# Gerenciar chaves de acesso para usuários do IAM
<a name="id_credentials_access-keys"></a>

**Importante**  
Como [prática recomendada](best-practices.md), use credenciais de segurança temporárias (como perfis do IAM), em vez de criar credenciais de longo prazo, como as chaves de acesso. Antes de criar chaves de acesso, avalie as [alternativas às chaves de acesso de longo prazo](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o Usuário raiz da conta da AWS. Você pode usar chaves de acesso para assinar solicitações programáticas na AWS CLI ou na API da AWS (diretamente ou usando o SDK da AWS). Para obter mais informações, consulte [Acesso programático com credenciais de segurança da AWS](security-creds-programmatic-access.md).

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, `AKIAIOSFODNN7EXAMPLE`) e uma chave de acesso secreta (por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações.



Ao criar um par de chaves de acesso, salve o ID de chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta pode ser recuperada somente no momento em que você a cria. Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. Para obter mais instruções, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md).

É possível ter um máximo de duas chaves de acesso por usuário.

**Importante**  
Usuários do IAM com chaves de acesso são um risco à segurança da conta. Gerencie suas chaves de acesso com segurança. Não as forneça a terceiros não autorizados, mesmo que seja para ajudar a [localizar os identificadores da sua conta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.  
Ao trabalhar com chaves de acesso, tenha em mente o seguinte:  
**NÃO** use as credenciais de usuário-raiz da sua conta para criar chaves de acesso.
**NÃO** coloque chaves de acesso literais ou informações de credenciais em seus arquivos de aplicações. 
**NÃO** inclua arquivos que contenham informações de chaves de acesso ou de credenciais em sua área de projeto.
As informações de chaves de acesso ou de credenciais armazenadas no arquivo de credenciais da AWS compartilhado são armazenadas em texto simples.

## Recomendações de monitoramento
<a name="monitor-access-keys"></a>

Após criar chaves de acesso:
+ Use o AWS CloudTrail para monitorar o uso da chave de acesso e detectar quaisquer tentativas de acesso não autorizadas. Para obter mais informações, consulte [Registro em log de chamadas de API do IAM e do AWS STS com o AWS CloudTrail](cloudtrail-integration.md).
+ Configure alarmes do CloudWatch para notificar os administradores sobre tentativas de acesso negado para ajudar a detectar atividades maliciosas. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Revise, atualize e exclua regularmente as chaves de acesso conforme necessário.

Os tópicos a seguir detalham as tarefas de gerenciamento associadas a chaves de acesso.

**Topics**
+ [Recomendações de monitoramento](#monitor-access-keys)
+ [Controle o uso de chaves de acesso anexando uma política em linha a um usuário do IAM](access-keys_inline-policy.md)
+ [Permissões necessárias para gerenciar chaves de acesso](access-keys_required-permissions.md)
+ [Como os usuários do IAM podem gerenciar suas próprias chaves de acesso](access-key-self-managed.md)
+ [Como um administrador do IAM pode gerenciar as chaves de acesso do usuário do IAM](access-keys-admin-managed.md)
+ [Atualizar chaves de acesso](id-credentials-access-keys-update.md)
+ [Proteger chaves de acesso](securing_access-keys.md)

# Controle o uso de chaves de acesso anexando uma política em linha a um usuário do IAM
<a name="access-keys_inline-policy"></a>

Outra prática recomendada é exigir que as [workloads usem credenciais temporárias com perfis do IAM](best-practices.md#bp-workloads-use-roles) para acessar a AWS. Os usuários do IAM com chaves de acesso devem ter acesso com privilégios mínimos e ter a [autenticação multifator (MFA](id_credentials_mfa.md)) ativada. Para obter mais informações sobre como presumir um perfil do IAM, consulte [Métodos para assumir um perfil](id_roles_manage-assume.md).

No entanto, se você estiver criando um teste de prova de conceito de uma automação de serviço ou outro caso de uso de curto prazo e optar por executar workloads usando um usuário do IAM com chaves de acesso, recomendamos [usar condições de políticas para restringir ainda mais o acesso](best-practices.md#use-policy-conditions) das credenciais de usuário do IAM.

Nessa situação, você pode criar uma política com limite de tempo que expira as credenciais após o tempo especificado ou, se estiver executando uma workload em uma rede segura, você pode usar uma política de restrição de IP.

Para ambos os casos de uso, você pode usar uma política em linha anexada ao usuário do IAM que tem chaves de acesso.

**Para configurar uma política com limite de tempo para um usuário do IAM**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Usuários** e escolha o usuário para o caso de uso de curto prazo. Se você ainda não criou o usuário, pode [criar o usuário](getting-started-workloads.md) agora.

