# Senhas de usuários na AWS
<a name="id_credentials_passwords"></a>

É possível gerenciar as senhas de usuários do IAM em sua conta. Usuários do IAM precisam de senhas para acessar o Console de gerenciamento da AWS. Os usuários não precisam de senhas para acessar os recursos da AWS de forma programática ao usar a AWS CLI, o Tools for Windows PowerShell, os SDKs ou APIs da AWS. Para esses ambientes, existe a opção de atribuir [chaves de acesso](id_credentials_access-keys.md) aos usuários do IAM. Porém, existem alternativas mais seguras às chaves de acesso que recomendamos considerar primeiro. Para ter mais informações, consulte [AWSCredenciais de segurança de](security-creds.md).

**nota**  
Se um de seus usuários do IAM perder ou esquecer a senha, você *não poderá* recuperá-la do IAM. Dependendo das suas configurações, o usuário ou o administrador devem criar uma nova senha.

**Topics**
+ [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md)
+ [Gerenciar senhas para usuários do IAM](id_credentials_passwords_admin-change-user.md)
+ [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md)
+ [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md)

# Definir uma política de senhas de contas para usuários do IAM
<a name="id_credentials_passwords_account-policy"></a>

Você pode definir uma política de senha personalizada em sua Conta da AWS para especificar requisitos de complexidade e períodos de alternância obrigatórios para suas senhas de usuários do IAM. Se você não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha da AWS padrão. Para obter mais informações, consulte [Opções de políticas de senha personalizadas](#password-policy-details).

**Topics**
+ [Regras para definir uma política de senha](#password-policy-rules)
+ [Permissões necessárias para definir uma política de senha](#default-policy-permissions-required)
+ [Política de senha padrão](#default-policy-details)
+ [Opções de políticas de senha personalizadas](#password-policy-details)
+ [Para definir uma política de senha (console)](#IAMPasswordPolicy)
+ [Para alterar uma política de senha (console)](#id_credentials_passwords_account-policy-section-1)
+ [Para excluir uma política de senhas personalizada (console)](#id_credentials_passwords_account-policy-section-2)
+ [Definir uma política de senha (AWS CLI)](#PasswordPolicy_CLI)
+ [Definir uma política de senha (API da AWS)](#PasswordPolicy_API)

## Regras para definir uma política de senha
<a name="password-policy-rules"></a>

A política de senha do IAM não se aplica à senha do Usuário raiz da conta da AWS ou às chaves de acesso do usuário do IAM. Se uma senha expirar, o usuário do IAM não poderá fazer login no Console de gerenciamento da AWS, mas poderá continuar a usar as chaves de acesso.

Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. No entanto, algumas das configurações serão aplicadas imediatamente. Por exemplo: 
+ Quando os requisitos de tamanho mínimo e o tipo de caracteres forem alterados, as configurações serão aplicadas na próxima vez que os usuários mudarem suas senhas. Os usuários não serão forçados a mudar suas senhas existentes, mesmo se as senhas existentes não estiverem em conformidade com a política de senhas atualizada.
+ Quando você definir um período de expiração de senha, ele será aplicado imediatamente. Por exemplo, suponhamos que você defina um período de expiração de senha de 90 dias. Nesse caso, a senha expira para todos os usuários do IAM cuja senha existente tenha sido configurada há mais de 90 dias. Esses usuários são obrigados a alterar sua senha na próxima vez que fizerem login.

Você não pode criar uma “política de bloqueio” para bloquear um usuário fora da conta após um número especificado de tentativas de login com falha. Para maior segurança, recomendamos que você combine uma política de senha forte com a autenticação multifator (MFA). Para obter mais informações sobre MFA, consulte [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).

## Permissões necessárias para definir uma política de senha
<a name="default-policy-permissions-required"></a>

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM visualize ou edite a política de senha da conta. Você pode incluir as seguintes ações de política de senha em uma política do IAM: 
+ `iam:GetAccountPasswordPolicy`: permite que a entidade visualize a política de senha para a conta
+ `iam:DeleteAccountPasswordPolicy`: permite que a entidade exclua a política de senha personalizada para a conta e reverta para a política de senha padrão
+ `iam:UpdateAccountPasswordPolicy`: permite que a entidade crie ou altere a política de senha personalizada para a conta

A política a seguir permite acesso total para visualizar e editar a política de senha da conta. Para saber mais sobre como criar uma política do IAM usando este exemplo de documento de política JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para obter informações sobre as permissões necessárias para um usuário do IAM alterar sua própria senha, consulte [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md).

