Políticas baseadas em identidade Políticas baseadas em recursos Ações de políticas Recursos de políticas Chaves de condição de políticas ACLs ABAC Credenciais temporárias Permissões de entidade principal Perfis de serviço Perfis vinculados a serviço

Como o gerenciamento de AWS contas funciona com o IAM

Antes de usar o IAM para gerenciar o acesso ao Gerenciamento de Contas, saiba quais recursos do IAM estão disponíveis para uso com o Gerenciamento de Contas.

Recursos do IAM que você pode usar com o gerenciamento de AWS contas
Recurso do IAM	Suporte ao Gerenciamento de Contas
Políticas baseadas em identidade	Sim
Políticas baseadas em recurso	Não
Ações de políticas	Sim
Recursos de políticas	Sim
Chaves de condição de políticas	Sim
ACLs	Não
ABAC (tags em políticas)	Não
Credenciais temporárias	Sim
Permissões de entidade principal	Sim
Perfis de serviço	Não
Funções vinculadas ao serviço	Não

Para ter uma visão de alto nível de como o gerenciamento de contas e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte AWS os serviços que funcionam com o IAM no Guia do usuário do IAM.

Políticas baseadas em identidade para Gerenciamento de Contas

Compatível com políticas baseadas em identidade: sim

As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.

Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte Referência de elemento de política JSON do IAM no Guia do usuário do IAM.

Exemplos de políticas baseadas em identidade para o Gerenciamento de Contas

Para visualizar exemplos de políticas baseadas em identidade de Gerenciamento de Contas, consulte Exemplos de políticas baseadas em identidade para gerenciamento de contas AWS.

Políticas baseadas em recursos no Gerenciamento de Contas

Compatibilidade com políticas baseadas em recursos: não

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as políticas de confiança de perfil do IAM e as políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário especificar uma entidade principal em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.

Ações de política para Gerenciamento de Contas

Compatível com ações de políticas: sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

O elemento Action de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.

Para ver uma lista de ações de gerenciamento de contas, consulte Ações definidas pelo gerenciamento de AWS contas na Referência de autorização de serviço.

As ações de política no Gerenciamento de Contas usam o prefixo a seguir antes da ação.


account

Para especificar várias ações em uma única instrução, separe-as com vírgulas.


"Action": [
      "account:action1",
      "account:action2"
         ]

Você também pode especificar várias ações usando caracteres-curinga (*). Por exemplo, para especificar todas as ações que funcionam com os contatos alternativos Conta da AWS de um, inclua a ação a seguir.


"Action": "account:*AlternateContact"

Para visualizar exemplos de políticas baseadas em identidade de Gerenciamento de Contas, consulte Exemplos de políticas baseadas em identidade para gerenciamento de contas AWS.

Recursos de políticas para Gerenciamento de Contas

Compatível com recursos de políticas: sim

O elemento de política JSON Resource especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu nome do recurso da Amazon (ARN). Para ações que não deem suporte a permissões no nível do recurso, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.


"Resource": "*"

O serviço de gerenciamento de contas oferece suporte aos seguintes tipos de recursos específicos em um Resources elemento de política do IAM para ajudar você a filtrar a política e distinguir entre esses tipos de Contas da AWS:

conta

Esse tipo de resource corresponde apenas a Contas da AWS autônomas que não são contas-membro em uma organização gerenciada pelo serviço do AWS Organizations .
accountInOrganization

Esse resource tipo corresponde apenas Contas da AWS às contas de membros em uma organização gerenciada pelo AWS Organizations serviço.

Para ver uma lista dos tipos de recursos de gerenciamento de contas e seus ARNs, consulte Recursos definidos pelo gerenciamento de AWS contas na Referência de autorização de serviço. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte Ações definidas pelo gerenciamento de AWS contas.

Para visualizar exemplos de políticas baseadas em identidade de Gerenciamento de Contas, consulte Exemplos de políticas baseadas em identidade para gerenciamento de contas AWS.

Chaves de condição de política Gerenciamento de Contas

Compatível com chaves de condição de política específicas de serviço: sim

O elemento Condition especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as chaves de contexto de condição AWS global no Guia do usuário do IAM.

