Acesso com login único a Contas da AWS - AWS IAM Identity Center
Atribuir acesso de usuário a Contas da AWSRemover o acesso de usuários e gruposRevogar uma sessão ativa do conjunto de permissõesDelegar quem pode atribuir acesso de logon único a usuários e grupos na conta de gerenciamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesso com login único a Contas da AWS

Você pode atribuir aos usuários em seu diretório conectado permissões à conta de gerenciamento ou contas de membros em sua organização AWS Organizations com base em funções de trabalho comuns. Ou você pode usar permissões personalizadas para atender aos seus requisitos de segurança específicos. Por exemplo, você pode conceder amplas permissões ao Amazon RDS em contas de desenvolvimento, mas limita essas permissões em contas de produção. O IAM Identity Center configura automaticamente todas as permissões de usuário necessárias em seu Contas da AWS .

nota

Talvez seja necessário conceder permissões aos usuários ou grupos para operar na conta AWS Organizations de gerenciamento. Por ser uma conta altamente privilegiada, restrições de segurança adicionais exigem que você tenha a FullAccess política do IAM ou permissões equivalentes antes de poder configurá-la. Essas restrições de segurança adicionais não são necessárias para nenhuma das contas dos membros em sua AWS organização.

Atribuir acesso de usuário a Contas da AWS

Use o procedimento a seguir para atribuir acesso logon único a usuários e grupos em seu diretório conectado e usar conjuntos de permissões para determinar o nível de acesso.

Para verificar o acesso existente de usuários e grupos, consulteExibir exercícios de usuários e grupos.

nota

Para simplificar a administração de permissões de acesso, é recomendável atribuir acesso diretamente a grupos, em vez de a usuários específicos. Com grupos, você pode conceder ou negar permissões para grupos de usuários, em vez de ter de aplicar essas permissões a cada indivíduo. Se um usuário for transferido para uma organização diferente, basta mover esse usuário para um grupo diferente para que recebam automaticamente as permissões necessárias para a nova organização.

Para atribuir acesso de usuário ou grupo ao Contas da AWS

  1. Abra o console do IAM Identity Center.

    nota

    Antes de passar para a etapa seguinte, confirme se o console do IAM Identity Center está usando uma das regiões em que seu diretório do AWS Managed Microsoft AD está localizado.

  2. No painel de navegação, em Permissões de várias contas, escolha Contas da AWS.

  3. Na página Contas da AWS, aparece uma lista de visualização em árvore da sua organização. Marque a caixa de seleção ao lado de uma ou mais Contas da AWS às quais deseja atribuir acesso de logon único.

    nota

    Você pode selecionar até 10 por Contas da AWS vez por conjunto de permissões ao atribuir acesso de login único a usuários e grupos. Para atribuir mais de 10 Contas da AWS ao mesmo conjunto de usuários e grupos, repita esse procedimento conforme necessário para as contas adicionais. Quando solicitado, selecione os mesmos usuários, grupos e conjunto de permissões.

  4. Escolha Atribuir usuários ou grupos.

  5. Na Etapa 1: Selecionar usuários e grupos, na página Atribuir usuários e grupos a "AWS-account-name, faça o seguinte:

    1. Na guia Usuários, selecione um ou mais usuários aos quais conceder acesso de login único.

      Para filtrar os resultados, comece a digitar o nome do usuário desejado na caixa de pesquisa.

    2. Na guia Grupos, selecione um ou mais grupos aos quais conceder acesso de login único.

      Para filtrar os resultados, comece a digitar o nome do grupo que deseja na caixa de pesquisa.

    3. Para exibir os usuários e grupos selecionados, escolha o triângulo lateral ao lado de Usuários e grupos selecionados.

    4. Depois de confirmar que os usuários e grupos corretos foram selecionados, escolha Avançar.

  6. Na Etapa 2: Selecionar conjuntos de permissões, na página Atribuir conjuntos de permissões a "AWS-account-name, faça o seguinte:

    1. Selecione um ou mais conjuntos de permissões. Se necessário, você pode criar e selecionar novos conjuntos de permissões.

      • Para selecionar um ou mais conjuntos de permissões existentes, em Conjuntos de permissões, selecione os conjuntos de permissões que você deseja aplicar aos usuários e grupos selecionados na etapa anterior.