## Política de senha padrão
<a name="default-policy-details"></a>

Se um administrador não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha padrão da AWS.

A política de senha padrão impõe as seguintes condições:
+ Tamanho mínimo da senha é 8 caracteres e o máximo 128 caracteres.
+ No mínimo três dos seguintes tipos de caracteres: maiúsculas, minúsculas, números e caracteres não alfanuméricos (`! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`)
+ Não ser idêntico ao nome ou endereço de e-mail da sua Conta da AWS
+ A senha nunca expira

## Opções de políticas de senha personalizadas
<a name="password-policy-details"></a>

Ao configurar uma política de senha personalizada para sua conta, você pode especificar as seguintes condições:
+ **Password minimum length** (Comprimento mínimo da senha): especifique um mínimo de seis caracteres e um máximo de 128 caracteres.
+ **Força da senha**: selecione qualquer uma das seguintes opções para definir a força das suas senhas de usuário do IAM:
  + Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z)
  + Exigir pelo menos uma letra minúscula do alfabeto latino (a–z)
  + Exigir pelo menos um número
  + Exigir pelo menos um caractere não alfanumérico `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '` 
+ **Turn on password expiration** (Ativar expiração de senha): você pode selecionar e especificar no mínimo um e no máximo 1.095 dias para que as senhas de usuário do IAM permaneçam válidas após serem definidas. Por exemplo, se você especificar uma validade de 90 dias, isso afetará imediatamente todos os seus usuários. Após a mudança, os usuários que têm senhas com mais de 90 dias precisam definir uma nova senha ao acessar o console. Usuários com senhas de 75 a 89 dias recebem um aviso do Console de gerenciamento da AWS sobre a validade da senha. Os usuários do IAM podem alterar a senha a qualquer momento, desde que tenham recebido permissão para isso. Ao definir uma nova senha, o período de expiração para ela será reiniciado. Um usuário do IAM só pode ter uma senha válida por vez.
+ **Password expiration requires administrator reset** (A expiração da senha requer redefinição do administrador): selecione esta opção para impedir que os usuários do IAM usem o Console de gerenciamento da AWS para atualizar suas próprias senhas depois que elas expirarem. Antes de selecionar esta opção, confirme se a sua Conta da AWS tem mais de um usuário com permissões administrativas para redefinir as senhas de usuário do IAM. Administradores com a permissão `iam:UpdateLoginProfile` podem redefinir senhas de usuário do IAM. Usuários do IAM com permissões `iam:ChangePassword` e chaves de acesso ativas podem redefinir sua própria senha do console do usuário do IAM programaticamente. Se você desmarcar esta caixa de seleção, os usuários do IAM com senhas expiradas ainda deverão definir uma nova senha para que possam acessar o Console de gerenciamento da AWS.
+ **Allow users to change their own password** (Permitir que os usuários alterem suas próprias senhas): você pode permitir que todos os usuários do IAM na conta alterem suas próprias senhas. Isso dá aos usuários acesso à ação `iam:ChangePassword` somente para seu usuário e à ação `iam:GetAccountPasswordPolicy`. Essa opção não anexa uma política de permissões a cada usuário. Em vez disso, o IAM aplica as permissões no nível da conta a todos os usuários. Ou então, você pode permitir que apenas alguns usuários gerenciem suas próprias senhas. Para fazer isso, desmarque esta caixa de seleção. Para obter mais informações sobre o uso de políticas para limitar quem pode gerenciar senhas, consulte [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md).
+ **Prevent password reuse** (Impedir a reutilização de senha): você pode impedir que os usuários do IAM reutilizem um número específico de senhas anteriores. Você pode especificar um número mínimo de 1 e um número máximo de 24 senhas anteriores que não podem ser repetidas. 

## Para definir uma política de senha (console)
<a name="IAMPasswordPolicy"></a>

Você pode usar o Console de gerenciamento da AWS para criar, alterar ou excluir uma política de senha. As alterações na política de senha se aplicam aos usuários do IAM criados após essa alteração de política e aos usuários existentes do IAM ao alterarem suas senhas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Configurações da conta**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar). 

