Comece a usar a AWS gratuitamente

Crie uma conta gratuita
Ou faça login no console

Receba doze meses de acesso ao nível de uso gratuito da AWS e aproveite os recursos do AWS Basic Support incluindo atendimento ao cliente 24 horas por dia, todos os dias do ano, e fóruns de suporte, entre outros recursos.



P: O que é o AWS Identity and Access Management (IAM)?
Você pode usar o AWS IAM para controlar de modo seguro o acesso individual e de grupo aos seus recursos da AWS. É possível criar e gerenciar identidades de usuário ("usuários do IAM") e conceder permissões para esses usuários do IAM acessarem seus recursos. Você também pode conceder permissões para usuários fora da AWS (usuários federados).

P: Como faço para começar a usar o IAM?
Depois que você tiver se cadastrado na AWS, poderá criar usuários e grupos e lhes atribuir permissões de acesso a seus recursos da AWS. Você pode usar o console do IAM (para acesso baseado na web), a interface da linha de comando da AWS (para acesso pela linha de comando, CLI), ou a API ou os SDKs (para acesso programático). Para conceder permissões, você pode criar documentos de política que são anexados a usuários, grupos ou outras entidades. Assista ao vídeo Getting Started with AWS IAM.

P: Qual o problema solucionado pelo IAM?
O IAM facilita o fornecimento a vários usuários de acesso seguro aos recursos da AWS. O IAM permite que você:

  • Gerencie os usuários do IAM e seus acessos: você pode criar usuários no sistema de gerenciamento de identidades da AWS, atribuir a eles credenciais de segurança individuais (ou seja, chaves de acesso, senhas e dispositivos de autenticação multifator) ou solicitar credenciais de segurança temporárias para fornecer aos usuários acesso a serviços e recursos da AWS. É possível especificar as permissões para controlar quais operações um usuário pode realizar.
  • Gerencie o acesso de usuários federados: você pode solicitar credenciais de segurança com expirações configuráveis para usuários gerenciados no diretório corporativo, fornecendo aos funcionários e aplicativos acesso seguro aos recursos na conta da AWS, sem criar uma conta de usuário do IAM para eles. Você especifica as permissões dessas credenciais de segurança para controlar quais operações um usuário pode realizar.

P: Quem pode usar o IAM?
Qualquer cliente da AWS pode usar o IAM. O serviço é oferecido gratuitamente. Você será cobrado somente pelo uso de outros serviços da AWS utilizados pelos usuários.

P: O que é um usuário?
Um usuário é uma identidade exclusiva reconhecida pelos serviços e aplicativos da AWS. Semelhante a um usuário de login em um sistema operacional como Windows ou UNIX, um usuário tem um nome exclusivo e pode se identificar usando credenciais de segurança familiares, como uma senha ou chave de acesso. O usuário pode ser um indivíduo, sistema ou aplicativo que precise de acesso aos serviços da AWS. O IAM oferece suporte para usuários gerenciados no sistema de gerenciamento de identidades da AWS (chamados de "usuários do IAM") e também permite que você conceda acesso a recursos da AWS para usuários gerenciados fora da AWS em seu diretório corporativo (chamados de "usuários federados").

P: O que um usuário pode fazer?
O usuário consegue fazer solicitações para serviços da web, como Amazon S3 e Amazon EC2. A capacidade do usuário de acessar APIs de serviços da web está sob o controle e a responsabilidade da conta da AWS sob a qual ela está definida. Você pode dar permissão a um usuário para acessar qualquer um dos serviços da AWS (ou todos) que foram integrados ao IAM e nos quais a conta da AWS foi inscrita. Se a permissão for concedida, o usuário terá acesso a todos os recursos sob a conta da AWS. Além disso, se a conta da AWS tiver acesso a recursos de outra conta da AWS, seus usuários poderão acessar dados nessas contas. Quaisquer recursos da AWS criados por um usuário estão sob controle de sua conta da AWS e são pagos por ela. O usuário não pode se inscrever nos serviços da AWS ou controlar recursos de forma independente.

P: Como os usuários podem chamar os serviços da AWS?
Os usuários podem fazer solicitações de serviços da AWS usando credenciais de segurança. Permissões explícitas controla a habilidade de um usuário chamar os serviços da AWS. Por padrão, os usuários não têm a capacidade de chamar APIs de serviço em nome da conta.

P: Como faço para começar a usar o IAM?
Para começar a usar o IAM, você deve se inscrever em pelo menos um dos serviços da AWS que foi integrado ao IAM. Depois, é possível criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, da CLI da AWS ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar. Também é possível usar o AWS Policy Generator para criar políticas.


P: Como os usuários do IAM são gerenciados?
O IAM é compatível com vários métodos para:

  • Criar, excluir e listar usuários do IAM.
  • Gerenciar associações a grupo.
  • Gerenciar credenciais de segurança dos usuários.
  • Atribuir permissões.

Depois, é possível criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, da interface de linha de comando da AWS ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar. Você também pode usar o AWS Policy Generator e AWS Policy Simulator para criar e testar políticas.

P: O que é um grupo?
Um grupo é um conjunto de usuários do IAM. Gerencie a associação do grupo como uma lista simples:

  • Adicione usuários a ou remova-os de um grupo.
  • Um usuário pode pertencer a vários grupos.
  • Os grupos não podem pertencer a outros grupos.
  • Os grupos podem obter permissões usando políticas de controle de acesso. Isso facilita o gerenciamento de permissões para um conjunto de usuários, em vez de ter de gerenciar permissões para cada usuário individual.
  • Os grupos não têm credenciais de segurança e não podem acessar serviços da web diretamente; eles existem somente para facilitar o gerenciamento das permissões de usuários. Para ver mais detalhes, consulte Como trabalhar com grupos e usuários.

P: Quais tipos de credenciais de segurança os usuários do IAM podem ter?
Os usuários do IAM podem ter qualquer combinação de credenciais compatíveis com a AWS, como uma chave de acesso da AWS, certificado X.509, chave SSH, senha para login em aplicativos da web ou um dispositivo de MFA. Isso permite que os usuários interajam com a AWS da maneira que for mais conveniente para eles. Um funcionário pode ter uma chave de acesso da AWS e uma senha; um sistema de software pode ter somente uma chave de acesso da AWS para fazer chamadas programáticas; usuários do IAM podem ter uma chave privada SSH para acessar repositórios do AWS CodeCommit; e um prestador de serviços externo pode ter somente um certificado X.509 para usar a interface de linha de comando do EC2. Para ver detalhes, consulte Credenciais de segurança temporárias na documentação do IAM.

P: Quais serviços da AWS oferecem suporte aos usuários do IAM?
Você pode encontrar a lista completa de serviços da AWS que suportam os usuários do IAM na seção Serviços da AWS que funcionam com o IAM da documentação do IAM. A AWS planeja adicionar suporte para outros serviços ao longo do tempo.

P: Posso ativar e desativar o acesso de um usuário?
Sim. Você pode ativar e desativar a chaves de acesso de um usuário do IAM através de APIs do IAM, ILC da AWS ou console do IAM. Se você desativar as chaves de acesso, o usuário não poderá acessar programaticamente os serviços da AWS.