      • Para criar um ou mais novos conjuntos de permissões, escolha Criar conjunto de permissões e siga as etapas em Criar um conjunto de permissões. Depois de criar os conjuntos de permissões que você deseja aplicar, no console do IAM Identity Center, retorne a Contas da AWS e siga as instruções até chegar à Etapa 2: Selecionar conjuntos de permissões. Ao chegar a essa etapa, selecione os novos conjuntos de permissões que você criou e vá para a próxima etapa desse procedimento.

    2. Depois de confirmar que os conjuntos de permissões corretos foram selecionados, escolha Avançar.

  7. Na Etapa 3: Revisar e enviar, na página Revisar e enviar exercícios para "AWS-account-name, faça o seguinte:

    1. Analise os usuários, grupos e conjuntos de permissões selecionados.

    2. Depois de confirmar que os usuários, grupos e conjuntos de permissões corretos foram selecionados, escolha Enviar.

      Importante

      O processo de atribuição de usuário e grupo pode demorar alguns minutos para ser concluído. Mantenha a página aberta até que o processo seja concluído com êxito.

      nota

      Talvez seja necessário conceder permissões aos usuários ou grupos para operar na conta AWS Organizations de gerenciamento. Por ser uma conta altamente privilegiada, restrições de segurança adicionais exigem que você tenha a FullAccess política do IAM ou permissões equivalentes antes de poder configurá-la. Essas restrições de segurança adicionais não são necessárias para nenhuma das contas dos membros em sua AWS organização.

Remover o acesso de usuários e grupos

Use esse procedimento para remover o acesso de login único a um Conta da AWS ou mais usuários e grupos em seu diretório conectado.

Para remover o acesso de usuários e grupos a um Conta da AWS

  1. Abra o console do IAM Identity Center.

  2. No painel de navegação, em Permissões de várias contas, escolha Contas da AWS.

  3. Na página Contas da AWS, aparece uma lista de visualização em árvore da sua organização. Selecione o nome do Conta da AWS que contém os usuários e grupos dos quais você deseja remover o acesso de login único.

  4. Na página Visão geral do Conta da AWS, em Usuários e grupos atribuídos, selecione o nome de um ou mais usuários ou grupos e escolha Remover acesso.

  5. Na caixa de diálogo Remover acesso, confirme se os nomes dos usuários ou grupos estão corretos e escolha Remover acesso.

Revogar sessões de função ativas do IAM criadas por conjuntos de permissões

Veja a seguir um procedimento geral para revogar uma sessão ativa de conjunto de permissões para um usuário do IAM Identity Center. O procedimento pressupõe que você queira remover todo o acesso de um usuário que tenha credenciais comprometidas ou de um agente mal-intencionado que esteja no sistema. O pré-requisito é ter seguido as orientações em. Prepare-se para revogar uma sessão de função ativa do IAM criada por um conjunto de permissões Presumimos que a política de negar tudo esteja presente em uma política de controle de serviços (SCP).

nota

AWS recomenda que você crie automação para lidar com todas as etapas, exceto as operações somente do console.

  1. Obtenha o ID de usuário da pessoa cujo acesso você deve revogar. Você pode usar as APIs do repositório de identidades para encontrar o usuário pelo nome de usuário.

  2. Atualize a política de negação para adicionar o ID do usuário da etapa 1 em sua política de controle de serviço (SCP). Depois de concluir essa etapa, o usuário alvo perde o acesso e não consegue realizar ações com nenhuma função afetada pela política.

  3. Remova todas as atribuições do conjunto de permissões para o usuário. Se o acesso for atribuído por meio de associações a grupos, remova o usuário de todos os grupos e de todas as atribuições diretas do conjunto de permissões. Essa etapa impede que o usuário assuma qualquer função adicional do IAM. Se um usuário tiver uma sessão ativa do portal de AWS acesso e você desabilitar o usuário, ele poderá continuar assumindo novas funções até que você remova o acesso.

  4. Se você usar um provedor de identidade (IdP) ou o Microsoft Active Directory como fonte de identidade, desative o usuário na fonte de identidade. A desativação do usuário impede a criação de sessões adicionais do portal de AWS acesso. Use sua documentação do IdP ou da API do Microsoft Active Directory para saber como automatizar essa etapa. Se você estiver usando o diretório do IAM Identity Center como fonte de identidade, ainda não desabilite o acesso do usuário. Você desativará o acesso do usuário na etapa 6.

