Identity and Access Management - AWS Toolkit for Eclipse

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identity and Access Management

AWS Identity and Access ManagementO (IAM) permite controlar quem pode acessar oAWSRecursos e o que eles podem fazer com eles. OAWSO Explorer permite criar e gerenciar usuários, grupos e funções do IAM. Você também pode definir uma política de senha para usuários, o que permite especificar requisitos de senha, como tamanho mínimo, e se os usuários têm permissão para alterar as próprias senhas.

nota

É uma prática recomendada paratodos os usuários, até mesmo o proprietário da conta, para acessarAWSrecursos como usuários do IAM. Isso garante que, se as credenciais para um dos usuários do IAM forem comprometidas, as credenciais afetadas poderão ser revogadas sem a necessidade de alterar as credenciais raiz da conta.

Sobre o AWS Identity and Access Management

Em vez de compartilhar a senha e as credenciais de segurança da conta (o ID de chave de acesso e a chave de acesso secreta), você pode criar usuários do IAM que podem ter as próprias senhas e as credenciais de segurança. Você pode anexar políticas a usuários; nas políticas, você especifica permissões que determinam quais ações um usuário pode utilizar e quais recursos o usuário tem permissão para acessar.

Por uma questão de comodidade, em vez de adicionar políticas a usuários individuais, você pode criar grupos do IAM (por exemplo, administradores e desenvolvedores), anexar políticas a eles e adicionar usuários a esses grupos. Você também pode criar funções que tenham políticas com permissões. As funções podem ser assumidas por usuários que estejam em outras contas, por serviços e por usuários que não tenham uma identidade do IAM. Para obter mais informações sobre o IAM, consulte o Manual do usuário do IAM.

Criar um usuário do IAM

Você cria usuários do IAM para que outras pessoas na organização possam ter as própriasAWSidentidade. Você pode atribuir permissões a um usuário do IAM anexando uma política do IAM ao usuário ou atribuindo o usuário a um grupo. Os usuários do IAM atribuídos a um grupo derivam as permissões das políticas anexadas ao grupo. Para obter mais informações, consulte Criar um grupo do IAM e Adicionar um usuário do IAM a um grupo do IAM.

Usando o Toolkit, você também pode gerarAWSCredenciais (ID da chave de acesso e chave de acesso secreta) para o usuário do IAM. Para obter mais informações, consulte Gerenciar credenciais para um usuário do IAM.

Para criar um usuário do IAM

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó, clique com o botãoUsuários donó e, em seguida, selecioneCriar novos usuários.

  2. Na caixa de diálogo Create New Users (Criar usuários), insira até cinco nomes para novos usuários do IAM e clique em Finish (Concluir). Para obter informações sobre restrições quanto a nomes para usuários do IAM, consulteLimitações em entidades do IAMnoManual do usuário do IAM.

Para obter informações sobre como adicionar um usuário a um grupo, consulte Adicionar um usuário do IAM a um grupo do IAM. Para obter informações sobre como criar uma política e anexá-la ao usuário, consulte Anexar uma política do IAM a um usuário, grupo ou função.

Criar um grupo do IAM

Você pode adicionar usuários do IAM a grupos para facilitar o gerenciamento de permissões. Todas as permissões anexadas ao grupo se aplicam a todos os usuários nesse grupo. Para obter mais informações sobre grupos do IAM, consulteTrabalhar com usuários e grupos donoManual do usuário do IAM.

Ao criar um grupo, você pode criar uma política que inclui as permissões que os membros do grupo terão.

Para criar um grupo do IAM

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó, clique com o botãoGrupos donó e, em seguida, selecioneCriar novo grupo.

  2. Insira um nome para o novo grupo do IAM e clique em Next (Próximo).

  3. Insira um nome para a política que estabelece o que os membros do grupo têm permissão para fazer. Insira a política como um documento JSON e clique em OK.

    O nome da política deve ser exclusivo dentro da conta. O JSON informado para a política deve ser validado, ou você não poderá salvar a política. Para obter informações sobre como criar uma política, consulteVisão geral das políticas donoManual do usuário do IAM.

  4. Clique em Finish (Concluir).

Para obter informações sobre como anexar políticas adicionais ao grupo do IAM, consulte Anexar uma política do IAM a um usuário, grupo ou função.

Adicionar um usuário do IAM a um grupo do IAM

Se um usuário do IAM for adicionado a um grupo, todas as políticas anexadas ao grupo também estarão em vigor para o usuário. Para obter mais informações sobre os usuários do IAM, consulteGrupos e usuários donoManual do usuário do IAM.

Para adicionar um usuário do IAM a um grupo do IAM

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó, clique com o botãoGrupos donó e, em seguida, selecioneAbra o Editor de grupos. Você adiciona usuários do IAM a grupos do IAM a partir doGrupos doNó noAWSExplorerem vez de doUsuários doNó.

  2. No editor Groups (Grupos), selecione o grupo ao qual você deseja adicionar usuários e clique na guia Users (Usuários).