1. Na página **Detalhes** do usuário, selecione a guia **Permissões**.

1. Escolha **Adicionar permissões** e, em seguida, selecione **Criar política em linha**.

1. Na seção **Editor de políticas**, selecione **JSON** para exibir o editor JSON.

1. No editor JSON, insira a política a seguir, substituindo o valor do `aws:CurrentTime`carimbo de data/hora pela data e hora de expiração desejadas:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
         "DateGreaterThan": {
         "aws:CurrentTime": "2025-03-01T00:12:00Z"
           }
         }
       }
     ]
   }
   ```

------

   Essa política usa o efeito `Deny` para restringir todas as ações em todos os recursos após a data especificada. A condição `DateGreaterThan` compara a hora atual com o carimbo de data/hora que você definiu.

1. Selecione **Avançar** para ir para a página **Revisar e criar**. Em detalhes da **Política**, em **Nome da política**, insira um nome para a política e escolha **Criar política**.

Depois que a política é criada, ela é exibida na guia **Permissões** do usuário. Quando a hora atual for maior ou igual à hora especificada na política, o usuário não terá mais acesso aos recursos da AWS. Certifique-se de informar os desenvolvedores da workload sobre a data de expiração que você especificou para essas chaves de acesso. 

**Para configurar uma política de restrição de IP para um usuário do IAM**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários** e selecione o usuário que executará a workload na rede segura. Se você ainda não criou o usuário, pode [criar o usuário](getting-started-workloads.md) agora.

1. Na página **Detalhes** do usuário, selecione a guia **Permissões**.

1. Escolha **Adicionar permissões** e, em seguida, selecione **Criar política em linha**.

1. Na seção **Editor de políticas**, selecione **JSON** para exibir o editor JSON.

1. Copie a seguinte política do IAM para o editor JSON e altere os endereços IPv4 ou IPv6 públicos ou os intervalos de acordo com suas necessidades. Você pode usar [https://checkip.amazonaws.com](https://checkip.amazonaws.com/) para determinar seu endereço IP público. Você pode especificar endereços IP individuais ou intervalos de endereços IP usando a notação de barra. Para obter mais informações, consulte [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). 
**nota**  
Os endereços IP não devem ser ofuscados por uma VPN ou um servidor proxy.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid":"IpRestrictionIAMPolicyForIAMUser",
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "NotIpAddress": {
             "aws:SourceIp": [
               "203.0.113.0/24",
               "2001:DB8:1234:5678::/64",
               "203.0.114.1"
             ]
           },
           "BoolIfExists": {
             "aws:ViaAWSService": "false"
           }
         }
       }
     ]
   }
   ```

------

   Este exemplo de política nega o uso das chaves de acesso de um usuário do IAM com essa política aplicada, a menos que a solicitação tenha sido originada das redes (especificadas na notação CIDR) "203.0.113.0/24", "2001:DB8:1234:5678::/64" ou do endereço IP específico "203.0.114.1" 

1. Selecione **Avançar** para ir para a página **Revisar e criar**. Em detalhes da **Política**, em **Nome da política**, insira um nome para a política e escolha **Criar política**.

Depois que a política é criada, ela é exibida na guia **Permissões** do usuário. 