P: Quem pode gerenciar os usuários de uma conta da AWS?
O detentor da conta da AWS pode gerenciar usuários, grupos, credenciais de segurança e permissões. Além disso, você pode conceder permissões para usuários individuais fazerem chamadas para APIs do IAM, a fim de gerenciar outros usuários. Por exemplo, um usuário administrador poderá ser criado para gerenciar os usuários de uma corporação, o que constitui uma prática recomendada. Quando você concede uma permissão para um usuário gerenciar outros usuários, ele poderá fazê-lo por meio das APIs do IAM, da interface de linha de comando da AWS ou do console do IAM.

P: Posso estruturar um grupo de usuários de modo hierárquico, assim como no LDAP?
Sim. Você pode organizar usuários e grupos em caminhos, semelhantes a caminhos de objetos no Amazon S3 – por exemplo, mycompany/division/project/joe.

P: Posso definir usuários regionalmente?
Não inicialmente. Os usuários são entidades globais, como uma conta da AWS é hoje. Nenhuma região precisa ser especificada quando você define permissões do usuário. Os usuários podem usar serviços da AWS em qualquer região geográfica.

P: Como os dispositivos de MFA são configurados para usuários do IAM?
Você (o detentor da conta da AWS) pode encomendar vários dispositivos de MFA. Você pode então atribuir esses dispositivos a usuários do IAM individuais por meio de APIs do IAM, da interface de linha de comando da AWS ou do console do IAM.

P: Qual tipo de rodízio de chave é compatível com os usuários do IAM?
É possível fazer o rodízio das chaves de acesso e dos certificados X.509 do usuário, da mesma forma que ocorre com os identificadores de acesso-raiz de uma conta da AWS. Você pode gerenciar e rotacionar programaticamente as chaves de acesso de um usuário e os certificados X.509 através de APIs do IAM, ILC da AWS ou console do IAM.

P: Os usuários do IAM podem ter chaves SSH do EC2 individuais?
Não no release inicial. O IAM não afeta chaves SSH do EC2 ou certificados RDP do Windows. Isso significa que, embora cada usuário tenha credenciais separadas para acessar APIs de serviços da web, ele deverá compartilhar chaves SSH comuns na conta da AWS sob a qual ele foi definido.

P: Onde posso usar minhas chaves SSH?

No momento, usuários do IAM podem utilizar chaves SSH para acessar seus repositórios usando o AWS CodeCommit.

P: Os nomes de usuários do IAM têm de ser endereços de e-mail?
Não, mas podem ser. Os nomes de usuário são apenas strings ASCII que são exclusivas dentro de uma determinada conta da AWS. Você pode atribuir nomes usando qualquer convenção de nomes que escolher, incluindo endereços de e-mail.

P: Quais conjuntos de caracteres posso usar para nomes de usuário do IAM?
Você pode usar apenas caracteres ASCII para entidades do IAM.

P: Há outros atributos de usuários além do nome do usuário compatível?
Não neste momento.

P: Como as senhas de usuários são definidas?
Você pode configurar uma senha inicial para um usuário do IAM através do console do IAM, ILC da AWS ou APIs do IAM. As senhas do usuário nunca aparecem em texto nítido após o provisionamento inicial e nunca são exibidas ou retornadas por meio de uma chamada de API. Os usuários do IAM podem gerenciar suas senhas por meio da página My Password no console do IAM. Os usuários acessam esta página selecionando a opção Credenciais de segurança na lista suspensa no canto superior direitos do Console de Gerenciamento da AWS.

P: Posso definir uma política para as senhas dos meus usuários?
Sim, você pode aplicar senhas fortes, como senhas com comprimento mínimo ou com pelo menos um número. Você também pode aplicar expiração automática de senhas, impedir a reutilização de senhas antigas e exigir a redefinição da senha no próximo login na AWS. Para ver detalhes, consulte Como definir uma senha com a política de conta para usuários do IAM.

P: Posso definir cotas de uso quanto aos usuários do IAM?
Não. Todos os limites são para a conta da AWS como um todo. Por exemplo, se a sua conta da AWS tem um limite de 20 instâncias do Amazon EC2, os usuários do IAM com permissões do EC2 podem iniciar instâncias até esse limite. Não é possível limitar o que cada usuário pode fazer.


P: O que é uma função do IAM?
Uma função é uma entidade do IAM que define um conjunto de permissões para efetuar solicitações de serviços da AWS. As funções do IAM não são associadas a um usuário ou grupo específico. Em vez disso, entidades de confiança assumemfunções, como usuários do IAM, aplicativos ou serviços da AWS, como o EC2.

P: Quais problemas são solucionados pelas funções do IAM?
As funções do IAM permitem que você delegue o acesso com permissões definidas a entidades confiáveis, sem precisar compartilhar chaves de acesso de longo prazo. Você pode usar as funções do IAM para delegar acesso a usuários do IAM gerenciados em sua conta, a usuários do IAM em outra conta da AWS ou a um serviço da AWS, como o EC2.

P: Como faço para começar a usar as funções do IAM?
Você cria uma função de maneira semelhante à criação de um usuário – nomeie a função e anexe uma política a ela. Para ver detalhes, consulte Como criar funções do IAM.

P: Como faço para assumir uma função do IAM?
Você assume uma função do IAM chamando as APIs AssumeRole do AWS Security Token Service (STS) (ou seja, AssumeRole, AssumeRoleWithWebIdentity e AssumeRoleWithSAML). Essas APIs retornam um conjunto de credenciais de segurança temporárias que os aplicativos podem usar para assinar solicitações às APIs de serviço da AWS.

P: Quantas funções do IAM posso assumir?
Não há limite para o número de funções do IAM que você pode assumir, mas você pode atuar somente como uma função do IAM ao fazer suas solicitações para serviços da AWS.

P: Quem pode usar as funções do IAM?
Qualquer cliente da AWS pode usar funções do IAM.

P: Quanto custam as funções do IAM?
As funções do IAM são gratuitas. Você continuará a pagar por qualquer recurso consumido por uma função na sua conta da AWS.

P: Como os usuários das funções do IAM são gerenciados?
Você pode criar e gerenciar funções do IAM por meio das APIs do IAM, do AWS CLI ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar.

P: Qual a diferença entre uma função do IAM e um usuário do IAM?
Um usuário do IAM tem credenciais de longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Uma função do IAM não tem quaisquer credenciais e não pode fazer solicitações diretas para serviços da AWS. As funções do IAM são destinadas a ser presumidas por entidades autorizadas, como usuários do IAM, aplicativos ou um serviço da AWS, como o EC2.

P: Quando devo usar um usuário do IAM, um grupo do IAM ou uma função do IAM?

Um usuário do IAM tem credenciais em longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Um grupo do IAM é principalmente uma conveniência de gerenciamento para gerenciar o mesmo conjunto de permissões para um conjunto de usuários do IAM. Uma função do IAM é uma entidade do AWS Identity and Access Management (IAM) com permissões para fazer solicitações de serviço da AWS. As funções do IAM não podem fazer solicitações diretas para serviços da AWS; elas se destinam a ser presumidas por entidades autorizadas, como usuários do IAM, aplicativos ou serviços da AWS como o EC2. As funções do IAM são usadas para delegar acesso em ou entre contas da AWS.

P: Posso adicionar uma função do IAM a um grupo do IAM?
Não neste momento.

P: Quantas políticas posso anexar a uma função do IAM?

Para políticas em linha: você pode adicionar quantas políticas em linha desejar para um usuário, uma função ou um grupo, mas o tamanho total agregado da política (o tamanho da soma de todas as políticas em linha) por entidade não pode exceder os seguintes limites:

  • O tamanho da política de usuário não pode exceder 2.048 caracteres.
  • O tamanho da política de função não pode exceder 10.240 caracteres.
  • O tamanho da política de grupo não pode exceder 5.120 caracteres.

