuitamente.

nota

Antes de começar a usar o IAM, revise as informações introdutórias emIdentity and Access Management para o AWS Global Accelerator.

Ao criar uma conta do AWS pela primeira vez, você começa com uma única identidade de login que tem acesso completo a todos os serviços e recursos da AWS na conta. Essa identidade é denominada usuário raiz da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável que você não use o usuário raiz nas tarefas diárias, nem mesmo nas administrativas. Em vez disso, siga as práticas recomendadas para o uso do usuário raiz somente a fim de criar seu primeiro usuário do IAM. Depois, armazene as credenciais do usuário raiz com segurança e use-as para executar somente algumas tarefas de gerenciamento de contas e de serviços.

Crie seu usuário administrador do IAM

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de administradores (console)

  1. Faça login no console do IAM como o proprietário da conta escolhendo Root user (Usuário raiz) e inserindo seu endereço de e-mail da conta da AWS. Na próxima página, insira sua senha.

    nota

    Recomendamos seguir as melhores práticas para utilizar oAdministratorUsuário do IAM que segue e armazene as credenciais do usuário raiz com segurança. Cadastre-se como o usuário raiz apenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite Administrator.

  4. Marque a caixa de seleção ao lado de AWS Management Console access (Acesso ao Console de Gerenciamento da AWS). Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. SelecionePróximo: Permissões

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. SelecionePolíticas de filtroe depois selecioneAWS gerenciado — função de trabalhopara filtrar o conteúdo da tabela.

  11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Ative acesso do usuário e da função do IAM ao Faturamento para poder usar as permissões de AdministratorAccess para acessar o console de Gerenciamento de custos e faturamento da AWS. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. SelecionePróximo: Tags.

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. SelecionePróximo: Review (Revisar)Para ver a lista de associações a grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

É possível usar esse mesmo processo para criar mais grupos e usuários e conceder aos usuários acesso aos recursos da conta da AWS. Para saber como usar políticas para restringir as permissões de usuário a recursos específicos da AWS, consulte Gerenciamento de acesso e Políticas de exemplo.

Criar usuários delegados para o Global Accelerator

Para oferecer suporte a vários usuários na conta da AWS, você deve delegar permissão para permitir que outras pessoas executem apenas as ações que deseja permitir. Para fazer isso, crie um grupo do IAM com as permissões de que essas pessoas precisam e adicione usuários do IAM aos grupos necessários ao criá-los. Você pode usar esse processo para configurar os grupos, os usuários e as permissões para toda a conta da AWS. Essa solução é mais bem usada por organizações pequenas e médias em que um administrador da AWS pode gerenciar manualmente os usuários e os grupos. Para grandes organizações, você pode usarFunções personalizadas do IAM,federação, ouLogon único do.

No procedimento a seguir, você cria três usuários chamadosarnav,carlos, emarthae anexe uma política que concede permissão para criar um acelerador chamadomy-example-accelerator, mas apenas nos próximos 30 dias. Você pode usar as etapas fornecidas aqui para adicionar usuários com diferentes permissões.

Para criar um usuário delegado para outra pessoa (console)

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite arnav.

  4. Escolha Add another user (Adicionar outro usuário) e digite carlos para o segundo usuário. Em seguida, escolha Add another user (Adicionar outro usuário) e digite martha para o terceiro usuário.

  5. Marque a caixa de seleção ao lado deAcesso ao Console de Gerenciamento da AWSe depois selecioneAutogenerated password.

  6. Desmarque a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  7. SelecionePróximo: Permissões

  8. Selecione Attach existing policies directly. Você criará uma nova política gerenciada para os usuários.

  9. Escolha Create policy (Criar política).

    A página Create policy (Criar política) é aberta em uma nova guia ou janela do navegador.

  10. Na guia Editor visual, selecione Escolher um serviço. Em seguida, escolha Global Accelerator. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de serviços.

    OServiçofecha e a seçãoAçõesabre automaticamente.

  11. Escolha as ações do Global Accelerator que você deseja permitir. Por exemplo, para conceder permissão para criar um acelerador, insiraglobalaccelerator:CreateAcceleratornoAções de filtro. Quando a lista de ações do Global Accelerator for filtrada, marque a caixa de seleção ao lado deglobalaccelerator:CreateAccelerator.