Você também pode aplicar essa política como uma política de controle de serviço (SCP) em várias contas da AWS bo AWS Organizations. Recomendamos usar uma condição adicional, `aws:PrincipalArn`, para que essa declaração de política se aplique apenas aos usuários do IAM nas contas da AWS sujeitas a esse SCP. A política a seguir inclui essa atualização:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}
```

------

# Permissões necessárias para gerenciar chaves de acesso
<a name="access-keys_required-permissions"></a>

**nota**  
`iam:TagUser` é uma permissão opcional para adicionar e editar descrições da chave de acesso. Para obter mais informações, consulte . [Marcar usuários do IAM](id_tags_users.md)

Para criar chaves de acesso para seu próprio usuário do IAM, você deve ter as permissões na seguinte política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Para atualizar chaves de acesso para seu próprio usuário do IAM, é necessário ter as permissões da política a seguir:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# Como os usuários do IAM podem gerenciar suas próprias chaves de acesso
<a name="access-key-self-managed"></a>

Os administradores do IAM podem conceder aos usuários do IAM a permissão para autogerenciar as chaves de acesso anexando a política descrita em [Permissões necessárias para gerenciar chaves de acesso](access-keys_required-permissions.md).

Com essas permissões, o usuário do IAM pode usar os procedimentos a seguir para criar, ativar, desativar e excluir as chaves de acesso associadas ao nome de usuário.

**Topics**
+ [Criar uma chave de acesso para você mesmo (console)](#Using_CreateAccessKey)
+ [Desativar a chave de acesso (console)](#deactivate-access-key-seccreds)
+ [Ativar a chave de acesso (console)](#activate-access-key-seccreds)
+ [Excluir a chave de acesso (console)](#delete-access-key-seccreds)

## Criar uma chave de acesso para você mesmo (console)
<a name="Using_CreateAccessKey"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para criar chaves de acesso para você mesmo.

**Para criar, modificar ou excluir suas próprias chaves de acesso (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Chaves de acesso**, escolha **Criar chave de acesso**. Caso você já tenha duas chaves de acesso, este botão ficará desativado, e você deverá excluir uma chave de acesso antes de criar uma nova.

1. Na página **Access key best practices and alternatives** (Práticas recomendadas e alternativas da chave de acesso), escolha seu caso de uso para saber mais sobre outras opções que ajudam a evitar a criação de uma chave de acesso de longo prazo. Se você determinar que seu caso de uso ainda requer uma chave de acesso, escolha **Other** (Outro) e escolha **Next** (Avançar).

1. (Opcional) Defina um valor de etiqueta de descrição para a chave de acesso. Essa ação adiciona um par de chave-valor de etiqueta ao usuário do IAM. Isso pode ajudar a identificar e a atualizar as chaves de acesso posteriormente. A chave da etiqueta é definida como o ID da chave de acesso. O valor da etiqueta é definido com a descrição da chave de acesso que você especifica. Quando terminar, escolha **Create access key** (Criar chave de acesso).

1. Na página **Retrieve access keys** (Recuperar chaves de acesso), escolha **Show** (Exibir) para revelar o valor da chave de acesso secreta do usuário ou **Download .csv file** (Baixar o arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Depois de salvar a chave de acesso secreta em um local seguro, escolha **Done** (Concluído).

## Desativar a chave de acesso (console)
<a name="deactivate-access-key-seccreds"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para desativar a chave de acesso.

**Para desativar uma chave de acesso**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Access keys** (Chaves de acesso), localize a chave que você deseja desativar, escolha **Actions** (Ações) e escolha **Deactivate** (Desativar). Quando a confirmação for solicitada, escolha **Deactivate** (Desativar). A chave de acesso desativada ainda conta para o limite de duas chaves de acesso.

## Ativar a chave de acesso (console)
<a name="activate-access-key-seccreds"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para ativar a chave de acesso.

**Para ativar uma chave de acesso**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Access keys** (Chaves de acesso), localize a chave que deseja ativar, escolha **Actions** (Ações) e escolha **Activate** (Ativar).

## Excluir a chave de acesso (console)
<a name="delete-access-key-seccreds"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para excluir a chave de acesso.

**Para excluir uma chave de acesso quando não precisar mais dela**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Access keys** (Chaves de acesso), localize a chave que deseja excluir, escolha **Actions** (Ações) e escolha **Delete** (Excluir). Siga as instruções na caixa de diálogo para primeiro **Deactivate** (Desativar) e depois confirme a exclusão. Recomendamos verificar se a chave de acesso não está mais em uso antes de excluí-la permanentemente.

# Como um administrador do IAM pode gerenciar as chaves de acesso do usuário do IAM
<a name="access-keys-admin-managed"></a>

Os administradores do IAM podem criar, ativar, desativar e excluir as chaves de acesso associadas a usuários do IAM individuais. Eles também podem listar os usuários do IAM na conta que têm chaves de acesso e localizar qual usuário do IAM tem uma chave de acesso específica.

**Topics**
+ [Como criar uma chave de acesso para um usuário do IAM](#admin-create-access-key)
+ [Para desativar uma chave de acesso para um usuário do IAM](#admin-deactivate-access-key)
+ [Para ativar uma chave de acesso para um usuário do IAM](#admin-activate-access-key)
+ [Como excluir uma chave de acesso para um usuário do IAM](#admin-delete-access-key)
+ [Para listar as chaves de acesso de um usuário do IAM](#admin-list-access-key)
+ [Para listar as chaves de acesso de um usuário do IAM](#admin-list-access-key)
+ [Para exibir todos os IDs de chave de acesso dos usuários na conta](#admin-list-all-access-keys)
+ [Para usar um ID de chave de acesso para localizar um usuário](#admin-find-user-access-keys)
+ [Para localizar o uso mais recente de um ID de chave de acesso](#admin-find-most-recent-use-access-keys)

