AWS Identity and Access Management and AWS Organizations - AWS Organizations
Habilitar acesso confiávelDesabilitar acesso confiávelComo habilitar uma conta de administrador delegado para o IAMDesabilitar um administrador delegado para o IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Identity and Access Management and AWS Organizations

AWS Identity and Access Management é um serviço da web para controlar com segurança o acesso aos AWS serviços.

Você pode usar os dados de serviços acessados mais recentemente no IAM para ajudá-lo a entender melhor a atividade da AWS em sua organização. Você pode usar esses dados para criar e atualizar políticas de controle de serviço (SCPs) que restringem o acesso somente aos AWS serviços que as contas da sua organização usam.

Para obter um exemplo, consulte Uso de dados para refinar permissões para uma unidade organizacional no Guia do usuário do IAM.

O IAM permite gerenciar centralmente as credenciais do usuário-raiz e executar tarefas privilegiadas em contas de membros. Depois de ativar o gerenciamento de acesso raiz, que permite acesso confiável para o IAM in AWS Organizations, você pode proteger centralmente as credenciais do usuário raiz das contas dos membros. As contas dos membros não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz. A conta gerencial ou uma conta de administrador delegado do IAM também pode executar algumas tarefas privilegiadas em contas de membro usando acesso raiz de curto prazo. Sessões privilegiadas de curto prazo fornecem credenciais temporárias que podem ser usadas para realizar ações privilegiadas em uma conta-membro em sua organização.

Consulte mais informações em Gerencie centralmente o acesso raiz para contas-membro no Guia do Usuário do IAM.

Use as informações a seguir para ajudá-lo a se integrar AWS Identity and Access Management com AWS Organizations.

Habilitar o acesso confiável com o IAM

Ao habilitar o gerenciamento de acesso raiz, o acesso confiável é habilitado para o IAM no AWS Organizations.

Desabilitar o acesso confiável com o IAM

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Somente um administrador na conta AWS Organizations de gerenciamento pode desativar o acesso confiável com AWS Identity and Access Management.

Você só pode desabilitar o acesso confiável usando as ferramentas do Organizations.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

Console de gerenciamento da AWS
Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha AWS Identity and Access Management na lista de serviços.

  4. Escolha Desabilitar acesso confiável.

  5. Na caixa de diálogo Desabilitar o acesso confiável para o AWS Identity and Access Management, digite desabilitar para confirmar e, em seguida, escolha Desabilitar o acesso confiável.

  6. Se você for administrador de somente AWS Organizations, informe ao administrador AWS Identity and Access Management que agora ele pode impedir que esse serviço funcione AWS Organizations usando o console de serviço ou as ferramentas.

AWS CLI, AWS API
Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável a serviços:

  • AWS CLI: disable-aws-service-access

    Execute o comando a seguir para desabilitar AWS Identity and Access Management como um serviço confiável com Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal iam.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: Desativar AWSService acesso

Como habilitar uma conta de administrador delegado para o IAM

Ao designar uma conta de membro como administrador delegado da organização, os usuários e funções dessa conta podem executar tarefas privilegiadas em contas de membro que, de outra forma, só podem ser executadas por usuários ou funções na conta gerencial da organização. Para obter mais informações, consulte Execução de uma tarefa privilegiada em uma conta de membro do Organizations no Guia do Usuário do IAM.

Somente um administrador na conta gerencial da organização pode configurar um administrador delegado do IAM.

É possível especificar uma conta de administrador delegado via console ou API do IAM ou usando a operação da CLI ou do SDK do Organizations.

Desabilitar um administrador delegado para o IAM

Somente um administrador na conta gerencial do Organizations ou a conta de administrador delegado do IAM podem remover uma conta de administrador delegado da organização. Você pode desativar a administração delegada usando a operação DeregisterDelegatedAdministrator da CLI ou do SDK do Organizations.