    As ações do Global Accelerator são agrupadas por classificação de nível de acesso para facilitar a determinação rápida do nível de acesso que cada ação fornece. Para obter mais informações, consulte Classificações de nível de acesso à política.

  12. Se as ações selecionadas nas etapas anteriores não oferecerem suporte à escolha de recursos específicos, então oTodos os recursosestá selecionado para você. Nesse caso, você não pode editar esta seção.

    Se você escolher uma ou mais ações que ofereçam suporte a permissões em nível de recurso, o editor visual listará esses tipos de recurso na seção Resources (Recursos). SelecioneVocê escolheu as ações que exigem oAccelerator doTipo de recurso doPara escolher se você deseja inserir um acelerador específico para a política.

  13. Se você desejar permitir a ação globalaccelerator:CreateAccelerator para todos os recursos, escolha All resources (Todos os recursos).

    Se você desejar especificar um recurso, escolha Add ARN (Adicionar ARN). Especifique a região e o ID da conta (ou ID da conta) (ou escolhaQuaisquer) e, em seguida, digitemy-example-acceleratorpara o recurso. Em seguida, escolha Adicionar.

  14. Escolha Specify request conditions (optional) (Especificar condições de solicitação (opcional)).

  15. SelecioneAdicionar condiçãoConcede permissão para criar um aceleradornos próximos 7 dias. Suponha que hoje seja 1º de janeiro de 2019.

  16. Em Condition Key (Chave de condição), escolha aws:CurrentTime. Essa chave de condição verifica a data e a hora em que o usuário faz a solicitação. Ela retorna verdadeiro (e, portanto, permitirá a ação globalaccelerator:CreateAccelerator apenas se a data e a hora estiverem dentro do intervalo especificado).

  17. para oQualifier, mantenha o valor padrão.

  18. Para especificar o início do intervalo de data e hora permitido, em Operator (Operador), escolha DateGreaterThan. Em seguida, em Value (Valor), digite 2019-01-01T00:00:00Z.

  19. Escolha Add (Adicionar) para salvar a condição.

  20. Escolha Add another condition (Adicionar outra condição) para especificar a data de término.

  21. Siga etapas semelhantes para especificar o término do intervalo de data e hora permitido. Em Condition Key (Chave de condição), escolha aws:CurrentTime. Em Operator (Operador), escolha DateLessThan. Em Value (Valor), digite 2019-01-06T23:59:59Z, sete dias depois da primeira data. Em seguida, escolha Add (Adicionar) para salvar a condição.

  22. (Opcional) Para ver o documento JSON da política que você está criando, escolha a opçãoJSON. Você pode alternar entre as guias Editor visual e JSON sempre que quiser. No entanto, se você fizer alterações ou escolherRevisar políticanoEditor visual, o IAM pode reestruturar sua política a fim de otimizá-la para o editor visual. Para obter mais informações, consulteReestruturação da políticanoGuia do usuário do IAM.

  23. Ao concluir, selecione Revisar política.

  24. NoRevisar política, paraName (Nome), insiraglobalaccelerator:CreateAcceleratorPolicy. Em Descrição, insira Policy to grants permission to create an accelerator. Revise o resumo da política para assegurar-se de ter concedido as permissões que pretendia e, em seguida, escolha Criar política para salvar sua nova política.

  25. Retorne para a guia ou a janela original e atualize a lista de políticas.

  26. Na caixa de pesquisa, insira globalaccelerator:CreateAcceleratorPolicy. Marque a caixa de seleção ao lado da nova política. Em seguida, escolha Próxima etapa.

  27. SelecionePróximo: Review (Revisar)Para visualizar os novos usuários. Quando você estiver pronto para continuar, escolha Create users (Criar usuários).

  28. Faça download ou copie as senhas dos novos usuários e as envie aos usuários com segurança. Separadamente, forneça aos seus usuários umlink para a página do console do usuário do IAMe os nomes de usuário que você acabou de criar.

Permitir que usuários do gerenciem automaticamente suas credenciais

Você deve ter acesso físico ao hardware que hospedará o dispositivo MFA virtual do usuário para configurar a MFA. Por exemplo, você pode configurar a MFA para um usuário que usa um dispositivo MFA virtual executando em um smartphone. Neste caso, você precisa que o smartphone esteja disponível para concluir o assistente. Por isso, você pode optar por permitir que os usuários configurem e gerenciem seus próprios dispositivos MFA virtual. Neste caso, você deve conceder aos usuários permissões para executar as ações do IAM necessárias.