## Como criar uma chave de acesso para um usuário do IAM
<a name="admin-create-access-key"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha **Criar chave de acesso**.

   Se esse botão estiver desativado, você deverá excluir uma das chaves de acesso existentes antes de criar outra.

1. Na página **Access key best practices and alternatives** (Práticas recomendadas e alternativas de chaves de acesso), analise as práticas recomendadas e alternativas. Escolha seu caso de uso para saber mais sobre outras opções que ajudam a evitar a criação de uma chave de acesso de longo prazo.

1. Se você determinar que seu caso de uso ainda requer uma chave de acesso, escolha **Other** (Outro) e escolha **Next** (Avançar).

1. **(Opcional)** Na página **Definir tag de descrição**, você pode adicionar uma tag de descrição à chave de acesso para ajudar a rastreá-la. Selecione **Criar chave de acesso**.

1. Na página **Retrieve access keys** (Recuperar chaves de acesso), escolha **Show** (Exibir) para revelar o valor da chave de acesso secreta do usuário.

1. Para salvar o ID da chave de acesso e a chave de acesso secreta em um arquivo `.csv` em um local seguro no computador, escolha o botão **Download .csv file** (Baixar arquivo .csv).
**Importante**  
Esta é a única oportunidade de visualizar ou fazer download da chave de acesso recém-criada, e você não poderá recuperá-la posteriormente. Certifique-se de manter a chave de acesso protegida.

Quando você cria uma chave de acesso para seu usuário, o par de chaves é ativo por padrão, e você pode usar o par imediatamente.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 

------

## Para desativar uma chave de acesso para um usuário do IAM
<a name="admin-deactivate-access-key"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha o menu suspenso **Ações** e, em seguida, **Desativar**.

1. Na caixa de diálogo **Desativar**, confirme que você deseja desativar a chave de acesso selecionando **Desativar**

Depois que uma chave de acesso é desativada, ela não pode mais ser usada por chamadas de API. Você poderá ativá-la novamente, se necessário.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Para ativar uma chave de acesso para um usuário do IAM
<a name="admin-activate-access-key"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha o menu suspenso **Ações** e, em seguida, **Ativar**.

Depois que uma chave de acesso é ativada, ela pode ser usada por chamadas de API. Você poderá desativá-la novamente, se necessário.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Como excluir uma chave de acesso para um usuário do IAM
<a name="admin-delete-access-key"></a>

Depois que uma chave de acesso tiver sido desativada, se ela não for mais necessária, exclua-a.

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha o menu suspenso **Ações** para a chave de acesso inativa e, em seguida, **Excluir**.

1. Na caixa de diálogo **Excluir**, confirme que você deseja excluir a chave de acesso inserindo o ID da chave de acesso no campo de entrada de texto e, em seguida, selecionando **Excluir**.

Depois que uma chave de acesso é excluída, ela não pode ser recuperada.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Para listar as chaves de acesso de um usuário do IAM
<a name="admin-list-access-key"></a>

Você pode visualizar uma lista dos IDs de chave de acesso associados a um usuário do IAM. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, a seção **Chaves de acesso** lista as chaves de acesso do usuário.

Cada usuário do IAM pode ter duas chaves de acesso.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Para listar as chaves de acesso de um usuário do IAM
<a name="admin-list-access-key"></a>

Você pode visualizar uma lista dos IDs de chave de acesso associados a um usuário do IAM. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, a seção **Chaves de acesso** lista os IDs de chave de acesso do usuário, incluindo o status de cada chave exibida.
**nota**  
Somente o ID de chave de acesso do usuário é visível. A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Cada usuário do IAM pode ter duas chaves de acesso.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Para exibir todos os IDs de chave de acesso dos usuários na conta
<a name="admin-list-all-access-keys"></a>

É possível visualizar uma lista dos IDs de chave de acesso dos usuários na Conta da AWS. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Se necessário, adicione a coluna **Access key ID** à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, na extrema direita, selecione o ícone de **Preferências** (![\[Preferences icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Na caixa de diálogo **Preferências**, em **Selecionar colunas visíveis**, ative o **ID da chave de acesso**.

   1. Escolha **Confirmar** para retornar à lista de usuários. A lista é atualizada para incluir o ID da chave de acesso.

1. A coluna **ID da chave de acesso** mostra o estado de cada chave de acesso, seguido de seu ID; por exemplo, **`Active - AKIAIOSFODNN7EXAMPLE`** ou **`Inactive - AKIAI44QH8DHBEXAMPLE`**. 

   Você pode usar essas informações para visualizar e copiar os IDs das chaves de acesso para usuários com uma ou duas chaves de acesso. A coluna exibe **`-`** para usuários sem chave de acesso.
**nota**  
A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Cada usuário do IAM pode ter duas chaves de acesso.

------

## Para usar um ID de chave de acesso para localizar um usuário
<a name="admin-find-user-access-keys"></a>

Você pode usar um ID de chave de acesso para localizar um usuário na Conta da AWS. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, na caixa de pesquisa, insira o **ID da chave de acesso**. Por exemplo, AKIAI44QH8DHBEXAMPLE. 

1. O usuário do IAM ao qual o ID da chave de acesso está associado aparece no painel de navegação. Escolha o nome do usuário para ir para a página de detalhes do usuário.

------

## Para localizar o uso mais recente de um ID de chave de acesso
<a name="admin-find-most-recent-use-access-keys"></a>

O uso mais recente de uma chave de acesso é exibido na lista do usuário na página de usuários do IAM, na página de detalhes do usuário, e faz parte do relatório de credenciais. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Na lista de usuários, consulte a coluna **Chave de acesso usada pela última vez**.

