Autenticar com credenciais de longo prazo

Atenção

Para evitar riscos de segurança, não use usuários do IAM para autenticação ao desenvolver software com propósito específico ou trabalhar com dados reais. Em vez disso, use federação com um provedor de identidade, como AWS IAM Identity Center.

Se você usa um usuário do IAM para executar seu código, o SDK ou a ferramenta em seu ambiente de desenvolvimento é autenticado usando credenciais de usuário do IAM de longo prazo no arquivo compartilhado. AWS credentials Analise o tópico Melhores práticas de segurança no IAM e faça a transição para o IAM Identity Center ou outras credenciais temporárias assim que possível.

Avisos e orientações importantes para credenciais

Avisos para credenciais

• NÃO use as credenciais de raiz da sua conta para acessar os recursos da AWS . Estas credenciais fornecem acesso ilimitado à conta e são difíceis de revogar.

• NÃO coloque chaves de acesso literais ou informações de credenciais nos comandos de seus aplicativos. Se colocar, criará um risco de exposição acidental das credenciais se, por exemplo, fizer upload do projeto em um repositório público.

• NÃO inclua arquivos que contenham credenciais em sua área de projeto.

• Esteja ciente de que todas as credenciais armazenadas no AWS credentials arquivo compartilhado são armazenadas em texto simples.

Orientação adicional para gerenciar credenciais com segurança

Para uma discussão geral sobre como gerenciar AWS credenciais com segurança, consulte Melhores práticas para gerenciar chaves de AWS acesso no. Referência geral da AWS Além dessa discussão, considere o seguinte:

• Use perfis do IAM para tarefas do Amazon Elastic Container Service (Amazon ECS).

• Use perfis do IAM para aplicações em execução nas instâncias do Amazon EC2.

Pré-requisitos: Crie uma conta AWS

Para usar um usuário do IAM para acessar AWS serviços, você precisa de uma AWS conta e AWS credenciais.

1. Crie uma conta.

   Para criar uma AWS conta, consulte Primeiros passos: você é um AWS usuário iniciante? no Guia AWS Account Management de referência.

2. Crie um usuário administrativo.

   Evite usar a conta de usuário raiz (a conta inicial criada) para acessar serviços e o console de gerenciamento. Em vez disso, crie uma conta de usuário administrativo, conforme explicado em Criar um usuário administrativo no Guia do usuário do IAM.

   Depois de criar a conta de usuário administrativo e registrar os detalhes de login, saia da conta de usuário raiz e faça login novamente usando a conta administrativa.

Nenhuma dessas contas é apropriada para desenvolvimento AWS ou execução de aplicativos AWS. Como prática recomendada, você precisa criar usuários, conjuntos de permissões ou perfis de serviço que sejam apropriados para essas tarefas. Para obter mais informações, consulte Aplicar permissões de privilégio mínimo, no Guia do usuário do IAM.

Etapa 1: criar o usuário do IAM

• Crie o usuário do IAM seguindo o procedimento de Criação de usuários do IAM (console) no Guia do usuário do IAM. Ao criar seu usuário do IAM:

  • Recomendamos que você selecione Fornecer acesso ao usuário ao AWS Management Console. Isso permite que você visualize informações Serviços da AWS relacionadas ao código que você está executando em um ambiente visual, como a verificação de registros de AWS CloudTrail diagnóstico ou o upload de arquivos para o Amazon Simple Storage Service, o que é útil ao depurar seu código.

  • Em Definir permissões - Opções de permissão, selecione Anexar políticas diretamente para saber como você deseja atribuir permissões a esse usuário.

    • A maioria dos tutoriais de “Conceitos básicos” do SDK usa o serviço Amazon S3 como exemplo. Para fornecer à aplicação acesso total ao Amazon S3, selecione a política AmazonS3FullAccess para anexar a esse usuário.

  • Você pode ignorar as etapas opcionais desse procedimento em relação à definição de limites de permissão ou tags.

Etapa 2: obter as chaves de acesso

1. No painel de navegação do console do IAM, selecione Usuários e escolha o usuário User name que você criou anteriormente.

2. Na página do usuário, selecione a página Credenciais de segurança. Depois, em Chaves de acesso, selecione Criar chave de acesso.

3. Para Criar chave de acesso: etapa 1, escolha interface de linha de comandos (CLI) ou Código local. Ambas as opções geram o mesmo tipo de chave para usar com os SDKs AWS CLI e os SDKs.

4. Em Criar chave de acesso: etapa 2, insira uma tag opcional e selecione Próximo.

5. Em Criar chave de acesso: etapa 3, selecione Baixar arquivo .csv para salvar um arquivo .csv com a chave de acesso e a chave de acesso secreta do usuário do IAM. Você precisará dessas informações posteriormente.

   Atenção

   Use medidas de segurança apropriadas para manter essas credenciais seguras.

6. Selecione Concluído.

Etapa 3: atualizar o arquivo credentials compartilhado

1. Crie ou abra o arquivo AWS credentials compartilhado. Esse arquivo é ~/.aws/credentials em sistemas Linux e macOS e %USERPROFILE%\.aws\credentials no Windows. Para obter mais informações, consulte Arquivos de credenciais de local.

2. Adicione o texto a seguir ao arquivo credentials compartilhado. Substitua o valor de ID de exemplo e o valor de chave de exemplo pelos valores no arquivo .csv que você baixou anteriormente.

   [default]
   aws_access_key_id = AKIAIOSFODNN7EXAMPLE
   aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

3. Salve o arquivo.

O arquivo credentials compartilhado é a forma mais comum de armazenar credenciais. Eles também podem ser definidos como variáveis de ambiente, consulte AWS chaves de acesso para ver os nomes das variáveis de ambiente. Essa é uma forma de começar, mas recomendamos que você faça a transição para o IAM Identity Center ou outras credenciais temporárias o mais rápido possível. Depois de deixar de usar credenciais de longo prazo, lembre-se de excluir essas credenciais do arquivo credentials compartilhado.