  3. No lado direito do painel inferior, clique no botão Add Users (Adicionar usuários).

  4. Na caixa de diálogo Add Users to Group (Adicionar usuários ao grupo), selecione os usuários que você deseja adicionar e clique em OK.

Gerenciar credenciais para um usuário do IAM

Para cada usuário, você pode adicionar uma senha. Os usuários do IAM usam uma senha para trabalhar comAWSrecursos noAWS Management Console.

Para criar uma senha para um usuário do IAM

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó, clique com o botãoUsuários donó e, em seguida, selecioneAbra o Editor de usuários.

  2. Na lista de usuários, selecione o usuário para o qual você deseja criar uma senha e clique na guia Summary (Resumo).

  3. No lado direito do painel inferior, clique no botão Update Password (Atualizar senha).

  4. Na caixa de diálogo Update User Password (Atualizar senha do usuário), digite uma senha e clique em OK.

    nota

    A nova senha substituirá todas as senhas existentes.

Para cada usuário você também pode gerar um conjunto de chaves de acesso (um ID de chave de acesso e uma chave de acesso secreta). Essas chaves podem ser usadas para representar o usuário para acesso programático aoAWS—por exemplo, para usar oAWSInterface de linha de comando (CLI), para assinar solicitações programáticas usando o SDK ou acessarAWSserviços por meio do Toolkit. (Para obter informações sobre como especificar credenciais a serem usadas com o Toolkit, consulteConfigurarAWSCredenciais.)

Para gerar chaves de acesso para um usuário do IAM

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó, clique com o botãoUsuários donó e, em seguida, selecioneAbra o Editor de usuários.

  2. Na lista de usuários, selecione o usuário para o qual você deseja gerar chaves e clique na guia Summary (Resumo).

  3. Clique no botão Manage Access Keys (Gerenciar chaves de acesso).

    Uma janela é exibida onde você pode gerenciar chaves de acesso para o usuário.

  4. Clique no botão Create Access Key (Criar chave de acesso).

    A caixa de diálogo Manage Access Key (Gerenciar chave de acesso) é exibida.

  5. Clique no botão Download (Fazer download) para fazer download de um arquivo de valores separados por vírgulas (CSV) que contém as credenciais que foram geradas.

    nota

    Essa será a única oportunidade de visualizar e fazer download dessas chaves de acesso. Se perder essas chaves, você deverá excluí-las e criar um novo conjunto de chaves de acesso.

Você só pode gerar dois conjuntos de credenciais por usuário do IAM. Se já tiver dois conjuntos de credenciais e precisar criar um conjunto adicional, você deverá excluir um dos conjuntos existentes primeiro.

Você também pode desativar credenciais. Nesse caso, as credenciais ainda existem, mas todas as solicitações aAWSque são feitas usando essas credenciais falharão. Isso será útil se você quiser desativar temporariamente o acesso aAWSPara esse conjunto de credenciais. Você pode reativar credenciais que foram desativadas anteriormente.

Para excluir, desativar ou reativar chaves de acesso para um usuário do IAM

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó, clique com o botãoUsuários donó e, em seguida, selecioneAbra o Editor de usuários.

  2. Na lista de usuários, selecione o usuário para o qual você deseja gerenciar chaves de acesso, clique na guia Summary (Resumo) e no botão Manage Access Keys (Gerenciar chaves de acesso).

  3. Na janela que lista as chaves de acesso desse usuário, clique com o botão direito do mouse nas credenciais que você deseja gerenciar e escolha uma das seguintes opções:

    • Delete Access Key (Excluir chave de acesso)

    • Make Inactive (Tornar inativo)

    • Make Active (Tornar ativo)

Criar uma função do IAM

Usar oAWSKit de ferramentas, você pode criar o IAMpapéis. A função pode serassumidoPor entidades que você deseja permitir acesso aoAWSrecursos da AWS. As políticas anexadas à função determinam quem pode assumir a função (a entidade confiável ou principal) e o que essas entidades têm permissão para fazer.

No Toolkit, você pode especificar as seguintes entidades confiáveis:

  • UmaAWSserviço. Por exemplo, você pode especificar que um Amazon EC2 pode chamar outroAWSserviços ou queAWS Data PipelineTem permissão para gerenciar instâncias do Amazon EC2. Isso é conhecido como uma função de serviço.

  • Uma conta diferente própria. Se você tiver váriosAWSContas, você pode precisar permitir que os usuários em uma única conta usem uma função para obter permissões a fim de acessar recursos que estejam em outra conta.

  • Uma conta de terceiros. Você pode permitir que um fornecedor de terceiros gerencie oAWSrecursos da AWS. Nesse caso, você pode criar uma função na qual a entidade confiável seja a de terceirosAWSconta.

Depois de especificar quem é a entidade confiável, você poderá especificar uma política que determine o que a função tem permissão para fazer.

