Quando posso usar o IAM? - AWS Identity and Access Management
Quando você executa diferentes funções de trabalhoQuando você tem autorização para acessar recursos da AWSQuando você fizer login como usuário do IAM Quando você assume um perfil do IAMQuando você cria políticas e permissões

Quando posso usar o IAM?

O AWS Identity and Access Management é um serviço de infraestrutura central que fornece a base para o controle de acesso com base nas identidades da AWS. Você usa o IAM toda vez que acessa sua conta da AWS. A forma como você usa o IAM dependerá das responsabilidades específicas e das funções de trabalho em sua organização. Os usuários do serviço AWS usam o IAM para acessar os recursos da AWS necessários para seu trabalho diário, com os administradores concedendo as permissões apropriadas. Os administradores do IAM, por outro lado, são responsáveis por gerenciar as identidades do IAM e criar políticas para controlar o acesso aos recursos. Qualquer que seja seu perfil, você interage com o IAM sempre que autentica e autoriza o acesso aos recursos da AWS. Isso pode envolver fazer login como usuário do IAM, assumir um perfil do IAM ou aproveitar a federação de identidades para um acesso contínuo. Compreender os vários recursos e casos de uso do IAM é crucial para gerenciar com eficácia o acesso seguro ao seu ambiente da AWS. Quando se trata de criar políticas e permissões, o IAM fornece uma abordagem flexível e granular. É possível definir políticas de confiança para controlar quais entidades principais podem assumir um perfil, além das políticas baseadas em identidade que especificam as ações e os recursos que um usuário ou perfil podem acessar. Configurando essas políticas do IAM, você pode garantir que os usuários e as aplicações tenham o nível adequado de permissões para realizar as tarefas necessárias.

Quando você executa diferentes funções de trabalho

O AWS Identity and Access Management é um serviço de infraestrutura central que fornece a base para o controle de acesso com base nas identidades da AWS. Você usa o IAM toda vez que acessa sua conta da AWS.

O uso do IAM varia dependendo do trabalho que for realizado na AWS.

  • Usuário do serviço: se você usar o serviço da AWS para fazer o trabalho, o administrador fornecerá as credenciais e as permissões necessárias. À medida que usar recursos mais avançados para fazer seu trabalho, você poderá precisar de permissões adicionais. Entender como o acesso é gerenciado pode ajudar a solicitar as permissões corretas ao administrador.

  • Administrador do serviço: se você for o responsável por um recurso da AWS em sua empresa, provavelmente terá acesso total ao IAM. Cabe a você determinar quais funcionalidades e recursos do IAM os usuários do serviço devem acessar. Envie as solicitações ao administrador do IAM para alterar as permissões dos usuários de serviço. Revise as informações nesta página para compreender os conceitos básicos do IAM.

  • Administrador do IAM: se for um administrador do IAM, você gerenciará identidades do IAM e escreverá políticas para gerenciar o acesso ao IAM.

Quando você tem autorização para acessar recursos da AWS

A autenticação é a forma como fazer login na AWS usando suas credenciais de identidade. Você precisa se autenticar como o Usuário raiz da conta da AWS, como um usuário do IAM ou assumindo um perfil do IAM.

É possível fazer login como uma identidade federada usando credenciais de uma fonte de identidade, como o AWS IAM Identity Center (Centro de Identidade do IAM), autenticação única ou credenciais do Google/Facebook. Para ter mais informações sobre como fazer login, consulte How to sign in to your Conta da AWS no Guia do usuário do Início de Sessão da AWS.

Para acesso programático, a AWS oferece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte AWS AWS Signature Version 4 para solicitações de API no Guia do usuário do IAM.

Quando você fizer login como usuário do IAM

Usuário do IAM é uma identidade com permissões específicas a uma única pessoa ou aplicação. Recomendamos usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte Exigir que os usuários humanos usem a federação com um provedor de identidade para acessar a AWS usando credenciais temporárias no Guia do usuário do IAM.

Um grupo do IAM especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte Casos de uso de usuários do IAM no Guia do usuário do IAM.

Quando você assume um perfil do IAM

Perfil do IAM é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir um perfil alternando de um usuário para um perfil do IAM (console) ou chamando uma operação de API AWS CLI ou AWS. Para obter mais informações, consulte Métodos para assumir um perfil no Manual do usuário do IAM.

Os perfis do IAM são úteis para acesso de usuários federados, permissões temporárias de usuários do IAM, acesso entre contas, acesso entre serviços e aplicações executadas no Amazon EC2. Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.

Quando você cria políticas e permissões

Conceda permissões para um usuário ao criar uma política, que é um documento que lista as ações que um usuário pode executar e os recursos afetados por estas ações. Todas as ações ou recursos que não são explicitamente permitidos são negados por padrão. As políticas podem ser criadas e anexadas às entidades principais (usuários, grupos de usuários, perfis assumidos por usuários e recursos).

É possível usar essas políticas com um perfil do IAM:

  • Política de confiança: define qual entidade principal pode assumir o perfil e em que condições. A política de confiança é um tipo específico de política baseada em recursos para perfis do IAM. O perfil pode ter apenas um conjunto de políticas de confiança.

  • Políticas baseadas em identidade (em linha e gerenciadas): essas políticas definem as permissões que o usuário do perfil pode executar (ou não tem permissão para executar) e em quais recursos.

Use Exemplos de políticas baseadas em identidade do IAM para ajudar a definir permissões para suas identidades do IAM. Depois de encontrar a política necessária, escolha visualizar a política para visualizar o JSON da política. É possível usar o documento de política JSON como um modelo para suas próprias políticas.

nota

Se você estiver usando o Centro de Identidade do IAM para gerenciar seus usuários, atribua conjuntos de permissões no Centro de Identidade do IAM em vez de anexar uma política de permissões a uma entidade principal. Quando você atribui um conjunto de permissões a um grupo ou usuário no Centro de Identidade do AWS IAM, o Centro de Identidade do IAM cria perfis do IAM correspondentes em cada conta e anexa as políticas especificadas no conjunto de permissões a esses perfis. O Centro de Identidade do IAM gerencia o perfil e permite que os usuários autorizados que você definiu assumam o perfil. Se você modificar o conjunto de permissões, o Centro de Identidade do IAM garantirá que as políticas e perfis correspondentes do IAM sejam devidamente atualizados.

Para obter mais informações sobre o IAM Identity Center, consulte What is IAM Identity Center? (O que é o IAM Identity Center?) no Guia do usuário do AWS IAM Identity Center.