AWS Identity and Access Management e AWS Organizations

O acesso ao AWS Organizations requer credenciais. Essas credenciais devem ter permissões para acessar recursos do AWS, como um bucket do Amazon Simple Storage Service (Amazon S3), uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou uma unidade organizacional (UO) do AWS Organizations. As seções a seguir fornecem detalhes sobre como você pode usar o AWS Identity and Access Management (IAM) para ajudar a proteger o acesso à sua organização e controlar quem pode administrá-la.

Para determinar quem pode administrar quais partes de sua organização, o AWS Organizations usa o mesmo modelo de permissões baseadas no IAM que outros serviços da AWS. Como administrador na conta de gerenciamento de uma organização, você pode conceder permissões baseadas no IAM para executar tarefas do AWS Organizations anexando políticas a usuários, grupos e funções na conta de gerenciamento. Essas políticas especificam as ações que os principais podem executar. Você anexa uma política de permissões do IAM a um grupo do qual o usuário é membro ou diretamente a um usuário ou uma função. Como melhores práticas, recomendamos que você anexe políticas a grupos em vez de usuários. Você também pode conceder permissões de administrador completas a outros usuários.

Para a maioria das operações de administração do AWS Organizations, você precisa anexar permissões a usuários ou grupos na conta de gerenciamento. Se um usuário de uma conta-membro precisar realizar operações administrativas para a sua organização, você terá de conceder as permissões do AWS Organizations a uma função do IAM na conta de gerenciamento e habilitar o usuário da conta-membro para assumir a função. Para obter informações gerais sobre as políticas de permissões do &IAM consulte Visão geral de políticas do IAM no Manual do usuário do IAM.

Tópicos

• Autenticação
• Controle de acesso
• Gerenciar permissões de acesso para a organização da AWS
• Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Organizations
• Controle de acesso baseado em atributo com tags e AWS Organizations

Autenticação

Você pode acessar a AWS usando qualquer um dos seguintes tipos de identidade:

• Usuário raiz da Conta da AWS – Quando se cadastra na AWS, você fornece um endereço de e-mail e uma senha que são associados à sua Conta da AWS. Estas são suas credenciais raiz e elas fornecem acesso total a todos os seus recursos da AWS.

  Importante

  Quando você se cadastra em uma Conta da AWS, um Usuário raiz da conta da AWS é criado. O usuário raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua acesso administrativo a um usuário administrativo e use somente o usuário raiz para realizar as tarefas que exigem acesso do usuário raiz.

• Usuário do IAM – Um usuário do IAM é simplesmente uma identidade na qual sua Conta da AWS tem permissões personalizadas específicas (por exemplo, para criar um sistema de arquivos no Amazon Elastic File System). Você pode usar uma senha e um nome de usuário do IAM para fazer login em páginas da Web seguras da AWS como AWS Management Console, Fóruns de discussão da AWS ou a Central de Suporte da AWS.

  Além de um nome e uma senha de usuário, você pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja com um dos vários SDKs ou usando o AWS Command Line Interface (AWS CLI). As ferramentas de SDK e de AWS CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não usar essas ferramentas AWS, é necessário assinar a solicitação por conta própria. AWS Organizations oferece suporte a Signature Version 4, um protocolo para autenticação de solicitações de entrada da API. Para obter mais informações sobre solicitações de autenticação, consulte Solicitações de AWSAPI de assinatura no Guia do usuário do IAM.

• Função do IAM – Uma função do IAM é outra identidade do IAM que você pode criar em sua conta que tem permissões específicas. É semelhante a um usuário do &IAM mas não está associada a uma pessoa específica. Uma função do IAM permite obter chaves de acesso temporárias que podem acessar os serviços e recursos da AWS. Perfis do IAM com credenciais temporárias são úteis nas seguintes situações:

  • Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidades de usuários já existentes do AWS Directory Service, o diretório de usuário de sua empresa ou um provedor de identidades da Web. Eles são conhecidos como usuários federados. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter mais informações sobre usuários federados, consulte Usuários federados e perfis no Guia do usuário do IAM.

  • Acesso entre contas – Você pode usar uma função do IAM em sua conta para conceder, a outra Conta da AWS, permissões de acesso aos recursos de sua conta. Para ver um exemplo, consulte Tutorial: Delegar acesso entre Contas da AWS usando perfis do IAM no Manual do usuário do IAM.

  • Acesso de serviço da AWS – É possível usar uma função do IAM em sua conta para conceder a um serviço da AWS permissões para acessar os recursos de sua conta. Por exemplo, é possível criar uma função que permita ao Amazon Redshift acessar um bucket do Amazon S3 em seu nome e carregar dados armazenados no bucket em um cluster do Amazon Redshift. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS serviço no Guia do usuário do IAM.

  • Aplicativos executados no Amazon EC2 – Em vez de armazenar chaves de acesso na instância do EC2 para serem usadas pelos aplicativos em execução na instância e fazer solicitações de API da AWS, você pode usar uma função do IAM para gerenciar credenciais temporárias para esses aplicativos. Para atribuir uma função de AWS a uma instância de EC2 e disponibilizá-la para todas as suas aplicações, crie um perfil de instância que esteja anexado à instância. Um perfil de instância contém a função e permite que programas em execução na instância EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Uso de um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Controle de acesso

Você pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha permissões, não poderá administrar nem acessar recursos do AWS Organizations. Por exemplo, você deve ter permissões para criar uma UO ou para anexar uma política de controle de serviço (SCP) a uma conta.

As seções a seguir descrevem como gerenciar permissões para o AWS Organizations.

• Gerenciar permissões de acesso para a organização da AWS

• Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Organizations

• Controle de acesso baseado em atributo com tags e AWS Organizations