Para criar uma política para permitir autogerenciamento de credenciais (console)

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Políticas e, em seguida, Criar política.

  3. Escolha a guia JSON e copie o texto do documento de política JSON a seguir. Cole este texto na caixa de texto do JSON.

    Importante

    Esta política de exemplo não permite que os usuários redefinam sua senha ao fazer login. Novos usuários e usuários com a senha expirada podem tentar fazer isso. É possível permitir isso adicionando iam:ChangePassword e iam:CreateLoginProfile à instrução BlockMostAccessUnlessSignedInWithMFA. No entanto, o IAM não recomenda isso.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAccounts",
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:CreateAccessKey",
                "iam:CreateLoginProfile",
                "iam:DeleteAccessKey",
                "iam:DeleteLoginProfile",
                "iam:GetLoginProfile",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:UpdateLoginProfile",
                "iam:ListSigningCertificates",
                "iam:DeleteSigningCertificate",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate",
                "iam:ListSSHPublicKeys",
                "iam:GetSSHPublicKey",
                "iam:DeleteSSHPublicKey",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:ListVirtualMFADevices",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListSSHPublicKeys",
                "iam:ListAccessKeys",
                "iam:ListServiceSpecificCredentials",
                "iam:ListMFADevices",
                "iam:GetAccountSummary",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

    O que essa política faz?

    • OAllowAllUsersToListAccountsA instrução permite que o usuário veja informações básicas sobre a conta e seus usuários no console do IAM. Essas permissões devem estar nas suas respectivas instruções, pois não oferecem suporte ou não precisam especificar o nome de recurso da Amazon (ARN) de um determinado recurso, mas especificam "Resource" : "*".

    • OAllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformationA instrução permite que o usuário gerencie suas próprias informações de usuário, senha, chaves de acesso, certificados de assinatura, chaves públicas SSH e MFA no console do IAM. Ela também permite que os usuários façam login pela primeira vez em um administrador e exige que definam uma senha da primeira vez. O nome de recurso da ARN do recurso limita o uso dessas permissões a apenas a entidade de usuário do IAM do próprio usuário.

    • A instrução AllowIndividualUserToViewAndManageTheirOwnMFA permite que o usuário visualize ou gerencie seu próprio dispositivo MFA. Observe que os ARNs dos recursos dessa instrução permitem acesso somente a um dispositivo MFA ou usuário que tenha exatamente o mesmo nome do usuário conectado. Os usuários não podem criar nem alterar nenhum dispositivo MFA que não sejam os seus próprios.

    • A instrução AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA permite que o usuário desative somente seu próprio dispositivo MFA, e somente se o usuário fez login usando a MFA. Isso evita que outras pessoas que tenham somente as chaves de acesso (e não o dispositivo MFA) desativem o dispositivo MFA e acessem a conta.

    • OBlockMostAccessUnlessSignedInWithMFAusa uma combinação de"Deny"e"NotAction"para negar acesso a todas as ações, exceto algumas, no IAM e em outros serviços da AWSseo usuário não está conectado com a MFA. Para obter mais informações sobre a lógica dessa instrução, consulteNotAction com DenynoGuia do usuário do IAM. Se o usuário tiver feito login com a MFA, ocorrerá uma falha no teste "Condition", e a instrução “negar” final não terá efeito e outras políticas ou instruções para o usuário determinarão suas permissões. Essa instrução garante que quando o usuário não tiver feito login com a MFA, ele só possa executar as ações listadas e somente se outra instrução ou política conceder acesso a essas ações.

      A versão ...IfExists do operador Bool garante que se a chave aws:MultiFactorAuthPresent estiver ausente, a condição retornará verdadeiro. Isso significa que, ao acessar uma API com credenciais de longo prazo, como uma chave de acesso, o usuário terá seu acesso negado às operações de API não relacionadas ao IAM.

  4. Ao concluir, selecione Revisar política.

  5. Na página Review (Revisar), digite Force_MFA para o nome da política. Para obter a descrição da política, insiraThis policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.Revisar a políticaSummary (Resumo)Para ver as permissões concedidas pela política e, em seguida, escolhaCriar políticapara salvar seu trabalho.

    A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada.