1. Escolha **Custom** (Personalizada) para usar uma política de senha personalizada.

1. Selecione as opções que você deseja aplicar à política de senha e escolha **Save changes (Salvar alterações)**. 

1. Confirme se deseja definir uma política de senha personalizada escolhendo **Set custom** (Definir personalizada).

O console exibe uma mensagem de status informando que os requisitos de senha para os usuários do IAM foram atualizados.

------

## Para alterar uma política de senha (console)
<a name="id_credentials_passwords_account-policy-section-1"></a>

Você pode usar o Console de gerenciamento da AWS para criar, alterar ou excluir uma política de senha. As alterações na política de senha se aplicam aos usuários do IAM criados após essa alteração de política e aos usuários existentes do IAM ao alterarem suas senhas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Configurações da conta**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar). 

1. Selecione as opções que você deseja aplicar à política de senha e escolha **Save changes (Salvar alterações)**. 

1. Confirme se deseja definir uma política de senha personalizada escolhendo **Set custom** (Definir personalizada).

O console exibe uma mensagem de status informando que os requisitos de senha para os usuários do IAM foram atualizados.

------

## Para excluir uma política de senhas personalizada (console)
<a name="id_credentials_passwords_account-policy-section-2"></a>

Você pode usar o Console de gerenciamento da AWS para criar, alterar ou excluir uma política de senha. As alterações na política de senha se aplicam aos usuários do IAM criados após essa alteração de política e aos usuários existentes do IAM ao alterarem suas senhas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Configurações da conta**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar). 

1. Escolha **IAM default** (Padrão do IAM) para excluir a política de senha personalizada e escolha **Save changes** (Salvar alterações).

1. Confirme se deseja definir a política de senha padrão do IAM escolhendo **Set default** (Definir padrão).

O console exibe uma mensagem de status informando que a política de senha está definida como padrão do IAM.

------

## Definir uma política de senha (AWS CLI)
<a name="PasswordPolicy_CLI"></a>

Você pode usar o AWS Command Line Interface para definir uma política de senha.

**Para gerenciar a política de senha de conta personalizada a no AWS CLI**  
Execute os seguintes comandos:
+ Para criar ou alterar a política de senha personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ Para exibir a política de senha: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html) 
+ Para excluir a política de senha personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html) 

## Definir uma política de senha (API da AWS)
<a name="PasswordPolicy_API"></a>

Você pode usar operações de AWS API para definir uma política de senha.

**Para gerenciar a política de senha de conta personalizada na AWS API**  
Chame as seguintes operações:
+ Para criar ou alterar a política de senha personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ Para exibir a política de senha: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 
+ Para excluir a política de senha personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html) 

# Gerenciar senhas para usuários do IAM
<a name="id_credentials_passwords_admin-change-user"></a>

Os usuários do IAM que usarem o Console de gerenciamento da AWS para trabalhar com recursos da AWS deverão ter uma senha para fazer login. Você pode criar, alterar ou excluir uma senha de um usuário do IAM em sua conta da AWS. 

