View a markdown version of this page

Decisões sobre o IAM para o Amazon Connect - Decisões do Amazon Connect
Autenticação com identidadesGerenciar o acesso usando políticas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Decisões sobre o IAM para o Amazon Connect

O AWS Identity and Access Management (IAM) é um produto da AWS que ajuda um administrador a controlar de forma segura o acesso aos recursos da AWS. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) para usar os recursos do Amazon Connect Decisions. O IAM é um serviço da AWS que pode ser usado sem custo adicional.

Autenticação com identidades

A autenticação é a forma como você faz login na AWS usando suas credenciais de identidade. Você deve ser autenticado como usuário raiz da conta da AWS, usuário do IAM ou assumindo uma função do IAM.

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade, como o AWS IAM Identity Center (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para obter mais informações sobre o login, consulte Como fazer login na sua conta da AWS no Guia do Sign-In usuário da AWS.

Para acesso programático, a AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para obter mais informações, consulte AWS Signature versão 4 para solicitações de API no Guia do usuário do IAM.

Usuário raiz da conta da AWS

Ao criar uma conta da AWS, você começa com uma identidade de login chamada usuário raiz da conta da AWS, que tem acesso completo a todos os serviços e recursos da AWS. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em Tarefas que exigem credenciais de usuário-raiz no Guia do usuário do IAM.

Identidade federada

Como melhor prática, exija que usuários humanos usem a federação com um provedor de identidade para acessar os serviços da AWS usando credenciais temporárias.

Uma identidade federada é um usuário do seu diretório corporativo, provedor de identidade web ou Directory Service que acessa os serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.

Para o gerenciamento centralizado do acesso, recomendamos o AWS IAM Identity Center. Para obter mais informações, consulte O que é o IAM Identity Center? no Guia do usuário do AWS IAM Identity Center.

Usuários e grupos do IAM

Um usuário do IAM é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte Exigir que usuários humanos usem a federação com um provedor de identidade para acessar a AWS usando credenciais temporárias no Guia do usuário do IAM.

Um grupo do IAM especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte Casos de uso de usuários do IAM no Guia do usuário do IAM.

Perfis do IAM

Uma perfil do IAM é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função mudando de um usuário para uma função do IAM (console) ou chamando uma operação da AWS CLI ou da API da AWS. Para saber mais, consulte Métodos para assumir um perfil no Manual do usuário do IAM.

Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.

Gerenciar o acesso usando políticas

Você controla o acesso na AWS criando políticas e anexando-as às identidades ou recursos da AWS. Uma política define permissões quando associada a uma identidade ou recurso. A AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas são armazenadas na AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte Visão geral das políticas JSON no Guia do usuário do IAM.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual entidade principal pode realizar ações em quais recursos e sob quais condições.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

Identity-based políticas

Identity-based políticas são documentos de políticas de permissões JSON que você anexa a uma identidade (usuário, grupo ou função). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.

Identity-based as políticas podem ser políticas em linha (incorporadas diretamente em uma única identidade) ou políticas gerenciadas (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário do IAM.

Resource-based políticas

Resource-based políticas são documentos de política JSON que você anexa a um recurso. Entre os exemplos estão políticas de confiança de perfil do IAM e políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário especificar uma entidade principal em uma política baseada em recursos.

Resource-based políticas são políticas em linha localizadas nesse serviço. Você não pode usar as políticas gerenciadas da AWS do IAM em uma política baseada em recursos.

Outros tipos de política

A AWS oferece suporte a tipos de políticas adicionais que podem definir as permissões máximas concedidas por tipos de políticas mais comuns:

  • Limites de permissões — defina o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

  • Políticas de controle de serviços (SCPs) — especifique as permissões máximas para uma organização ou unidade organizacional no AWS Organizations. Para obter mais informações, consulte Políticas de controle de serviços no Guia do usuário do AWS Organizations.

  • Políticas de controle de recursos (RCPs) - defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte Políticas de controle de recursos (RCPs) no Guia do usuário do AWS Organizations.

  • Políticas de sessão - Políticas avançadas passadas como parâmetro ao criar uma sessão temporária para uma função ou usuário federado. Para saber mais, consulte Políticas de sessão no Guia do usuário do IAM.

Vários tipos de política

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como a AWS determina se deve permitir uma solicitação quando vários tipos de política estão envolvidos, consulte Lógica de avaliação de políticas no Guia do usuário do IAM.