As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerencie Contas da AWS com conjuntos de permissões
Um conjunto de permissões é um modelo que você cria e mantém que define uma coleção de uma ou mais políticas do IAM. Os conjuntos de permissões simplificam a atribuição de Conta da AWS acesso para usuários e grupos em sua organização. Por exemplo, você pode criar um conjunto de permissões de administrador de banco de dados que inclui políticas para administrar os serviços do AWS RDS, DynamoDB e Aurora e usar esse único conjunto de permissões para conceder acesso a uma lista de Contas da AWS destinos em sua organização para seus administradores de banco de dados.AWS
O IAM Identity Center atribui acesso a um usuário ou grupo em um ou mais Contas da AWS com conjuntos de permissões. Quando você atribui um conjunto de permissões, o IAM Identity Center cria perfis do IAM correspondentes controlados pelo IAM Identity Center em cada conta e anexa as políticas especificadas no conjunto de permissões para esses perfis. O IAM Identity Center gerencia a função e permite que os usuários autorizados que você definiu assumam a função usando o portal do usuário ou a AWS CLI do IAM Identity Center. Conforme você modificar o conjunto de permissões, o IAM Identity Center garantirá que as políticas e perfis do IAM correspondentes sejam devidamente atualizados.
Você pode adicionar políticas gerenciadas pela AWS, políticas gerenciadas pelo cliente, políticas em linha e políticas gerenciadas pela AWS para funções de trabalho aos seus conjuntos de permissões. Você também pode atribuir uma política gerenciada da AWS da ou uma política gerenciada pelo cliente como limite de permissões.
Para criar um conjunto de permissões, consulte Criar, gerenciar e excluir conjuntos de permissões.
Criar um conjunto de permissões que aplica permissões de privilégio mínimo
Para seguir as práticas recomendadas para aplicar permissões de privilégio mínimo, depois de criar um conjunto de permissões administrativas, crie um conjunto de permissões mais restritivo e o atribua a um ou mais usuários. Os conjuntos de permissões criados no procedimento anterior fornecem um ponto de partida para você avaliar de quanto acesso aos recursos os usuários precisam. Para mudar para permissões de privilégio mínimo, você pode executar o IAM Access Analyzer para monitorar os principais com AWS políticas gerenciadas. Depois de descobrir quais permissões elas estão usando, você pode escrever uma política personalizada ou gerar uma política apenas com as permissões necessárias para sua equipe.
Com o IAM Identity Center, você pode atribuir vários conjuntos de permissões para o mesmo usuário. Ao usuário administrativo também devem ser atribuídos conjuntos de permissões adicionais, mais restritivos. Dessa forma, eles podem acessar você apenas Conta da AWS com as permissões necessárias, em vez de sempre usar suas permissões administrativas.
Por exemplo, se você for um desenvolvedor, após criar seu usuário administrativo no IAM Identity Center, poderá criar um novo conjunto de permissões que conceda permissões de PowerUserAccess e atribuir esse conjunto de permissões a si mesmo. Diferentemente do conjunto de permissões administrativas, que usa as permissões de AdministratorAccess, o conjunto de permissões de PowerUserAccess não permite o gerenciamento de usuários e grupos do IAM. Ao entrar no portal de AWS acesso para acessar sua AWS conta, você pode escolher, PowerUserAccess em vez de AdministratorAccess realizar tarefas de desenvolvimento na conta.
Lembre-se das seguintes considerações:
-
Para começar rapidamente a criar um conjunto de permissões mais restritivo, use um conjunto de permissões predefinido em vez de um conjunto de permissões personalizado.
Com um conjunto de permissões predefinido, que usa permissões predefinidas, você escolhe uma única política AWS gerenciada em uma lista de políticas disponíveis. Cada política concede um nível específico de acesso a AWS serviços e recursos ou permissões para uma função de trabalho comum. Para obter informações sobre cada uma dessas políticas, consulte políticas gerenciadas pela AWS para funções de trabalho.
-
Você pode configurar a duração da sessão de um conjunto de permissões para controlar o período de tempo que um usuário fica conectado a uma. Conta da AWS.
Quando os usuários se federam Conta da AWS e usam o AWS Management Console ou a Interface de Linha de AWS Comando (AWS CLI), o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Por padrão, o valor da duração da sessão, que determina o período de tempo em que um usuário pode se Conta da AWS conectar AWS e antes de sair da sessão, é definido como uma hora. Você pode especificar um valor máximo de 12 horas. Para obter mais informações, consulte Definir a duração da sessão para as Contas da AWS.
-
Você também pode configurar a duração da sessão do portal de AWS acesso para controlar o período em que um usuário da força de trabalho está conectado ao portal.
Por padrão, o valor da duração máxima da sessão, que determina o período em que um usuário da força de trabalho pode entrar no portal de AWS acesso antes de precisar se autenticar novamente, é de oito horas. Você pode especificar um valor máximo de 90 dias. Para obter mais informações, consulte Configure a duração da sessão do portal acesso AWS e das aplicações integradas do IAM Identity Center.
-
Ao entrar no portal de AWS acesso, escolha a função que fornece permissões de privilégio mínimo.
Cada conjunto de permissões que você cria e atribui ao seu usuário aparece como uma função disponível no portal de AWS acesso. Ao entrar no portal como esse usuário, escolha a função que corresponde ao conjunto de permissões mais restritivo que você pode utilizar para realizar tarefas na conta, em vez
AdministratorAccessde. -
Você pode adicionar outros usuários ao IAM Identity Center e atribuir conjuntos de permissões novos ou existentes a esses usuários.
Para obter mais informações, consulte Atribuir acesso de usuário ou grupo a Contas da AWS.
Tópicos