   Se a coluna não for exibida, escolha o ícone de **Preferências** (![\[Preferences icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)) e, em **Selecionar colunas visíveis**, ative **Última chave de acesso usada** para exibir a coluna.

1. (opcional) No painel de navegação, em **Relatórios de acesso**, selecione **Relatório de credenciais** para fazer download de um relatório que inclua as informações da última chave de acesso usada para todos os usuários do IAM na conta.

1. (opcional) Selecione o usuário do IAM para visualizar os detalhes de usuário. A seção **Resumo** inclui os IDs das chaves de acesso, o status e quando foram usadas pela última vez.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) 

------

# Atualizar chaves de acesso
<a name="id-credentials-access-keys-update"></a>

Como [melhor prática](best-practices.md#update-access-keys) de segurança, sugerimos atualizar as chaves de acesso do usuário do IAM quando necessário, por exemplo, quando um funcionário sair da sua empresa. Os usuários do IAM poderão atualizar suas próprias chaves de acesso se tiverem recebido as permissões necessárias.

Para obter detalhes sobre a concessão de permissões aos usuários do IAM para atualizar suas próprias chaves de acesso, consulte [AWS: permite que os usuários do IAM gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md). Você também pode aplicar uma política de senha à sua conta para exigir que todos os seus usuários do IAM atualizem suas senhas periodicamente e definir a frequência com a qual eles devem fazer isso. Para obter mais informações, consulte [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md). 

**nota**  
Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. A chave de acesso secreta pode ser recuperada somente no momento em que você a cria. Use esse procedimento para desativar e substituir chaves de acesso perdidas por novas credenciais.

**Topics**
+ [Atualização das chaves de acesso do usuário do IAM (console)](#rotating_access_keys_console)
+ [Atualização das chaves de acesso (AWS CLI)](#rotating_access_keys_cli)
+ [Atualização de chaves de acesso (API da AWS)](#rotating_access_keys_api)

## Atualização das chaves de acesso do usuário do IAM (console)
<a name="rotating_access_keys_console"></a>

É possível atualizar as chaves de acesso via Console de gerenciamento da AWS.

**Para atualizar as chaves de acesso de um usuário do IAM sem interromper suas aplicações (console)**

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso.

   1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. No painel de navegação, escolha **Usuários**.

   1. Selecione o nome do usuário desejado e, em seguida, selecione a guia **Credenciais de segurança**.

   1. Na seção **Chaves de acesso**, escolha **Criar chave de acesso**. Na página **Access key best practices & alternatives** (Práticas recomendadas e alternativas da chave de acesso), escolha **Other** (Outro) e escolha **Next** (Avançar).

   1. (Opcional) Defina um valor de etiqueta de descrição para a chave de acesso para adicionar um par chave-valor de etiqueta a esse usuário do IAM. Isso pode ajudar a identificar e a atualizar as chaves de acesso posteriormente. A chave da etiqueta é definida como o ID da chave de acesso. O valor da etiqueta é definido com a descrição da chave de acesso que você especifica. Quando terminar, escolha **Create access key** (Criar chave de acesso).

   1. Na página **Retrieve access keys** (Recuperar chaves de acesso), escolha **Show** (Exibir) para revelar o valor da chave de acesso secreta do usuário ou **Download .csv file** (Baixar o arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Depois de salvar a chave de acesso secreta em um local seguro, escolha **Done** (Concluído).

      Quando você cria uma chave de acesso para seu usuário, o par de chaves é ativo por padrão, e você pode usar o par imediatamente. Neste momento, o usuário terá duas chaves de acesso ativas.

1. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

1. <a name="id_credentials_access-keys-key-still-in-use"></a>Determine se a primeira chave de acesso ainda está em uso, analisando a informação **Last used** (Usado pela última vez) da chave de acesso mais antiga. Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

1. Mesmo se a informação **Last used** (Usada pela última vez) indicar que a chave antiga nunca foi usada, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, escolha **Actions** (Ações) e escolha **Deactivate** (Desativar) para desativar a primeira chave de acesso.

1. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, você poderá reativar a primeira chave de acesso. Em seguida, retorne a [Step 3](#id_credentials_access-keys-key-still-in-use) e atualize esse aplicativo para usar a nova chave.

1. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso:

   1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. No painel de navegação, escolha **Usuários**.

   1. Selecione o nome do usuário desejado e, em seguida, selecione a guia **Credenciais de segurança**.

   1. Na seção **Access keys** (Chaves de acesso) da chave de acesso que deseja excluir, escolha **Actions** (Ações) e escolha **Delete** (Excluir). Siga as instruções na caixa de diálogo para primeiro **Deactivate** (Desativar) e depois confirme a exclusão.

**Para determinar quais chaves de acesso precisam ser atualizadas ou excluídas (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Se necessário, adicione a coluna **Idade da chave de acesso** à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações (![\[Settings icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Em **Gerenciar colunas**, selecione **Idade da chave de acesso**.

   1. Escolha **Fechar** para retornar à lista de usuários.

1. A coluna **Idade da chave de acesso** mostra o número de dias desde que a chave de acesso ativa mais antiga foi criada. É possível usar essas informações para encontrar usuários com chaves de acesso que precisem ser atualizadas ou excluídas. A coluna exibe **Nenhum** para usuários sem chaves de acesso.

## Atualização das chaves de acesso (AWS CLI)
<a name="rotating_access_keys_cli"></a>

É possível atualizar as chaves de acesso via AWS Command Line Interface.

