Autenticação com identidades

A autenticação é a forma como fazer login na AWS usando suas credenciais de identidade. Você deve estar autenticado (conectado à AWS) como usuário raiz da conta AWS, como usuário do IAM ou assumindo um perfil do IAM.

É possível fazer login na AWS como uma identidade federada usando credenciais fornecidas por uma fonte de identidades. AWS Os usuários do Centro de Identidade do IAM (IAM Identity Center), a autenticação única da sua empresa e suas credenciais do Google ou do Facebook são exemplos de identidades federadas. Quando você faz login como identidade federada, o administrador já configurou anteriormente a federação de identidades usando perfis do IAM. Quando você acessa a AWS usando a federação, está indiretamente assumindo um perfil.

Dependendo do seu tipo de usuário, você pode acessar o Console de Gerenciamento da AWS ou o portal de acesso da AWS. Para obter mais informações sobre como fazer login na AWS, consulte Como fazer login na sua conta da AWS, no Guia do usuário de Início de Sessão da AWS.

Se você acessar a AWS de forma programática, a AWS fornecerá um kit de desenvolvimento de software (SDK) e uma interface de linha de comandos (CLI) para você assinar de forma criptográfica as solicitações usando as suas credenciais. Se você não utilizar as ferramentas AWS, deverá designar as solicitações por conta própria. Para obter mais informações sobre como usar o método recomendado para designar solicitações por conta própria, consulte Designando solicitações de API AWS no Guia do usuário do IAM.

Independentemente do método de autenticação usado, pode ser necessário fornecer informações adicionais de segurança. Por exemplo, a AWS recomenda o uso da autenticação multifator (MFA) para aumentar a segurança de sua conta. Para saber mais informações, consulte Autenticação multifator no Guia do usuário do Centro de Identidade do AWS IAM e Usar a autenticação multifator (MFA) na AWS no Guia do usuário do IAM.

Usuário raiz da conta da AWS

Ao criar uma conta AWS, você começa com uma identidade de login que tem acesso completo a todos os serviços e recursos da conta AWS. Essa identidade é chamada de usuário-raiz da conta da AWS e é acessada mediante login com o endereço de e-mail e a senha usados para criar a conta. Nunca use o usuário-raiz para a realização das suas tarefas diárias e tome medidas para proteger as credenciais do usuário-raiz. Use-as apenas para executar tarefas que somente o usuário-raiz pode realizar. Para obter a lista completa das tarefas que exigem login como usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz no Guia do Usuário do IAM.

Identidade federada

É uma prática recomendada exigir que usuários humanos, incluindo aqueles que necessitam de acesso de administrador, usem federação com um provedor de identidades para acessar os serviços da AWS por meio de credenciais temporárias.

Identidade federada é um usuário de seu diretório de usuários corporativos, um provedor de identidades da Web, AWS Directory Service, o diretório do Centro de Identidade ou qualquer usuário que acesse os serviços da AWS usando credenciais fornecidas por meio de uma fonte de identidade. Quando as identidades federadas acessam as contas da AWS, elas assumem perfis, e os perfis fornecem credenciais temporárias.

Para obter um gerenciamento centralizado de acesso, recomendamos o uso do Centro de Identidade do AWS IAM. Você pode criar usuários e grupos diretamente no Centro de Identidade do IAM ou conectar e sincronizar um conjunto de usuários e de grupos usando sua própria fonte de identidades para utilizá-los em todas as suas contas e aplicações da AWS. Para obter mais informações sobre o Centro de Identidade do IAM, consulte O que é o Centro de Identidade do IAM?, no Guia do usuário do Centro de Identidade do AWS IAM.

Grupos e usuários do IAM

Um usuário do IAM é uma identidade dentro da sua conta da AWS que tem permissões específicas para uma única pessoa ou aplicação. É recomendável priorizar o uso de credenciais temporárias, em vez de criar usuários do IAM que usam credenciais de longo prazo, como senhas e chaves de acesso. Caso você tenha um caso de uso específico que exija credenciais de longo prazo com usuários do IAM, recomendamos alterar as chaves de acesso. Para obter mais informações, consulte Alternar as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo no Guia do Usuário do IAM.