Para políticas gerenciadas: você pode adicionar até 10 políticas gerenciadas para um usuário, uma função ou um grupo. O tamanho de cada política gerenciada não pode exceder 5.120 caracteres.

P: Quantas funções do IAM posso criar?
Você está limitado a 250 funções do IAM em sua conta da AWS. Se você precisa de mais funções, envie o formulário de solicitação de aumento do IAM com seu caso de usuário e consideraremos sua solicitação.

P: A quais serviços posso anexar uma função do IAM para fazer chamadas de serviço?
Seu aplicativo pode fazer solicitações para todos os serviços da AWS compatíveis com sessões de função.

P: O que são funções do IAM para instâncias do EC2?
As funções do IAM para instâncias do EC2 permitem que seus aplicativos em execução no EC2 façam solicitações a serviços da AWS como Amazon S3, Amazon SQS e Amazon SNS, sem precisar copiar chaves de acesso da AWS para cada instância. Para obter detalhes, consulte Funções do IAM para o Amazon EC2.

P: Quais são os recursos das funções do IAM para instâncias do EC2?

As funções do IAM para instâncias do EC2 fornecem os seguintes recursos:

  • Credenciais de segurança temporárias para serem usadas ao fazer solicitações de instâncias de EC2 em execução aos serviços da AWS.
  • Rodízio automático das credenciais de segurança temporárias.
  • Permissões de serviço granular da AWS para aplicativos sendo executados em instâncias do EC2.

P: Qual problema as funções do IAM para instâncias do EC2 resolvem?
As funções do IAM para instâncias do EC2 simplificam o gerenciamento e a implantação de chaves de acesso da AWS em instâncias do EC2. Usando esse recurso, você associa uma função do IAM a uma instância. Depois, sua instância EC2 fornece credenciais de segurança temporárias para aplicativos sendo executados na instância, e os aplicativos podem usar essas credenciais para fazer solicitações de forma segura aos recursos de serviços da AWS definidos na função.

P: Como faço para começar a usar as funções do IAM para instâncias do EC2?
Para entender como as funções operam com instâncias do EC2, é necessário usar o console do IAM para criar uma função, executar uma instância do EC2 que use esta função e, em seguida, examinar a instância em execução. É possível examinar os metadados da instância para ver como as credenciais da função são disponibilizadas para uma instância. Também é possível saber como uma aplicação executada em uma instância pode usar a função. Para obter mais detalhes, consulte Como posso começar?

P: Posso usar a mesma função do IAM em várias instâncias do EC2?
Sim.

P: Posso alterar a função do IAM em uma instância do EC2 em execução?
Não. No momento, não é possível alterar a função do IAM em uma instância do EC2 em execução. Você pode alterar as permissões na função do IAM associadas a uma instância em execução, e as permissões atualizadas passam a vigorar imediatamente.

P: Posso associar uma função do IAM a uma instância do EC2 já em execução?
Não. Você só pode associar uma função do IAM ao executar uma instância do EC2.

P: Posso associar uma função do IAM a um grupo Auto Scaling?

Sim. Você pode adicionar uma função do IAM como um parâmetro adicional em uma configuração de execução do Auto Scaling, bem como criar um grupo Auto Scaling com essa configuração de execução. Todas as instâncias do EC2 executadas em um grupo de Auto Scaling, associado a uma função do IAM, serão executadas com a função como um parâmetro de entrada. Para ver mais detalhes, consulte What Is Auto Scaling? no Auto Scaling Developer Guide.

P: Posso associar mais de uma função do IAM a uma instância do EC2?
Não. No momento, você pode associar somente uma função do IAM a uma instância do EC2.

P: O que acontece se eu excluir uma função do IAM que está associada a uma instância do EC2 em execução?
Será negado o acesso imediatamente a qualquer aplicativo em execução naquela instância que esteja usando a função.

P: Posso controlar quais funções do IAM um usuário do IAM pode associar a uma instância do EC2?
Sim. Para obter detalhes, consulte Permissões exigidas para o uso de funções com o Amazon EC2.

P: Quais permissões são necessárias para executar instâncias do EC2 com uma função do IAM?
Você deve conceder a um usuário do IAM duas permissões distintas para iniciar com sucesso as instâncias do EC2 com funções:

  • Permissão para executar instâncias do EC2.
  • Permissão para associar uma função do IAM a instâncias do EC2.

Para obter detalhes, consulte Permissões exigidas para o uso de funções com o Amazon EC2.

P: Quem pode acessar as chaves de acesso em uma instância do EC2?
Qualquer usuário local na instância pode acessar as chaves de acesso associadas à função do IAM.

P: Como eu uso a função do IAM com meu aplicativo na instância do EC2?
Se você desenvolver seu aplicativo com o SDK da AWS, ele usará automaticamente as chaves de acesso da AWS que foram disponibilizadas na instância do EC2. Se você não estiver usando o SDK da AWS, poderá recuperar as chaves de acesso do Serviço de metadados da instância do EC2. Para obter detalhes, consulte Uso de uma função do IAM para conceder permissões aos aplicativos executando em instâncias do Amazon EC2.

P: Como faço para alternar as credenciais de segurança temporárias na instância do EC2?
As credenciais de segurança temporárias da AWS associadas a uma função do IAM são automaticamente alternadas várias vezes por dia. Novas credenciais de segurança temporárias são disponibilizadas em até cinco minutos antes de as credenciais de segurança temporárias existentes expirarem.

P: Posso usar as funções do IAM para instâncias do EC2 com qualquer tipo de instância ou Amazon Machine Image?
Sim. As funções do IAM para instâncias do EC2 também funcionam no Amazon Virtual Private Cloud (VPC), com instâncias reservadas e spot.


P: Como funcionam as permissões?

As políticas de controle de acesso são anexadas a usuários, grupos e funções para atribuir permissões a recursos da AWS. Por padrão, os usuários, grupos e funções do IAM não têm permissões. Usuários com permissões suficientes devem usar uma política para conceder as permissões desejadas.

P: Como atribuir permissões usando uma política?

Para definir permissões, você pode criar e anexar políticas usando o Console de Gerenciamento da AWS, a API do IAM ou a Interface de Linha de Comando (ILC) da AWS. Usuários que receberam as permissões necessárias podem criar políticas e atribuí-las a usuários, grupos e funções do IAM.

P: O que são políticas gerenciadas?

As políticas gerenciadas são recursos do IAM que exprimem permissões usando a linguagem de políticas do IAM. Você pode criar, editar e gerenciar as políticas separadamente dos usuários, grupos e funções do IAM aos quais estão anexadas. Após anexar uma política gerenciada a vários usuários, grupos ou funções do IAM, você pode atualizar essa política em um único lugar e as permissões serão automaticamente aplicadas a todas as entidades anexadas. As políticas gerenciadas são gerenciadas por você (são denominadas políticas gerenciadas pelo cliente) ou pela AWS (´são denominadas políticas gerenciadas pela AWS). Para obter mais informações sobre políticas gerenciadas, consulte Managed Policies and Inline Policies.

P: Como atribuir as permissões mais usadas?