**Para atualizar chaves de acesso sem interromper suas aplicações (AWS CLI)**

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Execute o seguinte comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     Neste momento, o usuário terá duas chaves de acesso ativas.

1. <a name="step-update-apps"></a>Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

1. <a name="step-determine-use"></a>Determinar se a primeira chave de acesso ainda está em uso por meio deste comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

1. Mesmo se etapa [Step 3](#step-determine-use) indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para `Inactive` usando este comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para `Active` para reativar a primeira chave de acesso. Em seguida, retorne à etapa [Step 2](#step-update-apps) e atualize esse aplicativo para usar a nova chave.

1. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso com este comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## Atualização de chaves de acesso (API da AWS)
<a name="rotating_access_keys_api"></a>

É possível atualizar chaves de acesso usando a API da AWS.

**Para atualizar chaves de acesso sem interromper suas aplicações (API da AWS)**

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Chame a seguinte operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     Neste momento, o usuário terá duas chaves de acesso ativas.

1. <a name="step-update-apps-2"></a>Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

1. <a name="step-determine-use-2"></a>Determinar se a primeira chave de acesso ainda está em uso chamando esta operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

1. Mesmo se etapa [Step 3](#step-determine-use-2) indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para `Inactive` chamando esta operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para `Active` para reativar a primeira chave de acesso. Em seguida, retorne à etapa [Step 2](#step-update-apps-2) e atualize esse aplicativo para usar a nova chave.

1. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso chamando esta operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)

# Proteger chaves de acesso
<a name="securing_access-keys"></a>

Qualquer pessoa que tem suas chaves de acesso possui o mesmo nível de acesso a seus recursos da AWS que você tiver. Consequentemente, a AWS executa vários procedimentos para proteger suas chaves de acesso e, de acordo com o nosso [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/), você deve fazer o mesmo. 

Expanda as seções a seguir para obter orientação sobre como proteger suas chaves de acesso. 

**nota**  
Sua organização pode ter requisitos e políticas de segurança diferentes dos descritos neste tópico. As sugestões fornecidas aqui devem ser usadas como diretrizes gerais. 

## Remova (ou não gere) as chaves de acesso de Usuário raiz da conta da AWS
<a name="root-password"></a>

**Uma das melhores maneiras de proteger a sua conta é não ter chaves de acesso para seu Usuário raiz da conta da AWS.** A não ser que você tenha que ter chaves de acesso do usuário raiz (algo que é raro), é melhor não criá-las. Em vez disso, crie um usuário administrativo Centro de Identidade do AWS IAM para as tarefas administrativas diárias. Para obter informações sobre como criar um usuário administrativo no Centro de Identidade do IAM, consulte [Introdução](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) no *Guia do usuário do Centro de Identidade do IAM*.

Se você já tiver uma chave de acesso para o usuário raiz, recomendamos o seguinte: encontre lugares em suas aplicações onde você usa chaves de acesso (se houver) e substitua a chave de acesso do usuário raiz por chaves de acesso de usuário do IAM. Em seguida, desabilite e remova as chaves de acesso do usuário raiz. Para obter mais informações sobre como atualizar as chaves de acesso, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md)



## Usar credenciais de segurança temporárias (perfis do IAM) em vez de chaves de acesso de longo prazo
<a name="use-roles"></a>

Em muitos casos, você não precisa de chaves de acesso de longo prazo que nunca expiram (como há no caso de um usuário do IAM). Em vez disso, você pode criar perfis do IAM e gerar credenciais de segurança temporárias. As credenciais de segurança temporárias consistem em um ID da chave de acesso e uma chave de acesso secreta, mas elas também incluem um token de segurança que indica quando as credenciais expiram. 

As chaves de acesso de longo prazo, como aquelas associadas a contas de usuários do IAM e ao usuário raiz, permanecem válidas até serem revogadas manualmente. No entanto, as credenciais de segurança temporárias obtidas por meio de perfis do IAM e outros recursos do AWS Security Token Service expiram após um curto período. Use credenciais de segurança temporárias para ajudar a reduzir os riscos em caso de credenciais que sejam expostas acidentalmente.

Use um perfil do IAM e credenciais de segurança temporárias nestes cenários:
+ **Você tem uma aplicação ou scripts da AWS CLI em execução em uma instância do Amazon EC2**. Não use chaves de acesso diretamente em sua aplicação. Não passe uma chave de acesso para a aplicação, não incorpore-a na aplicação nem deixe que a aplicação leia chaves de acesso de nenhuma fonte. Em vez disso, defina um perfil do IAM que tenha as permissões apropriadas para sua aplicação e execute a instância do Amazon Elastic Compute Cloud (Amazon EC2) com [perfis para o EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Fazer isso associará um perfil do IAM à instância do Amazon EC2. Essa prática também permite que a aplicação obtenha credenciais de segurança temporárias que ela pode, por sua vez, usar para fazer chamadas programáticas para a AWS. Os SDKs da AWS e a AWS Command Line Interface (AWS CLI) podem obter credenciais temporárias do perfil automaticamente. 
+ **Você precisa conceder acesso entre contas.** Use um perfil do IAM para estabelecer confiança entre contas e, em seguida, conceda aos usuários em uma conta permissões limitadas para acessar a conta confiável. Para obter mais informações, consulte [Tutorial do IAM: Delegar acesso entre contas da AWS usando funções do IAM](tutorial_cross-account-with-roles.md).