Um grupo do IAM é uma identidade que especifica um conjunto de usuários do IAM. Não é possível fazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você pode ter um grupo chamado IAMAdmins e conceder a esse grupo permissões para administrar recursos do IAM.

Usuários são diferentes de perfis. Um usuário é exclusivamente associado a uma pessoa ou a uma aplicação, mas um perfil pode ser assumido por qualquer pessoa que precisar dele. Os usuários têm credenciais permanentes de longo prazo, mas os perfis fornecem credenciais temporárias. Para saber mais, consulte Quando criar um usuário do IAM (em vez de um perfil) no Guia do usuário do IAM.

Perfis do IAM

Um perfil do IAM corresponde a uma identidade na sua conta da AWS com um conjunto específico de permissões. Ele é semelhante a um usuário do IAM, mas não está associado a uma pessoa específica. É possível assumir um perfil do IAM temporariamente no Console de Gerenciamento da AWS ao alterar os perfis. Você pode assumir uma função chamando uma operação da CLI da AWS ou da API da AWS, ou usando um URL personalizado. Para obter mais informações sobre métodos para o uso de perfis, consulte Utilizar perfis do IAM no Guia do usuário do IAM.

Funções do IAM com credenciais temporárias são úteis nas seguintes situações:

Acesso de usuário federado: para atribuir permissões a identidades federadas, é possível criar um perfil e definir permissões para ele. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas por ele. Para obter mais informações sobre perfis para federação, consulte Criar um perfil para um provedor de identidades de terceiros no Guia do usuário do IAM. Se usar o Centro de Identidade do IAM, configure um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o Centro de Identidade do IAM correlaciona o conjunto de permissões a um perfil no IAM. Para obter mais informações sobre os conjuntos de permissões, consulte Conjuntos de permissões no Guia do usuário do Centro de Identidade do AWS IAM.
Permissões temporárias para usuários do IAM: um usuário ou um perfil do IAM pode presumir um perfil do IAM para obter temporariamente permissões diferentes para uma tarefa específica.
Acesso entre contas: é possível usar um perfil do IAM para permitir que alguém (uma entidade principal confiável) em outra conta acesse recursos em sua conta. As funções são a principal forma de conceder acesso entre contas. No entanto, alguns serviços da AWS permitem que você anexe uma política diretamente a um recurso (em vez de usar uma função como proxy). Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte Acesso a recursos entre contas no IAM no Guia do usuário do IAM.
Acesso entre serviços: alguns serviços da AWS usam recursos em outros serviços da AWS. Por exemplo, quando você faz uma chamada em um serviço, é comum que esse serviço execute aplicações no Amazon EC2 ou armazene objetos no Amazon S3. Um serviço pode fazer isso usando as permissões da entidade principal da chamada, usando um perfil de serviço ou um perfil vinculado ao serviço.
- Perfil de serviço: um perfil de serviço é um perfil do IAM que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir uma função de serviço do IAM. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS serviço no Guia do usuário do IAM.
- Função vinculada a serviço: uma função vinculada a serviço é um tipo de função de serviço vinculada a um serviço da AWS. O serviço pode assumir a função de executar uma ação em seu nome. Os Perfis vinculados a serviços aparecem em sua conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados a serviço.
Aplicações em execução no Amazon EC2: é possível usar uma função do IAM para gerenciar credenciais temporárias para aplicações em execução em uma instância do EC2 e fazer solicitações da CLI da AWS ou da API da AWS. É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir um perfil da AWS a uma instância do EC2 e torná-lo disponível para todas as suas aplicações, você cria um perfil de instância que é vinculado à instância. Um perfil de instância contém o perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Utilizar um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Para saber se deseja usar perfis do IAM, consulte Quando criar um perfil do IAM (em vez de um usuário) no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de Identidade e Acesso

Como o AWS Security Incident Response funciona com o IAM