A AWS oferece um conjunto de permissões mais usadas que podem ser anexadas a usuários, grupos e funções do IAM na sua conta. Essas políticas são denominadas políticas gerenciadas pela AWS. Um exemplo, é acesso somente leitura ao Amazon S3. Quando a AWS atualiza essas políticas, as permissões são automaticamente aplicadas aos usuários, grupos e funções aos quais a política está anexada. As políticas gerenciadas pela AWS aparecem automaticamente na seção Policies do console do IAM. Quando você atribui permissões, pode usar uma política gerenciada da AWS ou criar sua própria política gerenciada de cliente. Crie uma nova política com base em uma política gerenciada da AWS ou defina a sua própria política.

P: Como funcionam as permissões baseadas em grupo?

Use grupos do IAM para atribuir o mesmo conjunto de permissões a vários usuários do IAM. Além disso, é possível atribuir permissões individuais a um usuário. As duas formas de anexar permissões a usuários funcionam em conjunto para definir permissões gerais.

P: Qual é a diferença entre a atribuição de permissões usando grupos do IAM e a atribuição de permissões usando políticas gerenciadas?

Use grupos do IAM para agrupar usuários do IAM e definir permissões comuns para esses usuários. Use políticas gerenciadas para compartilhar permissões entre usuários, grupos e funções do IAM. Por exemplo, se você quer que um grupo de usuários seja capaz de executar uma instância do Amazon EC2 e que a função dessa instância tenha as mesmas permissões dos usuários no grupo, você pode criar uma política gerenciada e atribuí-la ao grupo de usuários e à função dessa instância do Amazon EC2.

P: Como as políticas do IAM são avaliadas juntamente com as políticas baseadas em recursos dos serviços Amazon S3, Amazon SQS, Amazon SNS e AWS KMS?

As políticas do IAM são avaliadas juntamente com as políticas baseadas em recursos dos serviços. Se uma política de qualquer tipo concede acesso (sem negá-lo explicitamente), a ação é permitida. Para obter mais informações sobre a lógica de avaliação de políticas, consulte IAM Policy Evaluation Logic

P: Posso usar uma política gerenciada como uma política baseada em recursos?

As políticas gerenciadas podem ser anexadas apenas a usuários, grupos ou funções do IAM. Não é possível usá-las como políticas baseadas em recursos.

P: Como definir permissões granulares usando políticas?

O uso de políticas permite especificar diversas camadas de granularidade de permissões. Primeiro, você pode definir ações específicas de serviços da AWS às quais você deseja conceder ou negar acesso de forma explícita. Segundo, dependendo da ação, você pode definir recursos específicos da AWS nos quais as ações podem ser executadas. Terceiro, você pode definir condições para especificar quando a política vigorará (por exemplo, se a autenticação multifator (MFA) está ativada ou não).

P: Como remover facilmente permissões desnecessárias?

Para ajudar a determinar quais permissões são necessárias, o console do IAM agora exibe dados sobre o último acesso ao serviço, que mostram a hora em que uma entidade do IAM (usuário, grupo ou função) acessou pela última vez um serviço da AWS. Saber se e quando uma entidade do IAM utilizou uma permissão pela última vez pode ajudar a remover permissões desnecessárias e a fortalecer as políticas do IAM com maior facilidade.

P: Posso conceder permissões para acessar ou alterar informações de contas (por exemplo, modo de pagamento, endereço de e-mail de contato e histórico de faturamento)?

Sim, a capacidade de visualizar dados de faturamento da AWS e modificar informações da conta da AWS pode ser delegada a um usuário ou usuário federado do IAM. Para obter mais informações sobre como controlar o acesso às informações de faturamento, consulte Controle de acesso.

P: Quem pode criar e gerenciar chaves de acesso em uma conta da AWS?

Somente o proprietário da conta da AWS pode gerenciar as chaves de acesso para a conta raiz. O proprietário da conta e os usuários ou funções do IAM que receberam as permissões necessárias podem gerenciar as chaves de acesso para os usuários do IAM.

P: Posso conceder permissões de acesso a recursos da AWS de propriedade de outra conta da AWS?
Sim. Usando funções do IAM, usuários e usuários federados do IAM podem acessar recursos em outra conta da AWS por meio do Console de Gerenciamento da AWS, da ILC da AWS ou das APIs. Consulte Gerenciar funções do IAM para obter mais informações.

P: Qual a aparência de uma política?

A política a seguir concede acesso para adicionar, atualizar e excluir objetos de uma pasta específica, example_folder, em um bucket específico, example_bucket.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}


P: O que é o simulador de políticas do IAM?
O simulador de políticas do IAM é uma ferramenta para ajudar a entender, testar e validar os efeitos das políticas de controle de acesso.

P: Como o simulador de políticas pode ser usado?  
Você pode usar o simulador de políticas de diversas maneiras. É possível testar alterações de políticas para garantir que tenham o efeito esperado antes de implantá-las em produção. Você pode validar políticas existentes anexadas a usuários, grupos e funções para verificar e resolver problemas de permissões. Além disso, é possível usar o simulador de políticas para entender como as políticas do IAM e as políticas baseadas em recursos funcionam em conjunto para conceder ou negar acesso a recursos da AWS.

P: Quem pode usar o simulador de políticas?
O simulador de políticas está disponível para todos os clientes da AWS.

P: Qual é o custo do simulador de políticas?
O simulador de políticas está disponível sem custo extra.

P: Como faço para começar?
Acesse https://policysim.aws.amazon.com ou clique no link do console do IAM, abaixo de "Additional Information". Especifique uma nova política ou escolha um conjunto de políticas existente de um usuário, grupo ou função que você gostaria de avaliar. Selecione um conjunto de ações na lista de serviços da AWS, forneça as informações necessárias para simular a solicitação de acesso e execute a simulação para determinar se a política permite ou nega permissão às ações e recursos selecionados. Para saber mais sobre o simulador de políticas do IAM, assista ao vídeo sobre conceitos básicos ou consulte a documentação.

P: Com que tipos de políticas o IAM Policy Simulator é compatível?
O Policy Simulator é compatível com o teste de políticas recém-inseridas e políticas atuais, relacionadas a usuários, grupos ou funções. Além disso, você pode simular se as políticas no nível do recurso concedem acesso a um recurso particular dos buckets do Amazon S3, cofres do Amazon Glacier, tópicos do Amazon SNS e das filas do Amazon SQS. Eles são incluídos na simulação quando um Amazon Resource Name (ARN) é especificado no campo Recurso nas definições da simulação de um serviço compatível com as políticas do recurso.

P: Se eu alterar uma política no simulador de políticas, essas alterações persistem na produção?
Não. Para aplicar alterações à produção, copie a política que você modificou no simulador de políticas e conecte-a ao usuário, grupo ou função do IAM desejada.

P: Posso usar o simulador de políticas programaticamente?
Sim. Você pode usar o simulador de políticas por meio dos AWS SDKs ou da Interface de Linha de Comando (ILC) da AWS, além do console do simulador de políticas. Use a API iam:SimulatePrincipalPolicy para testar programaticamente as políticas do IAM existentes. Para testar os efeitos de políticas novas ou atualizadas que ainda não foram anexadas a um usuário, grupo ou função, chame a API iam:SimulateCustomPolicy.  


P: Como um usuário do IAM pode fazer login?
O usuário do IAM faz o login usando o URL de login da conta, que o direcionará a uma página em que informará seu nome de usuário e senha do IAM. Este URL de login está localizado no painel do console do IAM. O administrador do sistema de contas da AWS deve informar o URL de login ao usuário do IAM.

