ACCT.03: configurar o acesso ao console para cada usuário - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

ACCT.03: configurar o acesso ao console para cada usuário

Como prática recomendada, AWS recomenda o uso de credenciais temporárias para conceder acesso Contas da AWS e recursos. As credenciais temporárias têm duração limitada. Por isso, não será necessário alterná-las ou revogá-las explicitamente quando elas não forem mais necessárias. Para obter mais informações, consulte Credenciais de segurança temporárias (documentação do IAM).

Para usuários humanos, AWS recomenda usar identidades federadas de um provedor de identidade centralizado (IdP), como AWS IAM Identity Center Okta, Active Directory ou Ping Identity. A federação de usuários permite que você defina identidades em um único local central, e os usuários podem se autenticar com segurança em vários aplicativos e sites AWS, inclusive usando apenas um conjunto de credenciais. Para obter mais informações, consulte Federação de identidades no AWS IAM Identity Center (AWS site).

nota

A federação de identidades pode complicar a transição de uma arquitetura de conta única para uma arquitetura de várias contas. É comum que as startups adiem a implementação da federação de identidades até que tenham estabelecido uma arquitetura de várias contas gerenciada na AWS Organizations.

Para configurar a federação de identidades
  1. Se estiver usando o IAM Identity Center, consulte Introdução (documentação do IAM Identity Center).

    Se estiver usando um IdP externo ou de terceiros, consulte Criar provedores de identidade do IAM (documentação do IAM).

  2. Certifique-se de que seu IdP aplique a autenticação multifator (MFA).

  3. Aplique permissões de acordo com ACCT.04: atribuir permissões.

Para startups que não estão preparadas para configurar a federação de identidades, é possível criar usuários diretamente no IAM. Essa não é uma prática recomendada de segurança porque essas são credenciais de longo prazo que nunca expiram. No entanto, é uma prática comum para startups em início de operação para evitar dificuldades na transição para uma arquitetura de várias contas quando estiverem operacionalmente prontas.

Como base, é possível criar um usuário do IAM para cada pessoa que precisa acessar o AWS Management Console. Se você configurar usuários do IAM, não compartilhe credenciais entre usuários e alterne regularmente as credenciais de longo prazo.

Atenção

Os usuários do IAM têm credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários.

Para criar um usuário do IAM
  1. Crie usuários do IAM (documentação do IAM).

  2. Aplique permissões de acordo com ACCT.04: atribuir permissões.