+ **Você tem um aplicativo móvel.** Não integre chaves de acesso à aplicação, mesmo em armazenamento criptografado. Em vez disso, use o [Amazon Cognito](https://aws.amazon.com/cognito/) para gerenciar a identidade do usuário na sua aplicação. Esse serviço permite autenticar os usuários usando login com o Amazon, Facebook, Google ou qualquer provedor de identidade compatível com o OpenID Connect (OIDC). Em seguida, é possível usar o provedor de credenciais do Amazon Cognito para gerenciar credenciais que sua aplicação use para fazer solicitações à AWS.
+ **Você deseja centralizar-se na AWS e sua organização tem suporte para SAML 2.0.** Se você trabalha para uma organização que tenha um provedor de identidade compatível com o SAML 2.0, configure o provedor para usar o SAML. É possível usar o SAML para trocar informações de autenticação com a AWS e obter novamente um conjunto de credenciais de segurança temporárias. Para obter mais informações, consulte [Federação SAML 2.0](id_roles_providers_saml.md).
+ **Você deseja se federar na AWS e sua organização tem um armazenamento de identidades on-premises**. Se os usuários podem autenticar dentro da sua organização, você poderá escrever um aplicativo que emite a eles credenciais de segurança temporárias para acesso a recursos da AWS. Para obter mais informações, consulte [Habilitar o acesso do intermediador de identidades personalizado ao console da AWS](id_roles_providers_enable-console-custom-url.md).
+ **Use condições nas políticas do IAM para permitir somente o acesso das redes esperadas.** Você pode limitar onde e como suas chaves de acesso são usadas ao implementar [políticas do IAM com condições](reference_policies_elements_condition_operators.md) que especificam e permitem somente redes esperadas, como seus endereços IP públicos ou nuvens privadas virtuais (VPCs). Dessa forma, você sabe que as chaves de acesso só poderão ser usadas em redes esperadas e aceitáveis. 

**nota**  
Você está usando uma instância do Amazon EC2 com uma aplicação que precisa de acesso programático a recursos da AWS? Se sim, use [perfis do IAM para EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).

## Gerenciar chaves de acesso de usuário do IAM corretamente
<a name="iam-user-access-keys"></a>

Se for necessário criar chaves de acesso para acesso programático à AWS, crie-as para usuários do IAM, concedendo aos usuários somente as permissões necessárias.

Observe estas precauções para ajudar a proteger as chaves de acesso de usuários do IAM:
+ **Não incorpore chaves de acesso diretamente no código.** Os [SDKs da AWS](https://aws.amazon.com/tools/#sdk) e as [Ferramentas da linha de comando da AWS](https://aws.amazon.com/tools/#cli) permitem colocar chaves de acesso em pontos conhecidos para que você não precise mantê-las no código. 

  Coloque chaves de acesso em um dos seguintes locais:
  + **O arquivo de credenciais da AWS.** Os SDKs da AWS e a AWS CLI usam automaticamente as credenciais que você armazena no arquivo de credenciais da AWS. 

    Para obter informações sobre como usar o arquivo de credenciais da AWS, consulte a documentação do SDK. Os exemplos incluem [Configurar credenciais e região da AWS](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) no *Guia do desenvolvedor do AWS SDK para Java* e [Arquivos de configuração e credenciais](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) no *Guia do usuário da AWS Command Line Interface*.

    Para armazenar credenciais para o AWS SDK para .NET e o AWS Tools for Windows PowerShell, recomendamos que você use a SDK Store. Para obter mais informações, consulte [Utilização da SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) no *Guia do desenvolvedor do AWS SDK para .NET*.
  + **Variáveis de ambiente.** Em um sistema multicliente, escolha as variáveis de ambiente do usuário, não as variáveis de ambiente do sistema. 

    Para obter mais informações sobre o uso de variáveis de ambiente para armazenar credenciais, consulte [Variáveis de ambiente](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) no *Guia do usuário da AWS Command Line Interface*. 
+ **Use chaves de acesso diferentes para aplicativos diferentes.** Faça isso para que seja possível isolar as permissões e revogar as chaves de acesso para aplicações específicas caso elas sejam expostas. Ter chaves de acesso separadas para diferentes aplicativos também gera entradas distintas em arquivos de log do [AWS CloudTrail](https://aws.amazon.com/cloudtrail/). Essa configuração facilita a determinação de qual aplicativo executou ações específicas. 
+ **Atualize as chaves de acesso quando necessário.** Se houver risco de comprometimento da chave de acesso, atualize a chave de acesso e exclua a chave de acesso anterior. Para obter detalhes, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md) 
+ **Remover chaves de acesso não utilizadas.** Se um usuário sair da sua organização, remova o usuário do IAM correspondente para que ele não possa mais acessar seus recursos. Para saber quando uma chave de acesso foi usada pela última vez, use a API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) (comando da AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Use credenciais temporárias e configure a autenticação multifator para suas operações de API mais confidenciais.** Com as políticas do IAM, você pode especificar quais operações de API um usuário tem permissão para chamar. Em alguns casos, talvez você deseje obter segurança adicional para exigir que os usuários sejam autenticados com a MFA da AWS antes que eles tenham permissão para executar ações particularmente confidenciais. Por exemplo, você pode ter uma política que permita que um usuário execute as ações `RunInstances`, `DescribeInstances` e `StopInstances` do Amazon EC2. Mas você pode restringir uma ação destrutiva, tal como `TerminateInstances` e garantir que os usuários possam executar essa ação apenas se eles autenticarem com um dispositivo MFA da AWS. Para obter mais informações, consulte [Acesso seguro à API com a MFA](id_credentials_mfa_configure-api-require.md).

## Acessar o aplicativo móvel usando chaves de acesso da AWS
<a name="access-keys-mobile-app"></a>

Você pode acessar um conjunto limitado de serviços e recursos da AWS usando o aplicativo móvel AWS. O aplicativo móvel ajuda a oferecer suporte à resposta a incidentes em trânsito. Para obter mais informações e fazer download do aplicativo, consulte [Aplicativo móvel do console da AWS](https://aws.amazon.com/console/mobile/).