P: O que é um apelido da conta da AWS?
O apelido da conta é um nome definido para torná-lo mais conveniente para identificar a conta. Você pode criar um apelido usando APIs do IAM, Ferramentas de linha de comando da AWS ou por meio do console do IAM. É possível ter um apelido por conta da AWS.

P: Os usuários do IAM sempre devem usar o link direto?
Os usuários do IAM devem usar o URL específico da conta no primeiro login. Depois disso, o URL específico da conta é armazenado como um cookie no navegador do usuário. Isso permite ao usuário retornar a http://aws.amazon.com e clicar em Login no console. Se o usuário apagar os cookies do navegador ou usar um navegador diferente, deverá usar o URL específico da conta mais uma vez.

P: Os usuários do IAM podem acessar quais sites da AWS?
Os usuários do IAM podem fazer login nos seguintes sites da AWS:

P: Os usuários do IAM podem fazer login em outras propriedades da Amazon.com usando suas credenciais?
Não. Os usuários criados com o IAM são reconhecidos somente pelos serviços e aplicativos da AWS.

P: Há uma API de autenticação para verificar os logins dos usuários do IAM?
Não. Não há uma forma programática para verificar logins de usuário.

P: Os usuários podem atribuir SSH a instâncias do EC2 usando seu nome de usuário e senha da AWS?
Não. As credenciais de segurança criadas com o IAM não são compatíveis com a autenticação direta para instâncias do EC2 do cliente. O gerenciamento de credenciais SHH do EC2 é de responsabilidade do cliente no console do EC2.


P: O que são credenciais de segurança temporárias?
As credenciais de segurança temporárias são compostas pelo ID da chave de acesso da AWS, por uma chave de acesso secreta e um token de segurança. Elas são válidas por um período específico e para um conjunto específico de permissões. Às vezes, as credenciais de segurança temporárias são chamadas simplesmente de tokens. Os tokens podem ser solicitados para usuários do IAM ou para usuários federados que você gerencia no seu próprio diretório corporativo. Para obter mais informações, consulte Cenários comuns para credenciais temporárias.

P: Quais são os benefícios das credenciais de segurança temporárias?
As credenciais de segurança temporárias permitem:

  • Estender seus diretórios de usuário internos para permitir a federação para a AWS, possibilitando que seus funcionários e aplicativos acessem com segurança as APIs de serviço da AWS, sem precisar criar uma identidade da AWS para eles.
  • Solicitar credenciais de segurança temporárias para um número ilimitado de usuários federados.
  • Configure o período depois do qual as credenciais de segurança temporárias expiram, oferecendo segurança aprimorada ao acessar APIs de serviço da AWS por meio de dispositivos móveis onde há risco de perda do dispositivo.

P: Como posso solicitar credenciais de segurança temporárias para usuários federados?
Você pode chamar as APIs do STS GetFederationToken, AssumeRole, AssumeRoleWithSAML ou AssumeRoleWithWebIdentity.

P: Como os usuários do IAM podem solicitar credenciais de segurança temporárias para uso próprio?
Os usuários do IAM podem solicitar credenciais de segurança temporárias para seu próprio uso chamando a API GetSessionToken do AWS STS. A expiração padrão dessas credenciais temporárias é de 12 horas; a mínima é de 15 minutos e a máxima é de 36 horas.

Você também pode usar credenciais temporárias com Acesso a API protegida por MFA (Multi-Factor Authentication).

P: Como faço para usar credenciais de segurança temporárias para chamar APIs de serviço da AWS?
Se você estiver fazendo solicitações diretas de API de HTTPS para a AWS, é possível assinar essas solicitações com as credenciais temporárias de segurança que você obtém do AWS Security Token Service (AWS STS). Para isso, faça o seguinte:

  • Use o access key ID e a chave de acesso secreta, que são disponibilizadas com as credenciais temporárias de segurança, do mesmo modo que você usaria credenciais de longa duração para assinar uma solicitação. Para obter mais informações sobre a assinatura de solicitações de API de HTTPS, consulte Como assinar solicitações de API da AWS na referência geral da AWS.
  • Use o token da sessão disponibilizado com as credenciais temporárias de segurança. Inclua o token da sessão no cabeçalho "x-amz-security-token". Veja o seguinte exemplo de solicitação.
    • Para o Amazon S3, por meio do cabeçalho HTTP "x-amz- security-token". 
    • Para outros serviços da AWS, por meio do parâmetro SecurityToken.

P: Quais serviços da AWS aceitam credenciais de segurança temporárias?
Para obter uma lista dos serviços suportados, consulte Serviços da AWS que trabalham com o IAM.

P: Qual é o tamanho máximo da política de acesso que pode ser especificada ao solicitar credenciais de segurança temporárias (GetFederationToken ou AssumeRole)?
A política plaintext deve ter no máximo 2.048 bytes. No entanto, uma conversão interna faz a sua compactação em um formato binário empacotado com um limite separado.

P: Uma credencial de segurança temporária pode ser revogada antes que expire?
Não. Ao solicitar credenciais temporárias, recomendamos o seguinte:

  • Quando criar credenciais de segurança temporárias, defina a expiração para um valor que seja apropriado para seu aplicativo.
  • Como as permissões de conta root não podem ser restritas, utilize um usuário do IAM e não a conta root para criar credenciais de segurança temporárias. Você pode revogar permissões de um usuário do IAM que emitiu a chamada original para solicitá-la. Essa ação revoga quase que imediatamente os privilégios de todas as credenciais de segurança temporárias emitidas por aquele usuário do IAM

P: Posso reativar ou estender a validade das credenciais de segurança temporárias?
Não. Recomenda-se verificar sempre a expiração e solicitar uma nova credencial de segurança temporária antes que a antiga expire. Este processo de rodízio é gerenciado automaticamente para você quando as credenciais de segurança temporárias são usadas para funções de instâncias do EC2.

P: As credenciais de segurança temporárias têm suporte em todas as regiões?
Os clientes podem solicitar tokens de endpoints do AWS STS em todas as regiões, incluindo AWS GovCloud (EUA) e China (Pequim). As credenciais temporárias das regiões AWS GovCloud (EUA) e China (Pequim) podem ser usadas apenas na sua região de origem. Credenciais temporárias solicitadas em qualquer outra região, como Leste dos EUA (Norte da Virgínia) ou UE (Irlanda), podem ser usadas em todas as regiões, exceto AWS GovCloud (EUA) e China (Pequim).

P: Posso restringir o uso de credenciais de segurança temporárias a uma região ou subconjunto de regiões?

Não. Não é possível restringir as credenciais de segurança temporárias a uma determinada região ou subconjunto de regiões, exceto as credenciais de segurança temporária das regiões AWS GovCloud (EUA) e China (Pequim), que podem ser usadas apenas nas regiões onde foram originadas.

P: O que preciso fazer antes de começar a usar um endpoint do AWS STS?

Como padrão, os endpoints do AWS STS ficam ativos em todas as regiões, e você pode começar a usá-los sem ter de realizar nenhuma ação adicional.

P: O que acontece se eu tentar usar um endpoint regional do AWS STS que tenha sido desativado para a minha conta da AWS?

Se você tentar usar um endpoint regional do AWS STS que tenha sido desativado para a sua conta da AWS, obterá a exceção AccessDenied do AWS STS com a seguinte mensagem: "O AWS STS não foi ativado nesta região para a conta: AccountID. O seu administrador de contas pode ativar o AWS STS nesta região usando o console do IAM."