Para anexar a política a um usuário (console)

  1. No painel de navegação, escolha Usuários.

  2. Escolha o nome (não a caixa de seleção) do usuário que você deseja editar.

  3. Na guia Permissions (Permissões), escolha Add permissions (Adicionar permissões).

  4. Selecione Attach existing policies directly.

  5. Na caixa de pesquisa, digite Force e, em seguida, marque a caixa de seleção ao lado de Force_MFA na lista. Depois, selecione Next (Próximo): Review (Revisar).

  6. Reveja as alterações e escolha Add permissions (Adicionar permissões).

Habilitar MFA para o usuário do IAM

Para obter mais segurança, recomendamos que todos os usuários do IAM configurem a autenticação multifator (MFA) para ajudar a proteger seus recursos do Global Accelerator. A MFA adiciona mais segurança porque requer que os usuários forneçam autenticação exclusiva de um dispositivo MFA com suporte da AWS, além de suas credenciais de login normais. O dispositivo MFA da AWS mais seguro é a chave de segurança U2F. Se sua empresa já tiver dispositivos U2F, recomendamos habilitar esses dispositivos para a AWS. Caso contrário, você deverá comprar um dispositivo para cada um dos usuários e esperar pela chegada do hardware. Para obter mais informações, consulteHabilitar uma chave de segurança U2FnoGuia do usuário do IAM.

Se você não tiver um dispositivo U2F, poderá começar a usar rapidamente e a um baixo custo habilitando um dispositivo MFA virtual. Isso exige que você instale um aplicativo de software em um telefone ou outro dispositivo móvel existente. O dispositivo gera um código numérico de seis dígitos com base em um algoritmo de senha única sincronizado com o tempo. Quando o usuário fizer login na AWS, ele será solicitado a inserir um código do dispositivo. Cada dispositivo MFA virtual atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código de outro dispositivo MFA virtual para se autenticar. Para obter uma lista de alguns aplicativos compatíveis que podem ser usados como dispositivos MFA virtuais, consulte a página Autenticação multifator.

nota

Você deve ter acesso físico ao dispositivo móvel que hospedará o dispositivo MFA virtual do usuário para configurar a MFA para um usuário do IAM.

Para habilitar um dispositivo MFA virtual para um usuário do IAM (console)

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Na lista Nome do usuário, selecione o nome do usuário de MFA desejado.

  4. Selecione a guia Credenciais de segurança. Ao lado de Dispositivo MFA atribuído, escolha Gerenciar.

  5. No assistente Gerenciar dispositivo MFA, selecione Dispositivo MFA virtual e, em seguida, selecione Continuar.

    O IAM gera e exibe informações de configuração para o dispositivo MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da "chave de configuração secreta" que está disponível para entrada manual em dispositivos que não suportam códigos QR.

  6. Abra o seu aplicativo de MFA virtual.

    Para obter uma lista de aplicativos que você pode usar para hospedar dispositivos MFA virtuais, consulte Autenticação multifator. Se o aplicativo de MFA virtual oferecer suporte a várias contas (vários dispositivos MFA virtuais), selecione a opção para criar uma nova conta (um novo dispositivo MFA virtual).

  7. Determine se o aplicativo de MFA é compatível com códigos QR e, em seguida, execute uma das seguintes ações:

    • No assistente, escolha Mostrar código de QR e, em seguida, use o app para digitalizar o código de QR. Por exemplo, você pode escolher o ícone de câmera ou escolher uma opção semelhante a Digitalizar código e, em seguida, usar a câmera do dispositivo para digitalizar o código.

    • No assistente Manage MFA Device (Gerenciar dispositivo MFA), selecione Show secret key (Mostrar chave secreta) e, em seguida, digite a chave secreta em seu aplicativo MFA.

    Quando você tiver concluído, o dispositivo MFA virtual inicia a geração de senhas de uso único.

  8. No assistente Manage MFA Device (Gerenciar dispositivo MFA), na caixa MFA code 1 (Código MFA 1), digite a senha de uso único exibida no momento no dispositivo MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa MFA code 2 (Código MFA 2). Escolha Atribuir MFA.

    Importante

    Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo. Para obter mais informações, consulteSincronizar novamente dispositivos MFA virtuais e de hardwarenoGuia do usuário do IAM.

    O dispositivo MFA virtual está pronto para uso com a AWS.