Depois de ter atribuído uma senha a um usuário, o usuário pode fazer login no Console de gerenciamento da AWS usando o URL de login para a sua conta, que é semelhante a: 

```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```

Para obter mais informações sobre como usuários do IAM fazem login no Console de gerenciamento da AWS, consulte [Como fazer login na conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS*. 

Mesmo que os usuários tenham suas próprias senhas, eles ainda precisarão de permissões para acessar seus recursos da AWS. Por padrão, um usuário não tem nenhuma permissão. Para conceder aos seus usuários as permissões de que precisam, atribua políticas a eles ou aos grupos aos quais pertencem. Para obter informações sobre a criação de usuários e grupos, consulte [Identidades do IAM](id.md). Para obter informações sobre o uso de políticas para definir permissões, consulte [Alterar permissões de um usuário do IAM](id_users_change-permissions.md). 

É possível conceder aos usuários permissão para alterar as próprias senhas. Para obter mais informações, consulte [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md). Para obter informações sobre como os usuários acessam a página de login, consulte [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html), no *Guia do usuário do Início de Sessão da AWS*. 

**Topics**
+ [Criar, alterar ou excluir uma senha de usuário do IAM (console)](#id_credentials_passwords_admin-change-user_console)

## Criar, alterar ou excluir uma senha de usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user_console"></a>

Você pode usar o Console de gerenciamento da AWS para gerenciar senhas de seus usuários do IAM.

As necessidades de acesso dos usuários podem mudar com o tempo. Talvez seja necessário habilitar um usuário destinado ao acesso à CLI para ter acesso ao console, alterar a senha de um usuário porque ele recebeu o e-mail com suas credenciais ou excluir um usuário quando ele sair da organização ou não precisar mais de acesso à AWS. 

### Para criar uma senha de usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

Use este procedimento para conceder acesso ao console a um usuário, criando uma senha associada ao nome de usuário.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Escolha o nome do usuário cuja senha você deseja criar. 

1. Escolha a guia **Credenciais de segurança** e, em **Login no console**, escolha **Habilitar acesso ao console**.

1. Na caixa de diálogo **Habilitar acesso ao console**, selecione **Redefinir senha** e escolha se o IAM deve gerar uma senha ou criar uma senha personalizada: 
   + Para que o IAM gere uma senha, escolha a opção **Autogenerated password** (Senha gerada automaticamente).
   + Para criar uma senha personalizada, escolha **Senha personalizada** e digite a senha. 
**nota**  
A senha que você criou deve cumprir a [política de senhas](id_credentials_passwords_account-policy.md) da conta.

1. Para exigir que o usuário crie uma nova senha ao fazer login, escolha **Exigir alteração de senha no próximo login**. 

1. Para exigir que o usuário use a nova senha imediatamente, selecione **Revogar sessões ativas do console**. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

1. Escolha **Redefinir senha**

1. A caixa de diálogo **Senha do console** informa que você ativou a nova senha do usuário. Para visualizar a senha e compartilhá-la com o usuário, escolha **Mostrar** na caixa de diálogo **Senha do console**. Selecione **Baixar arquivo .csv** para baixar um arquivo com as credenciais do usuário.
**Importante**  
Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

O console exibe uma mensagem de status informando que o acesso ao console foi habilitado.

------

### Para alterar a senha para um usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

Use este procedimento para atualizar uma senha associada ao nome de usuário.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Escolha o nome do usuário cuja senha você deseja alterar. 

1. Escolha a guia **Credenciais de segurança** e, em **Login no console**, escolha **Gerenciar acesso ao console**.

1. Na caixa de diálogo **Gerenciar acesso ao console**, selecione **Redefinir senha** e, em seguida, escolha se deseja que o IAM gere uma senha ou crie uma senha personalizada: 
   + Para que o IAM gere uma senha, escolha a opção **Autogenerated password** (Senha gerada automaticamente).
   + Para criar uma senha personalizada, escolha **Senha personalizada** e digite a senha. 
**nota**  
A senha que você criou deve cumprir a [política de senhas](id_credentials_passwords_account-policy.md) da conta.

1. Para exigir que o usuário crie uma nova senha ao fazer login, escolha **Exigir alteração de senha no próximo login**. 

1. Para exigir que o usuário use a nova senha imediatamente, selecione **Revogar sessões ativas do console**. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

1. Escolha **Redefinir senha**

1. A caixa de diálogo **Senha do console** informa que você ativou a nova senha do usuário. Para visualizar a senha e compartilhá-la com o usuário, escolha **Mostrar** na caixa de diálogo **Senha do console**. Selecione **Baixar arquivo .csv** para baixar um arquivo com as credenciais do usuário.
**Importante**  
Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

O console exibe uma mensagem de status informando que o acesso ao console foi atualizado.

------

### Para excluir (desabilitar) a senha de um usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

Use este procedimento para excluir uma senha associada ao nome de usuário, removendo o acesso do usuário ao console.

**Importante**  
Você pode impedir que um usuário do IAM acesse o Console de gerenciamento da AWS removendo a senha dele. Isso impede que ele faça login no Console de gerenciamento da AWS usando suas credenciais de login. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell, da API da AWS ou do AWS Console Mobile Application.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Escolha o nome do usuário cuja senha você deseja excluir. 

1. Escolha a guia **Credenciais de segurança** e, em **Login no console**, escolha **Gerenciar acesso ao console**.

1. Para requerer que o usuário pare de usar o console imediatamente, selecione **Revogar sessões ativas do console**. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

1. Escolha **Desabilitar acesso**

O console exibe uma mensagem de status informando que o acesso ao console foi desabilitado.

------

### Criar, alterar ou excluir uma senha de usuário do IAM (AWS CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

Você pode usar a API da AWS CLI para gerenciar as senhas de seus usuários do IAM.