Você pode fazer login no aplicativo móvel usando sua senha do console ou suas chaves de acesso. Como prática recomendada, não use chaves de acesso de usuário raiz. Em vez disso, recomendamos enfaticamente que, além de utilizar uma senha ou um acesso biométrico no seu dispositivo móvel, criar um usuário do IAM especificamente para gerenciar os recursos da AWS usando a aplicação móvel. Caso você perca dispositivo móvel, poderá remover o acesso do usuário do IAM.

**Para fazer login usando chaves de acesso (aplicativo móvel)**

1. Abra o aplicativo no dispositivo móvel.

1. Se esta for a primeira vez que você adiciona uma identidade ao dispositivo, escolha **Add an identity (Adicionar uma identidade)** e selecione **Access keys (Chaves de acesso)**.

   Se você já fez login usando outra identidade, escolha o ícone de menu e selecione **Switch identity (Alternar identidade)**. Depois escolha **Sign in as a different identity (Fazer login como uma identidade diferente)** e **Access keys (Chaves de acesso)**.

1. Na página **Access keys (Chaves de acesso)**, insira suas informações:
   + **ID da chave de acesso**: insira o ID da sua chave de acesso.
   + **Chave de acesso secreta**: insira sua chave de acesso secreta.
   + **Nome da identidade**: insira o nome da identidade que aparecerá na aplicação móvel. Ele não precisa ser igual ao seu nome de usuário do IAM.
   + **PIN de identidade**: crie um número de identificação pessoal (PIN) que você usará para futuros logins.
**nota**  
Se habilitar a biometria para o aplicativo móvel da AWS, você será solicitado a usar sua impressão digital ou o reconhecimento facial para verificação em vez do PIN. Se a biometria falhar, você poderá ser solicitado a fornecer o PIN.

1. Escolha **Verify and add keys (Verificar e adicionar chaves)**.

   Agora você pode acessar um conjunto selecionado dos seus recursos usando o aplicativo móvel.

## Informações relacionadas
<a name="more-resources"></a>

Os tópicos a seguir fornecem diretrizes para a configuração dos SDKs da AWS e da AWS CLI para o uso das chaves de acesso.
+ [Defina as credenciais e a região da AWS](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) no *Guia do desenvolvedor do AWS SDK para Java*
+ [Utilização da SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) no *Guia do desenvolvedor do AWS SDK para .NET*
+ [Fornecimento de credenciais para o SDK](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html) no *Guia do desenvolvedor do AWS SDK para PHP*
+ [Configuração](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) na documentação do Boto 3 (SDK da AWS para Python)
+ [Uso de credenciais da AWS](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) no *Guia do usuário do AWS Tools for Windows PowerShell* 
+ [Arquivos de configuração e credenciais](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) no *Guia do usuário da AWS Command Line Interface* 
+ [Concessão de acesso usando um perfil do IAM](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) no *Guia do desenvolvedor do AWS SDK para .NET*
+ [Configuração de perfis do IAM para o Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) no *AWS SDK for Java 2.x*

## Usar credenciais da chave secreta e chave de acesso para acesso ao console
<a name="console-access-security-keys"></a>

É possível usar credenciais da chave secreta e chave de acesso para acesso direto ao Console de gerenciamento da AWS, não apenas à AWS CLI. Isso pode ser feito usando a chamada de API [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) do AWS STS. Ao criar um URL de console usando as credenciais temporárias e o token fornecidos pelo `GetFederationToken`, as entidades principais do IAM podem acessar o console. Para obter mais informações, consulte [Habilitar o acesso do intermediador de identidades personalizado ao console da AWS](id_roles_providers_enable-console-custom-url.md).

Vale esclarecer que, ao fazer login no console diretamente usando credenciais do IAM ou de usuário-raiz com o MFA ativado, o MFA será necessário. No entanto, se o método descrito acima (usar credenciais temporárias com `GetFederationToken`) for usado, o MFA NÃO será necessário.



## Fazer auditoria de chaves de acesso
<a name="Using_access-keys-audit"></a>

É possível revisar as chaves de acesso da AWS em seu código para determinar se as chaves são de uma conta que você possui. É possível transmitir um ID de chave de acesso usando o comando [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) da AWS CLI ou a operação da API [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) da AWS.

As operações de API da AWS e da AWS CLI retornam o ID da Conta da AWS à qual a chave de acesso pertence. Os IDs de chave de acesso que começam com `AKIA` são credenciais de longo prazo para um usuário do IAM ou um Usuário raiz da conta da AWS. Os IDs de chave de acesso que começam com `ASIA` são credenciais temporárias que são criadas usando operações do AWS STS. Se a conta na resposta pertencer a você, você poderá fazer login como usuário raiz e revisar suas chaves de acesso de usuário raiz. Em seguida, você pode obter um [relatório de credenciais](id_credentials_getting-report.md) para saber qual usuário do IAM é o proprietário das chaves. Para saber quem solicitou as credenciais temporárias para uma chave de acesso `ASIA`, visualize os eventos do AWS STS nos logs do CloudTrail.

Por motivos de segurança, você pode [revisar logs do AWS CloudTrail](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) para saber quem executou uma ação na AWS. Você pode usar a chave de condição `sts:SourceIdentity` na política de confiança da função para exigir que os usuários especifiquem uma identidade quando assumirem uma função. Por exemplo, você pode exigir que os usuários do IAM especifiquem seu próprio nome de usuário como a identidade-fonte. Isso pode ajudar você a determinar qual usuário executou uma ação específica na AWS. Para obter mais informações, consulte [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).

Essa operação não indica o estado da chave de acesso. A chave pode estar ativa, inativa ou excluída. As chaves ativas podem não ter permissões para executar uma operação. Fornecer uma chave de acesso excluída pode retornar um erro informando que a chave não existe.