  5. No console do IAM Identity Center, encontre o usuário e exclua sua sessão ativa.

    1. Selecione Usuários.

    2. Escolha o usuário cuja sessão ativa você deseja excluir.

    3. Na página de detalhes do usuário, escolha a guia Sessões ativas.

    4. Marque as caixas de seleção ao lado das sessões que você deseja excluir e escolha Excluir sessão.

    Isso garante que a sessão do portal de AWS acesso do usuário seja interrompida em aproximadamente 60 minutos. Saiba mais sobre a duração da sessão.

  6. No console do IAM Identity Center, desative o acesso do usuário.

    1. Selecione Usuários.

    2. Escolha o usuário cujo acesso você deseja desativar.

    3. Na página de detalhes do usuário, expanda Informações gerais e escolha o botão Desativar acesso do usuário para evitar mais logins do usuário.

  7. Mantenha a política de negação em vigor por pelo menos 12 horas. Caso contrário, o usuário com uma sessão de função do IAM ativa terá ações restauradas com a função do IAM. Se você esperar 12 horas, as sessões ativas expirarão e o usuário não poderá acessar a função do IAM novamente.

Importante

Se você desabilitar o acesso de um usuário antes de interromper a sessão do usuário (você concluiu a etapa 6 sem concluir a etapa 5), não poderá mais interromper a sessão do usuário por meio do console do IAM Identity Center. Se você desativar inadvertidamente o acesso do usuário antes de interromper a sessão do usuário, poderá reativá-lo, interromper a sessão e desativar o acesso novamente.

Agora você pode alterar as credenciais do usuário se a senha tiver sido comprometida e restaurar suas atribuições.

Delegar quem pode atribuir acesso de logon único a usuários e grupos na conta de gerenciamento

Atribuir acesso de logon único à conta mestre usando o console do IAM Identity Center é uma ação privilegiada. Por padrão, somente um usuário Usuário raiz da conta da AWS ou um usuário que tenha as políticas AWSSSOMasterAccountAdministratorIAMFullAccess AWS gerenciadas anexadas pode atribuir acesso de login único à conta de gerenciamento. As IAMFullAccesspolíticas AWSSSOMasterAccountAdministratore gerenciam o acesso de login único à conta de gerenciamento em uma AWS Organizations organização.

Use as etapas a seguir para delegar permissões para gerenciar o acesso SSO aos usuário e grupos em seu diretório.

Para conceder permissões para gerenciar o acesso SSO ao usuários e grupos em seu diretório

  1. Faça login no console do como um usuário raiz da conta mestre ou com outro usuário do IAM Identity Center que tenha permissões de administrador do para a conta mestre.

  2. Siga as etapas Criar um conjunto de permissões para criar um conjunto de permissões e faça o seguinte:

    1. Na página Criar novo conjunto de permissões, marque a caixa de seleção Criar um conjunto de permissões personalizado e escolha Avançar: Detalhes.

    2. Na página Criar novo conjunto de permissões, especifique um nome para o conjunto de permissões personalizado e, opcionalmente, uma descrição. Se necessário, modifique a duração da sessão e especifique um URL de estado de retransmissão.

      nota

      Para o URL do estado de retransmissão, você deve especificar um URL que esteja no AWS Management Console. Por exemplo: .

      https://console.aws.amazon.com/ec2/

      Para ter mais informações, consulte Definir estado de retransmissão.

    3. Em Quais políticas você deseja incluir no seu conjunto de permissões? , marque a caixa de seleção Anexar políticas AWS gerenciadas.

    4. Na lista de políticas do IAM, escolha as políticas AWSSSOMasterAccountAdministratore as IAMFullAccess AWS gerenciadas. Essa política concede permissões a qualquer usuário e grupos que receberem acesso a esse conjunto de permissões definido no futuro.

    5. Escolha Próximo: etiquetas.

    6. Em Adicionar tags (opcional), especifique valores de Chave e Valor (opcional), e escolha Avançar: Revisão. Para obter mais informações sobre tags, consulte Marcando atributos AWS IAM Identity Center.

    7. Verifique suas seleções e, em seguida, escolha Create function.

  3. Siga as etapas em Atribuir acesso de usuário a Contas da AWS para atribuir os usuários e grupos apropriados ao conjunto de permissões que você acabou de criar.

  4. Comunique o seguinte aos usuários atribuídos: Quando eles entrarem no portal de AWS acesso e escolherem a guia Contas, eles devem escolher o nome de função apropriado para serem autenticados com as permissões que você acabou de delegar.