P: Quais permissões são necessárias para ativar ou desativar regiões do AWS STS na página Account Settings?

Somente usuários com permissão mínima de iam:* podem ativar ou desativar regiões do AWS STS na página Account Settings do console do IAM. Observe que os endpoints do AWS STS nas regiões Leste dos EUA (Norte da Virgínia), AWS GovCloud (EUA) e China (Pequim) estão sempre ativos e não é possível desativá-los.

P: Posso usar a API ou a ILC para ativar ou desativar regiões do AWS STS?

Não. No momento, não há suporte à ativação ou desativação de regiões do AWS STS por meio de API ou ILC. Pretendemos oferecer suporte à API e à ILC em uma versão futura.


P: O que é a unificação de identidades?
O AWS Identity and Access Management (IAM) é compatível com a federação de identidades para acesso delegado ao Console de Gerenciamento da AWS ou às APIs da AWS. Com a federação de identidades, as identidades externas recebem acesso seguro aos recursos na sua conta da AWS, sem a necessidade de criar usuários do IAM. Essas identidades externas podem ser oriundas do seu provedor de identidade corporativo (como Microsoft Active Directory ou AWS Directory Service) ou de um provedor de identidade da web (como Amazon Cognito, Login with Amazon, Facebook, Google ou qualquer provedor compatível com OpenID Connect).

P: O que são usuários federados?
Usuários federados (identidades externas) são usuários gerenciados fora da AWS no diretório corporativo, mas que recebem acesso à sua conta da AWS usando credenciais de segurança temporárias. Eles diferem dos usuários do IAM que são criados e mantidos na sua conta da AWS.

P: A AWS é compatível com o SAML?
Sim, a AWS é compatível com o Security Assertion Markup Language (SAML) 2.0.

P: Com quais perfis do SAML a AWS é compatível?
O endpoint do acesso único (single sign-on, SSO) da AWS é compatível com o perfil de provedor de identidade WebSSO iniciado por HTTP pós-vinculação do SAML. Isso permite a um usuário federado fazer o login no Console de Gerenciamento da AWS usando uma asserção do SAML. Uma asserção do SAML também pode ser usada para solicitar credenciais de segurança temporárias usando a API AssumeRoleWithSAML. Para obter mais informações, consulte Sobre a federação baseada no SAML 2.0.

P: Os usuários federados podem acessar APIs da AWS?
Sim. Você pode solicitar credenciais de segurança temporárias para os usuários federados para lhes fornecer acesso seguro e direto às APIs da AWS. Fornecemos um aplicativo de exemplo que demonstra como você pode permitir a federação de identidade, fornecendo aos usuários mantidos pelo Microsoft Active Directory acesso às APIs de serviço da AWS. Para obter mais informações, consulte Uso de credenciais de segurança temporárias para solicitar acesso aos recursos da AWS.

P: Os usuários unificados podem acessar o Console de Gerenciamento da AWS?
Sim. Há algumas maneiras de obter isso. Uma maneira é, por programação, solicitar credenciais de segurança temporárias (por exemplo, GetFederationToken ou AssumeRole) para seus usuários federados e incluindo essas credenciais como parte da solicitação de acesso ao Console de Gerenciamento da AWS. Após autenticar um usuário e conceder-lhe credencial de segurança temporária, é possível gerar um token de sign-in que é usado para o endpoint de acesso único (single sign-on, SSO) da AWS. As ações do usuário são limitadas à política de controle de acesso associadas com as credenciais de segurança temporárias. Para obter mais detalhes, consulte Como criar um URL que permita que usuários federados acessem o Console de Gerenciamento da AWS (Viabilizadores de federação personalizada).

Alternativamente, você pode publicar uma asserção do SAML diretamente no login da AWS (https://signin.aws.amazon.com/saml). As ações do usuário no console são limitadas à política de controle de acesso associada com a função do IAM que é assumida usando a asserção do SAML. Para obter mais detalhes, consulte Permissão para usuários federados do SAML 2.0 para acessar o Console de Gerenciamento da AWS.

O uso de qualquer uma das abordagens permite ao usuário federado o acesso ao console sem ter que efetuar o login com nome de usuário e senha. Disponibilizamos um exemplo de aplicação que demonstra como você pode permitir a federação de identidades, concedendo aos usuários mantidos pelo Microsoft Active Directory acesso ao Console de Gerenciamento da AWS. 

P: Como posso controlar o que um usuário federado pode fazer quando conectado ao console?
Quando você solicita credenciais de segurança temporárias para seu usuário federado usando uma API AssumeRole, você pode opcionalmente incluir uma política de acesso com a solicitação. Os privilégios de usuário federado são a intercessão de permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada à função do IAM que foi assumida. A política de acesso passada com a solicitação não pode elevar os privilégios associados com a função do IAM sendo assumida. Quando você solicita credenciais de segurança temporárias para seu usuário federado usando a API GetFederationToken, você deve fornecer uma política de controle de acesso com a solicitação. Os privilégios de usuário federado são a intercessão de permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada ao usuários do IAM que foi usado para fazer solicitação. A política de acesso passada com a solicitação não pode elevar os privilégios associados com o usuário do IAM usado para fazer a solicitação. Essas permissões de usuários federados aplicam-se tanto ao acesso da API quanto as ações tomadas no Console de Gerenciamento da AWS.

P: Quais permissões um usuário federado necessita para usar o console?
Um usuário solicita permissões às APIs do serviço da AWS chamadas pelo Console de Gerenciamento da AWS. Permissões comuns necessárias para acessar os serviços da AWS são documentadas em Uso de credenciais de segurança temporárias para solicitar acesso aos recursos da AWS.

P: Como posso controlar por quanto tempo um usuário federado tem acesso ao console?
Dependendo da API usada para criar as credenciais de segurança temporárias, você pode especificar um limite de sessão entre 15 minutos e 36 horas (para GetFederationToken e GetSessionToken) e entre 15 e 60 minutos (para APIs AssumeRole), período em que o usuário federado pode acessar o console. Quando a sessão expira, o usuário precisa solicitar uma nova sessão ao retornar para sua página da web, onde você pode lhe conceder um acesso.

P: O que acontece quando a sessão do console de unificação de identidades expira?
Uma mensagem é exibida ao usuário esclarecendo que a sessão do console expirou e que ele precisa solicitar uma nova sessão. É possível especificar o URL para direcionar os usuários para sua página da intranet local onde podem solicitar uma nova sessão. Adicione esse URL quando especificar um emissor de parâmetros como parte de sua solicitação de cadastro. Para obter mais informações, consulte Permissão para usuários federados do SAML 2.0 para acessar o Console de Gerenciamento da AWS.

P: A quantos usuários unificados posso conceder acesso ao Console de Gerenciamento da AWS?
Não há limite para o número de usuários federados que podem receber acesso ao console.

P: O que é a federação de identidades da web?

A federação de identidades da web permite a criação de aplicativos móveis com tecnologia da AWS que usam provedores de identidade públicos (como Amazon Cognito, Login with Amazon, Facebook, Google ou qualquer provedor compatível com OpenID Connect) para autenticação. Com a federação de identidades da web, você tem uma maneira fácil de integrar o login de provedores de identidade públicos (IdPs) a seus aplicativos, sem necessidade de escrever qualquer código no servidor e sem distribuir credenciais de segurança da AWS de longo prazo com o aplicativo.