**Para criar uma senha (AWS CLI)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para criar uma senha, execute o seguinte comando: [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

**Para alterar a senha de um usuário (AWS CLI)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para alterar uma senha, execute o seguinte comando: [aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html)

**Para excluir (desabilitar) a senha de um usuário (AWS CLI)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: [aws iam get-login-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)

1. Para excluir uma senha, execute o seguinte comando: [aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)

**Importante**  
Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no Console de gerenciamento da AWS. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para obter mais informações, consulte [Exclusão de um usuário do IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Para revogar as sessões ativas do console de um usuário antes de um horário especificado (AWS CLI)**

1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

   Essa política em linha nega todas as permissões e inclui a chave de condição `aws:TokenIssueTime`. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento `Condition` da política em linha. Substitua o valor da chave de condição `aws:TokenIssueTime` pelos seus próprios valores.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)

### Criar, alterar ou excluir uma senha de usuário do IAM (API da AWS)
<a name="Using_ManagingPasswordsAPI"></a>

Você pode usar a API da AWS para gerenciar as senhas de seus usuários do IAM.

**Para criar uma senha (API da AWS)**

1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para criar uma senha, chame esta operação: [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

**Para alterar a senha de um usuário (API da AWS)**

1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para alterar uma senha, chame esta operação: [UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html)

**Para excluir (desabilitar) a senha de um usuário (API da AWS)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)

1. Para excluir uma senha, execute o seguinte comando: [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)

**Importante**  
Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no Console de gerenciamento da AWS. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para obter mais informações, consulte [Exclusão de um usuário do IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Para revogar as sessões ativas do console de um usuário antes de um horário especificado (API AWS)**

1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

   Essa política em linha nega todas as permissões e inclui a chave de condição `aws:TokenIssueTime`. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento `Condition` da política em linha. Substitua o valor da chave de condição `aws:TokenIssueTime` pelos seus próprios valores.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)

# Permitir que os usuários do IAM alterem as próprias senhas
<a name="id_credentials_passwords_enable-user-change"></a>

**nota**  
Usuários com identidades federadas usarão o processo definido pelo provedor de identidade para alterar as senhas. Como [prática recomendada](best-practices.md), exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias.

Você pode conceder aos usuários do IAM permissão para alterar as próprias senhas para fazer login no Console de gerenciamento da AWS. É possível fazer isso de duas formas:
+ [Permitir que todos os usuários do IAM na conta alterem as próprias senhas](#proc_letalluserschangepassword). 
+ [Permitir que apenas usuários selecionados do IAM alterem as próprias senhas](#proc_letselectuserschangepassword). Nesse cenário, você desabilita a opção para todos os usuários alterarem suas próprias senhas e usa uma política do IAM para conceder permissões a apenas alguns usuários. Essa abordagem permite que esses usuários mudem suas próprias senhas e, opcionalmente, outras credenciais, como suas próprias chaves de acesso. 

**Importante**  
Recomendamos que você [defina uma política de senha personalizada](id_credentials_passwords_account-policy.md) que exija que os usuários do IAM criem senhas fortes.

## Para permitir que todos os usuários do IAM alterem as próprias senhas
<a name="proc_letalluserschangepassword"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, clique em **Account settings (Configurações da conta)**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar).

1. Escolha **Custom** (Personalizada) para usar uma política de senha personalizada.

1. Selecione **Allow users to change their own password** (Permitir que os usuários alterem sua própria senha) e clique em **Save changes** (Salvar alterações). Isso permite que todos os usuários na conta acessem a ação `iam:ChangePassword` somente para seu usuário e para a ação `iam:GetAccountPasswordPolicy`.

1. Forneça aos usuários as seguintes instruções para alterar as senhas: [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md). 

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`

------
#### [ API ]

Para criar um alias para o URL da página de login do Console de gerenciamento da AWS, chame a seguinte operação:
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)` 

------

## Para permitir que usuários selecionados do IAM alterem as próprias senhas
<a name="proc_letselectuserschangepassword"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, clique em **Account settings (Configurações da conta)**. 

1. Na seção **Password policy (Políticas da conta)**, verifique se a opção **Allow users to change their own password (Permitir que os usuários alterem a própria senha)** não está selecionada. Se essa caixa de seleção estiver marcada, todos os usuários poderão alterar as próprias senhas. (Consulte o procedimento anterior). 

1. Crie usuários capazes de alterar as próprias senhas, se eles ainda não existirem. Para obter detalhes, consulte [Criar um usuário do IAM na Conta da AWS](id_users_create.md). 

1. (Opcional) Crie um grupo do IAM para usuários que devem ter permissão para alterar as senhas e adicione os usuários da etapa anterior ao grupo. Para obter detalhes, consulte [Grupos de usuários do IAM](id_groups.md). 

1. Atribua a política a seguir ao grupo. Para obter mais informações, consulte [Gerenciar políticas do IAM](access_policies_manage.md).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }
   ```

