Usar credenciais de longo prazo para autenticar SDKs e ferramentas da AWS - SDKs e ferramentas da AWS
Avisos e orientações importantes para credenciaisPré-requisitos: Crie uma conta da AWSEtapa 1: criar o usuário do IAMEtapa 2: obter as chaves de acessoEtapa 3: atualizar o arquivo credentials compartilhado

Usar credenciais de longo prazo para autenticar SDKs e ferramentas da AWS

Atenção

Para evitar riscos de segurança, não use usuários do IAM para autenticação ao desenvolver software com propósito específico ou trabalhar com dados reais. Em vez disso, use federação com um provedor de identidade, como AWS IAM Identity Center.

Se você usa um usuário do IAM para executar seu código, o SDK ou a ferramenta em seu ambiente de desenvolvimento é autenticado usando credenciais de usuário do IAM de longo prazo no arquivo credentials da AWS compartilhado. Analise o tópico Melhores práticas de segurança no IAM e faça a transição para o IAM Identity Center ou outras credenciais temporárias assim que possível.

Avisos e orientações importantes para credenciais

Avisos para credenciais

  • NÃO use as credenciais de raiz da sua conta para acessar os recursos da AWS. Estas credenciais fornecem acesso ilimitado à conta e são difíceis de revogar.

  • NÃO coloque chaves de acesso literais ou informações de credenciais nos comandos de seus aplicativos. Se colocar, criará um risco de exposição acidental das credenciais se, por exemplo, fizer upload do projeto em um repositório público.

  • NÃO inclua arquivos que contenham credenciais em sua área de projeto.

  • Esteja ciente de que qualquer credencial armazenada no arquivo credentials da AWS compartilhado, é armazenada em texto simples.

Orientação adicional para gerenciar credenciais com segurança

Para ver uma discussão geral sobre como gerenciar com segurança as credenciais da AWS, consulte Práticas recomendadas para gerenciar as chaves de acesso da AWS na Referência geral da AWS. Além dessa discussão, considere o seguinte:

Pré-requisitos: Crie uma conta da AWS

Para usar o usuário do IAM para acessar os serviços da AWS, você precisa de uma conta da AWS e de credenciais da AWS.

  1. Crie uma conta.

    Para criar uma conta da AWS, consulte Conceitos básicos: você é um usuário iniciante da AWS? no Guia de referência AWS Account Management.

  2. Crie um usuário administrativo.

    Evite usar a conta de usuário raiz (a conta inicial criada) para acessar serviços e o console de gerenciamento. Em vez disso, crie uma conta de usuário administrativo, conforme explicado em Criar um usuário administrativo no Guia do usuário do IAM.

    Depois de criar a conta de usuário administrativo e registrar os detalhes de login, saia da conta de usuário raiz e faça login novamente usando a conta administrativa.

Nenhuma dessas contas é apropriada para desenvolvimento na AWS ou para executar aplicativos na AWS. Como prática recomendada, você precisa criar usuários, conjuntos de permissões ou perfis de serviço que sejam apropriados para essas tarefas. Para obter mais informações, consulte Aplicar permissões de privilégio mínimo, no Guia do usuário do IAM.

Etapa 1: criar o usuário do IAM

  • Crie o usuário do IAM seguindo o procedimento de Criação de usuários do IAM (console) no Guia do usuário do IAM. Ao criar o usuário do IAM:

    • Recomendamos que você selecione Fornecer acesso de usuário ao Console de gerenciamento da AWS. Isso permite que você visualize os Serviços da AWS relacionados ao código que você está executando em um ambiente visual, como verificação de logs de diagnóstico do AWS CloudTrail ou upload de arquivos para o Amazon Simple Storage Service, que é útil ao depurar código.

    • Em Definir permissões: Opções de permissão, selecione Anexar políticas diretamente para definir como você deseja atribuir permissões a esse usuário.

      • A maioria dos tutoriais de “Conceitos básicos” do SDK usa o serviço Amazon S3 como exemplo. Para fornecer à aplicação acesso total ao Amazon S3, selecione a política AmazonS3FullAccess para anexar a esse usuário.

    • Você pode ignorar as etapas opcionais deste procedimento em relação à definição de limites de permissão ou tags.

Etapa 2: obter as chaves de acesso

  1. No painel de navegação do console do IAM, selecione Usuários e depois selecione o User name do usuário que você criou anteriormente.

  2. Na página do usuário, selecione a página Credenciais de segurança. Depois, em Chaves de acesso, selecione Criar chave de acesso.

  3. Para Criar chave de acesso: etapa 1, escolha interface de linha de comandos (CLI) ou Código local. Ambas as opções geram o mesmo tipo de chave para usar com a AWS CLI e os SDKs.

  4. Em Criar chave de acesso: etapa 2, insira uma tag opcional e selecione Próximo.

  5. Em Criar chave de acesso: etapa 3, selecione Baixar arquivo .csv para salvar um arquivo .csv com a chave de acesso e a chave de acesso secreta do usuário do IAM. Você precisará dessas informações posteriormente.

    Atenção

    Use medidas de segurança apropriadas para manter essas credenciais seguras.

  6. Selecione Concluído.

Etapa 3: atualizar o arquivo credentials compartilhado

  1. Crie ou abra o arquivo credentials da AWS compartilhado. Esse arquivo é ~/.aws/credentials em sistemas Linux e macOS e %USERPROFILE%\.aws\credentials no Windows. Para obter mais informações, consulte Arquivos de credenciais de local.

  2. Adicione o texto a seguir ao arquivo credentials compartilhado. Substitua o valor de ID de exemplo e o valor de chave de exemplo pelos valores no arquivo .csv que você baixou anteriormente. 

    [default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  3. Salve o arquivo.

O arquivo credentials compartilhado é a forma mais comum de armazenar credenciais. Eles também podem ser definidos como variáveis de ambiente, consulte Chaves de acesso AWS para ver os nomes das variáveis de ambiente. Essa é uma forma de começar, mas recomendamos que você faça a transição para o IAM Identity Center ou outras credenciais temporárias o mais rápido possível. Depois de deixar de usar credenciais de longo prazo, lembre-se de excluir essas credenciais do arquivo credentials compartilhado.