O serviço de Gerenciamento de Contas oferece suporte às seguintes chaves de condição que você pode usar para fornecer filtragem refinada para as políticas do IAM:

conta: TargetRegion

Essa chave de condição usa um argumento que consiste em uma lista de códigos de região da AWS. Ela permite filtrar a política para afetar somente as ações que se aplicam às regiões especificadas.
conta: AlternateContactTypes

Essa chave de condição usa uma lista de tipos de contato alternativos:
- BILLING
- OPERATIONS
- SECURITY
O uso dessa chave permite filtrar a solicitação somente para as ações direcionadas aos tipos de contato alternativos especificados.
conta: AccountResourceOrgPaths

Essa chave de condição usa um argumento que consiste em uma lista de caminhos na hierarquia de sua organização para unidades organizacionais (UO) específicas. Ela permite que você filtre a política para afetar somente contas de destino em uma UO correspondente.
```
o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/*
```
conta: AccountResourceOrgTags

Essa chave de condição usa um argumento que consiste em uma lista de chaves e valores de tag. Ela permite que você filtre a política para afetar somente as contas que são membros de uma organização e que estão marcadas com as chaves e valores de tag especificados.
conta: EmailTargetDomain

Essa chave de condição usa um argumento que consiste em uma lista de domínios de e-mail. Ela permite filtrar a política para afetar somente as ações que correspondem aos domínios de e-mail especificados. Essa chave de condição não diferencia maiúsculas de minúsculas. Você deve usar StringEqualsIgnoreCase em vez de StringEquals no bloco de condição da política para controlar a ação com base no domínio do endereço de e-mail de destino. Aqui está um exemplo de política que permite que a ação account:StartPrimaryEmailUpdate seja concluída quando o domínio de e-mail contém example.com, company.org ou qualquer combinação de maiúsculas e minúsculas, como EXAMPLE.COM.
```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowConditionKey",
            "Effect": "Allow",
            "Action": [
                "account:StartPrimaryEmailUpdate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "account:EmailTargetDomain": [
                        "example.com",
                        "company.org"
                    ]
                }
            }
        }
    ]
}
```

Para ver uma lista das chaves de condição de gerenciamento de contas, consulte Chaves de condição para gerenciamento de AWS contas na Referência de autorização de serviço. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte Ações definidas pelo gerenciamento de AWS contas.

Para visualizar exemplos de políticas baseadas em identidade de Gerenciamento de Contas, consulte Exemplos de políticas baseadas em identidade para gerenciamento de contas AWS.

Listas de controle de acesso em Gerenciamento de Contas

Suportes ACLs: Não

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.

Controle de acesso por atributo com o Gerenciamento de Contas

Oferece compatibilidade com ABAC (tags em políticas): não

O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos. Em AWS, esses atributos são chamados de tags. Você pode anexar tags a entidades do IAM (usuários ou funções) e a vários AWS recursos. Marcar de entidades e atributos é a primeira etapa do ABAC. Em seguida, você cria políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso que ela estiver tentando acessar.

O ABAC é útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna um problema.

Para o gerenciamento de AWS contas, o controle de acesso baseado em tags é suportado somente por meio da chave de account:AccountResourceOrgTags/key-name condição. A chave de aws:ResourceTag/key-name condição padrão não é suportada APIs no namespace da conta.

Exemplo de política JSON usando a chave de condição compatível

O exemplo de política a seguir permite acessar as informações de contato de contas marcadas com a chave "CostCenter" e o valor “12345" ou “67890" em sua organização.

Para obter mais informações sobre o ABAC, consulte Definir permissões com base em atributos com autorização ABAC e o tutorial do IAM: Definir permissões para acessar AWS recursos com base em tags no Guia do usuário do IAM.

Usar credenciais temporárias com o Gerenciamento de Contas

Compatível com credenciais temporárias: sim

As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para obter mais informações, consulte Credenciais de segurança temporárias no IAM e Serviços da Serviços da AWS que funcionam com o IAM no Guia do usuário do IAM.

Permissões de entidade principal entre serviços para o Gerenciamento de Contas

Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS): sim

As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte Sessões de acesso direto.

Perfis de serviço para o Gerenciamento de Contas

Compatível com perfis de serviço: não

O perfil de serviço é um perfil do IAM que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte Criar um perfil para delegar permissões a um AWS service (Serviço da AWS) no Guia do Usuário do IAM.

Perfis vinculados a serviços para o Gerenciamento de Contas

Compatível com perfis vinculados ao serviço: Não

Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode presumir o perfil para executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.

Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte Serviços da AWS que funcionam com o IAM. Encontre um serviço na tabela que inclua um Yes na coluna Perfil vinculado ao serviço. Escolha o link Sim para visualizar a documentação do perfil vinculado a serviço desse serviço.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de Identidade e Acesso

Exemplos de políticas baseadas em identidade