Criar um conjunto de permissões - AWS IAM Identity Center
Criar um conjunto de permissões que aplica permissões de privilégio mínimo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um conjunto de permissões

Os conjuntos de permissões são armazenadas no IAM Identity Center e definem o nível de acesso que os usuários e grupos têm a uma conta da Conta da AWS. O primeiro conjunto de permissões que você cria é o conjunto de permissões administrativas. Se você já concluiu um dos Tutoriais de introdução, já criou seu conjunto de permissões administrativas. Use esse procedimento para criar conjuntos de permissões como descrito no tópico AWS managed policies for job functions no IAM User Guide.

  1. Realize um dos procedimentos a seguir para entrar no AWS Management Console.

    • Novo em AWS (usuário root) — Faça login como proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, digite sua senha.

    • Já está usando AWS (credenciais do IAM) — Faça login usando suas credenciais do IAM com permissões administrativas.

  2. Abra o console do Centro de Identidade do IAM.

  3. No painel de navegação do Centro de Identidade do IAM, em Permissões de várias contas, escolha Conjuntos de permissões.

  4. Escolha Create permission set (Criar conjunto de permissões).

    1. Na página Selecionar tipo de conjunto de permissões, na seção Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

    2. Na seção Política para um conjunto de permissões predefinido, escolha uma das seguintes opções:

      • AdministratorAccess

      • Faturamento

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. Na página Especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Próximo. A configuração padrão limita sua sessão a uma hora.

  6. Na página Revisar e criar, confirme o seguinte:

    1. Para Etapa 1: Selecionar tipo de conjunto de permissões, exibe o tipo de conjunto de permissões que você escolheu.

    2. Para a Etapa 2: Definir detalhes do conjunto de permissões, exibe o nome do conjunto de permissões que você escolheu.

    3. Escolha Criar.

Criar um conjunto de permissões que aplica permissões de privilégio mínimo

Para seguir as práticas recomendadas para aplicar permissões de privilégio mínimo, depois de criar um conjunto de permissões administrativas, crie um conjunto de permissões mais restritivo e o atribua a um ou mais usuários. Os conjuntos de permissões criados no procedimento anterior fornecem um ponto de partida para você avaliar de quanto acesso aos recursos os usuários precisam. Para alternar para permissões de privilégio mínimo, você pode executar o IAM Access Analyzer para monitorar as entidades principais com políticas gerenciadas pela AWS . Depois de descobrir quais permissões elas estão usando, você pode escrever uma política personalizada ou gerar uma política apenas com as permissões necessárias para sua equipe.

Com o IAM Identity Center, você pode atribuir vários conjuntos de permissões para o mesmo usuário. Ao usuário administrativo também devem ser atribuídos conjuntos de permissões adicionais, mais restritivos. Dessa forma, eles podem acessar você somente Conta da AWS com as permissões necessárias, em vez de sempre usar suas permissões administrativas.

Por exemplo, se você for um desenvolvedor, após criar seu usuário administrativo no IAM Identity Center, poderá criar um novo conjunto de permissões que conceda permissões de PowerUserAccess e atribuir esse conjunto de permissões a si mesmo. Ao contrário do conjunto de permissões administrativas, que usa AdministratorAccess permissões, o conjunto de PowerUserAccess permissões não permite o gerenciamento de usuários e grupos do IAM. Ao entrar no portal de AWS acesso para acessar sua AWS conta, você pode escolher, PowerUserAccess em vez de AdministratorAccess realizar tarefas de desenvolvimento na conta.

Lembre-se das seguintes considerações:

  • Para começar rapidamente a criar um conjunto de permissões mais restritivo, use um conjunto de permissões predefinido em vez de um conjunto de permissões personalizado.

    Com um conjunto de permissões predefinido, que usa permissões predefinidas, você escolhe uma única política AWS gerenciada em uma lista de políticas disponíveis. Cada política concede um nível específico de acesso a AWS serviços e recursos ou permissões para uma função de trabalho comum. Para obter informações sobre cada uma dessas políticas, consulte políticas gerenciadas pela AWS para funções de trabalho.

  • Você pode configurar a duração da sessão de um conjunto de permissões para controlar o período de tempo que um usuário fica conectado a uma. Conta da AWS.

    Quando os usuários se federam Conta da AWS e usam o AWS Management Console ou a Interface de Linha de AWS Comando (AWS CLI), o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Por padrão, o valor da duração da sessão, que determina o período de tempo em que um usuário pode se Conta da AWS conectar AWS e antes de sair da sessão, é definido como uma hora. Você pode especificar um valor máximo de 12 horas. Para ter mais informações, consulte Definir duração da sessão.

  • Você também pode configurar a duração da sessão do portal de AWS acesso para controlar o período de tempo em que um usuário da força de trabalho está conectado ao portal.

    Por padrão, o valor da duração máxima da sessão, que determina o período de tempo em que um usuário da força de trabalho pode entrar no portal de AWS acesso antes de precisar se autenticar novamente, é de oito horas. Você pode especificar um valor máximo de 90 dias. Para ter mais informações, consulte Configure a duração da sessão do portal de AWS acesso e dos aplicativos integrados do IAM Identity Center.

  • Ao entrar no portal de AWS acesso, escolha a função que fornece permissões de privilégio mínimo.

    Cada conjunto de permissões que você cria e atribui ao seu usuário aparece como uma função disponível no portal de AWS acesso. Ao entrar no portal como esse usuário, escolha a função que corresponde ao conjunto de permissões mais restritivo que você pode utilizar para realizar tarefas na conta, em vez AdministratorAccess de.

  • Você pode adicionar outros usuários ao IAM Identity Center e atribuir conjuntos de permissões novos ou existentes a esses usuários.

    Para obter mais informações, consulte Atribuir Conta da AWS acesso a grupos.