Identity and Access Management para AWS cobrança - AWS Faturamento
Tipos de usuário e permissões de faturamentoPúblicoAutenticação com identidadesGerenciar o acesso usando políticas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identity and Access Management para AWS cobrança

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (ter permissões) a usar os recursos do Faturamento. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

Para iniciar a ativação do acesso ao console de Faturamento, consulte o Tutorial do IAM: conceder acesso ao console de Faturamento no Manual do usuário do IAM.

Tipos de usuário e permissões de faturamento

Esta tabela resume as ações padrão permitidas no Faturamento da para cada tipo de usuário de faturamento.

Tipos de usuário e permissões de faturamento
Tipo de usuário Description Permissões de faturamento
Proprietário da conta

A pessoa ou entidade em cujo nome a conta está configurada.

  • Tem controle total sobre todos os recursos do Gerenciamento de Faturamento e Custos.

  • Recebe uma fatura mensal de AWS cobranças.

Usuário

Uma pessoa ou uma aplicação definida como um usuário em uma conta por um proprietário da conta ou usuário administrativo. As contas podem conter vários usuários.

  • Tem permissões explicitamente concedidas para o usuário ou um grupo que inclua o usuário.

  • Pode receber permissão para visualizar as páginas do console do Gerenciamento de Faturamento e Custos. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso.

  • Não pode encerrar contas.
Proprietário da conta de gerenciamento da organização

A pessoa ou entidade associada a uma conta AWS Organizations de gerenciamento. A conta de gerenciamento paga pelo AWS uso incorrido por uma conta de membro em uma organização.

  • Tem controle total sobre todos os recursos do Gerenciamento de Faturamento e Custos somente para a conta de gerenciamento.

  • Recebe uma fatura mensal de AWS cobranças da conta de gerenciamento e das contas dos membros.

  • Visualiza a atividade das contas de membros nos relatórios de faturamento da conta de gerenciamento.
Proprietário da conta de membro da organização

A pessoa ou entidade associada a uma conta de AWS Organizations membro. A conta de gerenciamento paga pelo AWS uso incorrido por uma conta de membro em uma organização.

  • Não tem permissão para analisar todos os relatórios de uso ou atividade da conta, exceto seus próprios. Não tem acesso a relatórios de uso ou a atividades de outras contas de membros na organização ou da conta de gerenciamento.

  • Não tem permissão para visualizar os relatórios de faturamento.

  • Tem permissão para atualizar as informações da conta somente de sua própria conta. Não pode acessar outras contas-membro ou a conta de gerenciamento.

Público

A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:

Autenticação com identidades

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como AWS IAM Identity Center (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte How to sign in to your Conta da AWS no Guia do usuário do Início de Sessão da AWS .

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte AWS AWS Signature Version 4 para solicitações de API no Guia do usuário do IAM.

Conta da AWS usuário root

Ao criar um Conta da AWS, você começa com uma identidade de login chamada usuário Conta da AWS raiz que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz para tarefas diárias. Para ver as tarefas que exigem credenciais de usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz no Guia do usuário do IAM.

Identidade federada

Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.

Uma identidade federada é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem perfis que oferecem credenciais temporárias.

Para o gerenciamento de acesso centralizado, é recomendável usar o AWS IAM Identity Center. Para obter mais informações, consulte O que é o IAM Identity Center? no Guia do usuário do AWS IAM Identity Center .

Usuários e grupos do IAM

Usuário do IAM é uma identidade com permissões específicas a uma única pessoa ou aplicação. Recomendamos usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias no Guia do usuário do IAM.

Um grupo do IAM especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte Casos de uso de usuários do IAM no Guia do usuário do IAM.

Perfis do IAM

Perfil do IAM é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função mudando de um usuário para uma função do IAM (console) ou chamando uma operação de AWS API AWS CLI ou. Para obter mais informações, consulte Métodos para assumir um perfil no Manual do usuário do IAM.

As funções do IAM são úteis para acesso de usuários federados, permissões temporárias de usuários do IAM, acesso entre contas, acesso entre serviços e aplicativos executados na Amazon. EC2 Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.

Gerenciar o acesso usando políticas

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte Visão geral das políticas de JSON no Guia do usuário do IAM.

Por meio de políticas, os administradores especificam quem tem acesso ao quê, definindo qual entidade principal pode realizar ações em quais recursos e sob quais condições.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões independentemente do método usado para executar a operação.

Políticas baseadas em identidade

Políticas baseadas em identidade são documentos de política de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.

As políticas baseadas em identidade podem ser políticas em linha (incorporadas diretamente em uma única identidade) ou políticas gerenciadas (políticas independentes anexadas a várias identidades). Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário do IAM.

Políticas baseadas em recursos

Políticas baseadas em atributos são documentos de políticas JSON que você anexa a um atributo. Os exemplos incluem políticas de confiança de perfil do IAM e políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Você deve especificar uma entidade principal em uma política baseada em recursos.

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.

Outros tipos de política

AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:

  • Limites de permissões: definem o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para obter mais informações, consulte Limites de permissões para entidades do IAM no Guia do usuário do IAM.

  • Políticas de controle de serviço (SCPs) — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para obter mais informações, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations .

  • Políticas de controle de recursos (RCPs) — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte Políticas de controle de recursos (RCPs) no Guia AWS Organizations do usuário.

  • Políticas de sessão: políticas avançadas transmitidas como um parâmetro ao criar uma sessão temporária para um perfil ou usuário federado. Para obter mais informações, consulte Políticas de sessão no Guia do usuário do IAM.

Vários tipos de política

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte Lógica de avaliação de políticas no Guia do usuário do IAM.