Para obter mais informações sobre a federação de identidade da web e para começar a usar, consulte Sobre o Web Identity Federation.

P: Como faço para ativar a federação de identidades da web com contas de provedores de IdPs?

Para obter melhores resultados, use o Amazon Cognito como seu viabilizador de identidades para praticamente todos os cenários de federação de identidades da web. O Amazon Cognito é fácil de usar e disponibiliza recursos adicionais, como acesso anônimo (sem autenticação), e sincronização de dados de usuário em dispositivos e provedores. No entanto, se você já criou um aplicativo que usa a federação de identidades da web ao chamar manualmente a API AssumeRoleWithWebIdentity, pode continuar a usá-lo e seus aplicativos continuarão funcionando.

Veja a seguir as etapas básicas para ativar a federação de identidades usando um dos IdPs da web compatíveis:

  1. Cadastre-se como um desenvolvedor com o IdP e use-o para configurar seu aplicativo. O IdP disponibiliza a você um ID exclusivo para o aplicativo.
  2. Se você usar um IdP que seja compatível com o OIDC, crie uma entidade de provedor de identidade para ele no IAM.
  3. Na AWS, crie uma ou mais funções do IAM. 
  4. No seu aplicativo, autentique os usuários com o IdP público.
  5. No aplicativo, faça uma chamada sem assinatura para a API AssumeRoleWithWebidentity para solicitar credenciais temporárias de segurança. 
  6. Usando as credenciais de segurança temporárias obtidas na resposta de AssumeRoleWithWebidentity, o aplicativo envia solicitações assinadas para as APIs da AWS.
  7. O aplicativo armazena as credenciais de segurança temporárias em cache para que não seja necessário obter novas credenciais todas as vezes que o aplicativo precisar enviar uma solicitação à AWS.

Para obter mais detalhes sobre as etapas, consulte Como usar APIs de federação de identidades da web para aplicativos móveis.

P: Como a federação de identidades usando o AWS Directory Service difere do uso de uma solução de gerenciamento de identidades de terceiros?

Se você quer apenas que seus usuários federados possam acessar o Console de Gerenciamento da AWS, o uso do AWS Directory Service fornece funcionalidade semelhante em comparação com o uso de uma solução de gerenciamento de identidades de terceiro. Os usuários finais podem fazer login usando suas credenciais corporativas existentes e acessar o Console de Gerenciamento da AWS. Como o AWS Directory Service é um serviço gerenciado, os clientes não precisam configurar ou gerenciar a infraestrutura de federação. Eles precisam simplesmente criar um diretório do AD Connector para se integrar a seu diretório local. Se você está interessado em fornecer a seus usuários federados acesso às APIs da AWS, use uma oferta de terceiros ou implante seu próprio servidor proxy.


P: O faturamento da AWS fornece decomposições agregadas de uso e custo por usuário?
Não, atualmente não é compatível.

P: Qual é o custo do serviço IAM?
Não, este é um recurso da conta da AWS fornecido gratuitamente.

P: Quem paga pelo uso incorrido pelos usuários em uma conta da AWS?
O proprietário da conta da AWS controla e é responsável pela utilização, pelos dados e recursos da conta.

P: A atividade do usuário faturável será registrada nos dados de uso da AWS?
Não no momento. Isso está planejado para um release futuro.

P: Como o IAM compara-se com o Faturamento consolidado?
O IAM e o Faturamento consolidado são recursos complementares. O Faturamento consolidado permite que você consolide o pagamento de várias contas da (AWS) dentro da sua empresa ao designar uma única conta de pagamento. O escopo do IAM não está relacionado ao Faturamento consolidado. Há um usuário na área de uma conta da AWS e não tem permissões nas contas vinculadas. Para obter mais detalhes, consulte Pagamento de contas para várias contas usando a cobrança consolidada.

P: Um usuário pode acessar as informações de faturamento das contas da AWS?
Sim, mas somente se você os permitir. Para que usuários do IAM acessem informações de faturamento, você precisa primeiro conceder acesso à Atividade da conta ou Relatórios de utilização. Consulte Controle de acesso.


P: O que acontecerá se um usuário tentar acessar um serviço que ainda não tiver sido integrado ao IAM?
O serviço retorna um erro "Acesso negado".

P: As ações do IAM são registrado para fins de auditoria?
Sim. Você pode registrar ações do IAM, ações do STS e cadastros no AWS Management Console ativando o AWS CloudTrail. Para saber mais sobre o registro da AWS, consulte AWS CloudTrail.

P: Há alguma distinção entre pessoas e agentes de software como entidades da AWS?
Não, as duas entidades são tratadas como usuários com credenciais de segurança e permissões. No entanto, somente as pessoas usam senha no AWS Management Console.

P: Os usuários trabalham com o AWS Support Center and Trusted Advisor?
Sim, os usuários do IAM podem criar e modificar casos de suporte, bem como usar o Trusted Advisor.

P: Há limites de cota padrão associados ao IAM?
Sim, por padrão, sua conta da AWS tem cotas iniciais definidas para todas as entidades relacionadas ao IAM. Para saber mais detalhes, consulte Limitações em entidades e objetos do IAM.

Essas cotas estão sujeitas a cobranças. Se você requer um aumento, você pode acessar o Formulário de aumento de limite de serviço através da página de contato e escolha Grupos e usuários do IAM na lista suspensa Tipo de limite.


P: O que é a AWS MFA?
A AWS Multi-Factor Authentication (AWS MFA) fornece um nível extra de segurança que pode ser aplicado ao seu ambiente AWS. É possível habilitar a AWS MFA para a sua conta AWS e para usuários individuais do AWS Identity and Access Management (IAM) que você cria em sua conta.

P: Com funciona a AWS MFA?
A AWS MFA usa um dispositivo de autenticação que gera de forma contínua códigos de autenticação aleatórios, de seis dígitos, para um único uso. Há duas formas principais para autenticação usando um dispositivo AWS MFA:

  • Usuário do AWS Management Console: quando um usuário com MFA permite a conexão a um site da AWS, é solicitado que forneça o nome de usuário e a senha (o primeiro fator, o que ele conhece) e um código de autenticação do seu dispositivo de AWS MFA (o segundo fator, o que ele tem). Todos os sites da AWs que requerem login, como o AWS Management Console, são totalmente compatíveis com a AWS MFA. Você também pode usar a AWS MFA em conjunto com a capacidade de exclusão segura do Amazon S3 para proteção adicional das suas versões armazenadas do S3.
  • Usuários de API da AWS: é possível aplicar a autenticação MFA adicionando restrições da MFA a políticas do IAM. Para acessar APIs e recursos protegidos dessa forma, os desenvolvedores podem usar credenciais temporárias de segurança e fornecer parâmetros opcionais de MFA em suas solicitações de API do AWS Security Token Service (STS) (o serviço que emite credenciais temporárias de segurança). As credenciais temporárias de segurança validadas por MFA podem ser usadas para acionar recursos e APIs protegidos por MFA.

P: Como obtenho a AWS MFA?
Siga esses dois passos simples:

Adquira um dispositivo de autenticação. Você tem três opções:

  • Você pode comprar um dispositivo de hardware compatível com a AWS MFA na Gemalto, um provedor externo.
  • Você pode instalar um aplicativo compatível com a AWS MFA em um dispositivo, como seu smartphone.
  • Você pode se cadastrar para visualizar a SMS MFA, que permite que você use a funcionalidade de mensagem de texto do seu celular para receber códigos de segurança (disponível apenas para usuários do IAM).