Por exemplo, você pode criar uma função e anexar uma política a essa função que limita o acesso apenas a um dos buckets do Amazon S3. Então, você pode associar a função a uma instância do Amazon EC2. Quando um aplicativo é executado na instância do Amazon EC2, o aplicativo só pode acessar o bucket do Amazon S3 cujo acesso foi permitido a você na política da função.

Para obter mais informações sobre funções do IAM, consulte Funções do IAM no Guia do usuário do IAM.

Para criar uma função do IAM

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó, clique com o botãoFunções donó e, em seguida, selecioneCriar nova função.

  2. Insira um nome para a função do IAM e clique em Next (Próximo).

  3. Selecione a entidade confiável para a função. Para criar uma função de serviço, selecioneAWSFunções de serviço doE, em seguida, selecione uma função de serviço na lista suspensa.

    Para fornecer acesso a um usuário definido em um diferenteAWSConta própria, selecioneID da contae insira oAWSnúmero da conta da outra conta.

    Para dar acesso a uma conta de terceiros, selecioneID da contae insira o de terceirosAWSNúmero da conta. Se o terceiro tiver fornecido a você um ID externo, insira-o também.

  4. Clique em Next.

  5. Insira um nome para a política que estabelece o que a função tem permissão para fazer. Em seguida, insira a política como um documento JSON e clique em OK.

    O nome da política deve ser exclusivo dentro da conta. O JSON informado para a política deve ser validado, ou você não poderá salvar a política. Para obter informações sobre como criar uma política, consulte Visão geral da políticas no guia Usar o IAM.

  6. Clique em Finish (Concluir).

    A nova função do IAM é exibida no editor Roles (Funções).

Para obter exemplos que mostram como acessar oAWSUsando a função do IAM associada a uma instância do Amazon EC2, consulteUsar funções do IAM para conceder acesso aoAWSRecursos no Amazon EC2noAWS SDK for JavaGuia do desenvolvedor.

Anexar uma política do IAM a um usuário, grupo ou função

Políticas são documentos que definem permissões. Por exemplo, uma política anexada a um usuário pode especificar o queAWSAs ações que o usuário tem permissão para chamar e em quais recursos o usuário tem permissão para realizar ações. Se a política estiver anexada a um grupo, as permissões só se aplicarão a usuários no grupo. Se a política estiver anexada a uma função, as permissões só se aplicarão a quem assumir a função.

O processo para anexar uma política a um usuário ou grupo é semelhante. Para obter funções, você pode anexar uma política que especifique o que a função tem permissão para fazer. Você usa um processo separado para anexar ou editar a política que determina quem tem permissão para assumir a função (ou seja, para gerenciar a relação de confiança).

nota

Se tiver anexado uma política a um usuário, grupo ou função anteriormente, você poderá usar esse procedimento para anexar uma política adicional. Para editar uma política existente em um usuário, grupo ou função, use o console do IAM, as ferramentas de linha de comando ou as chamadas à API.

Para criar uma política do IAM para um usuário, grupo ou função

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó e clique duas vezes noGrupos doNó, oUsuários donó ou oFunções doNó.

  2. Selecione o grupo, o usuário ou a função a que você deseja anexar a política e clique na guia Permissions (Permissões).

  3. No lado direito do painel inferior, clique no botão Attach Policy (Associar política).

  4. Na caixa de diálogo Manage Group Policy (Gerenciar política de grupo), Manage User Policy (Gerenciar política de usuário) ou Manage Role Permissions (Gerenciar permissões da função), insira um nome para a política. Em seguida, insira a política como um documento JSON e clique em OK.

    O nome da política deve ser exclusivo dentro da conta. O JSON informado para a política deve ser validado, ou você não poderá salvar a política. Para obter informações sobre como criar uma política, consulteVisão geral das políticas do IAMnoManual do usuário do IAM.

Para criar ou gerenciar uma relação de confiança para uma função

  1. DentroAWSExplorerExpandaAWSIdentity and Access ManagementNó e clique duas vezes noFunções doNó.

  2. No editor Roles (Funções), selecione a função que você deseja gerenciar e clique na guia Trust Relationships (Relações de confiança).

  3. No lado direito do painel inferior, clique no botão Edit Trust Relationship (Editar relação de confiança).

  4. Na caixa de diálogo Edit Trust Relationship (Editar relação de confiança), edite o documento de política JSON e clique em OK.

Definir política de senha

No Toolkit for Eclipse, você pode definir uma política de senha para a conta. Isso permite verificar se as senhas criadas para usuários do IAM seguem determinadas diretrizes de duração e complexidade. Ele também permite especificar se os usuários têm permissão para alterar as próprias senhas. Para obter mais informações, consulteGerenciar uma política de senhas do IAMnoManual do usuário do IAM.

Para criar uma política do IAM para um usuário ou grupo

  1. DentroAWSExplorer, emIdentity and Access Management, clique duas vezes noPolítica de senhas doNó.

  2. NoPolítica de senhas do, especifique as opções de política que você deseja para oAWSConta e, em seguida, clique emAplicar política de senha.