------

   Essa política concede acesso à ação [ChangePassword](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html), que permite aos usuários alterar somente as próprias senhas do console, da AWS CLI, do Tools for Windows PowerShell ou ou da API. Isso também concede acesso à ação [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html), que permite ao usuário ver a política de senha atual; essa permissão é necessária para que o usuário possa exibir a política de senhas da conta na página **Change Password (Alterar senha)**. O usuário deve poder ler a política de senha atual para garantir que a senha alterada esteja de acordo com os requisitos da política.

1. Forneça aos usuários as seguintes instruções para alterar as senhas: [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md). 

------

### Para obter mais informações
<a name="HowToPwdIAMUser-moreinfo"></a>

Para obter mais informações sobre o gerenciamento de credenciais, consulte os seguintes tópicos:
+ [Permitir que os usuários do IAM alterem as próprias senhas](#id_credentials_passwords_enable-user-change) 
+ [Senhas de usuários na AWS](id_credentials_passwords.md)
+ [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md)
+ [Gerenciar políticas do IAM](access_policies_manage.md)
+ [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md)

# Como um usuário do IAM altera a própria senha
<a name="id_credentials_passwords_user-change-own"></a>

Se você tiver recebido permissão para alterar a própria senha de usuário do IAM, poderá usar uma página especial no Console de gerenciamento da AWS para fazer isso. Você também pode usar a AWS CLI ou a API da AWS.

**Topics**
+ [Permissões obrigatórias](#change-own-passwords-permissions-required)
+ [Como os usuários do IAM alteram a própria senha (console)](#ManagingUserPwdSelf-Console)
+ [Como os usuários do IAM alteram suas próprias senhas (AWS CLI ou API da AWS)](#ManagingUserPwdSelf-CLIAPI)

## Permissões obrigatórias
<a name="change-own-passwords-permissions-required"></a>

Para mudar a senha do seu próprio usuário do IAM, você deve ter as permissões da seguinte política: [AWS: permite que os usuários do IAM alterem suas próprias senhas do console na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).

## Como os usuários do IAM alteram a própria senha (console)
<a name="ManagingUserPwdSelf-Console"></a>

O procedimento a seguir descreve como os usuários do IAM podem usar o Console de gerenciamento da AWS para alterar sua própria senha.

**Para alterar sua própria senha de usuário do IAM (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na guia **Credenciais do AWS IAM**, escolha **Atualizar senha**.

1. Em **Current password (Senha atual)**, insira a sua senha atual. Insira uma nova senha em **New password (Nova senha)** e **Confirm new password (Confirmar nova senha)**. Em seguida, selecione **Atualizar senha**.
**nota**  
Se a conta tiver uma política de senha, a nova senha deverá atender aos requisitos dessa política. Para obter mais informações, consulte [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md). 

## Como os usuários do IAM alteram suas próprias senhas (AWS CLI ou API da AWS)
<a name="ManagingUserPwdSelf-CLIAPI"></a>

O procedimento a seguir descreve como os usuários do IAM podem usar a AWS CLI ou a API da AWS para alterar sua própria senha.

**Para alterar sua própria senha do IAM, use o seguinte:**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API da: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)