Viste a página da MFA para obter detalhes de como obter o hardware ou o dispositivo de MFA virtual e como configurar a SMS MFA.

Quando tiver o dispositivo de autenticação, você deve ativá-lo. Você ativa um dispositivo de AWS MFA para a sua conta AWS ou para os usuários do IAM no console IAM. Você também pode usar o IAM CLI para ativá-lo para um usuário do IAM.

P: Existe uma taxa associada ao uso da AWS MFA?
A AWS não cobra qualquer taxa adicional para o uso da AWS MFA com sua conta AWS. Entretanto, se você quiser usar um dispositivo físico de autenticação, você precisará adquirir um dispositivo de autenticação que seja compatível com a AWS MFA da Gemalto. Para obter mais detalhes, visite o site da Gemalto.

P: Posso ter vários dispositivos de autenticação ativos em minha conta AWS?
Sim. Cada usuário do IAM pode ter seu próprio dispositivo de autenticação. No entanto, cada identidade, (usuário do IAM ou conta raiz) pode estar associada com apenas um dispositivo de autenticação.

P: Posso usar meu dispositivo de autenticação com várias contas AWS?
Não. O dispositivo de autenticação ou número de celular está vinculado a uma identidade única da AWS (usuário do IAM ou conta raiz). Se você tiver um aplicativo compatível com TOTPF (senha válida uma vez, com duração predeterminada) instalado no seu smartphone, poderá criar vários dispositivos de MFA virtuais no mesmo smartphone. Cada dispositivo de MFA virtual está vinculado a uma única identidade, exatamente como um dispositivo de hardware. Se você dissociar (desativar) o dispositivo de autenticação, poderá reutilizá-lo com uma identidade diferente da AWS. O dispositivo de autenticação não pode ser usado por mais de uma identidade simultaneamente.

P: Eu já tenho um dispositivo de hardware de autenticação do meu local de trabalho ou de outro serviço de que uso, posso reutilizar este dispositivo com a AWS MFA?
Não. A AWS MFA é baseada no reconhecimento de um segredo exclusivo associado a um dispositivo de autenticação para poder suportar seu uso. Devido as restrições de segurança que exigem que esses segredos nunca sejam compartilhadas entre várias partes, a AWS MFA não pode oferecer suporte ao uso do dispositivo de autenticação de hardware existente. Apenas um dispositivo de autenticação de hardware compatível adquirido da Gemalto pode ser usado com o AWS MFA.

P: Tenho dificuldades com um pedido de um dispositivo de autenticação usando o site do fornecedor terceirizado Gemalto. Onde posso solicitar ajuda?
O atendimento ao cliente da Gemalto pode ajudar você.

P: Recebi através da Gemalto um dispositivo de autenticação defeituoso ou danificado. Onde posso solicitar ajuda?
O atendimento ao cliente da Gemalto pode ajudar você.

P: Acabo de receber da Gemalto o dispositivo de autenticação. O que devo fazer?
Você simplesmente precisa ativar o dispositivo de autenticação para habilitar a AWS MFA para sua conta AWS. Clique aqui para usar o console do IAM para realizar a tarefa.

P: O que é um dispositivo de MFA virtual?
Um dispositivo de MFA virtual é uma entrada criada em um TOTP de software aplicativo compatível que pode gerar códigos de autenticação de seis dígitos. O aplicativo pode ser executado em qualquer dispositivo de hardware compatível, como um smartphone.

P: Quais são as diferenças entre um dispositivo de MFA virtual e um dispositivo de MFA físico?
Dispositivos de MFA virtuais usam os mesmos protocolos que os dispositivos de MFA físicos. Dispositivos de MFA virtual são baseados em software e podem ser executados em seus dispositivos existentes como o seu smartphone. A maioria dos aplicativos de MFA virtual também permite que você habilite mais de um dispositivo de MFA virtual que os torna mais conveniente do que dispositivos de MFA físicos.

P: Qual aplicativo virtual da MFA posso usar com a MFA da AWS?
Você pode usar aplicativos que geram códigos de autenticação em conformidade com TOTP, como o aplicativo de autenticação do Google, com a MFA da AWS. Você pode preparar dispositivos de MFA virtual tanto automaticamente, lendo um código QR com a câmera do dispositivo, ou via entrada manual de semente, no aplicativo de MFA virtual.

Visite a página da MFA para obter uma lista de aplicativos compatíveis de MFA virtual.

P: O que é um código QR?
O código QR é um código de barras bidimensional que é legível por leitores de código de barras QR dedicados e pela maioria dos smartphones. O código consiste em quadrados pretos dispostos em padrões quadrados maiores sobre um fundo branco. O código QR ​​contém as informações de configuração de segurança necessárias para configurar um dispositivo de MFA virtual em seu aplicativo de MFA virtual.

P: Como provisionar o novo dispositivo de MFA virtual?
Você pode configurar um novo dispositivo de MFA virtual no console do IAM para seus usuários do IAM, bem como para sua conta raiz AWS. Você também pode usar o comando aws iam create-virtual-mfa-device no AWS CLI ou a API CreateVirtualMFADevic para configurar novos dispositivos de MFA virtual na sua conta. O aws iam create-virtual-mfa-device e a API CreateVirtualMFADevice retornam as informações de configuração necessárias, chamadas de semente, para a inicialização do dispositivo de MFA virtual em seu aplicativo compatível com a AWS MFA. Você pode conceder aos seus usuários IAM as permissões para chamar essa API diretamente ou realizar o provisionamento inicial para eles.

P: Como devo manipular e distribuir o material de semente para dispositivos de MFA virtual?
Você deve tratar as sementes como qualquer outro segredo (por exemplo chaves secretas AWS e senhas).

P: Como habilitar um usuário do IAM para gerenciar dispositivos de MFA virtual com a minha conta?
Conceda ao usuário do IAM a permissão para chamar a API CreateVirtualMFADevice. Você pode usar esta API para fornecer novos dispositivos virtuais da MFA.

P: Como faço para começar a usar a opção de SMS durante a visualização?
Para se cadastrar para a visualização, você deve visitar a página da MFA e se inscrever clicando no botão de cadastro do SMS MFA. Depois da aceitação na visualização, que ocorre normalmente em um ou dois dias úteis, você recebe um e-mail de confirmação com as instruções sobre como configurar o SMS MFA. Você pode então navegar para o console do IAM e ativar a SMS MFA para um usuário do IAM. O processo envolve inserir um número de telefone para cada usuário do IAM. A partir daí, quando o usuário do IAM faz login no AWS Management Console, o usuário receberá um código de segurança de 6 dígitos por mensagem de texto de SMS e deverá inseri-lo durante o login.

P: Posso usar o SMS MFA com contas raiz durante a visualização?
Não. O suporte para a opção do SMS MFA é limitado aos usuários do IAM durante a visualização.

P: Posso usar o SMS MFA ao assumir credenciais temporárias de segurança do AWS STS?
Não. Na visualização, você não pode usar o SMS MFA ao assumir credenciais temporárias do AWS STS.

P: Onde habilito a AWS MFA?
Você pode habilitar uma AWS MFA para uma conta da AWS e seus usuários do IAM no console do IAM, a interface de linha de comando (CLI) da AWS, ou por meio de chamadas de API da AWS.

P: De quais informações preciso para ativar um dispositivo de autenticação de hardware ou virtual?
Se você está ativando o dispositivo de AMF com o console IAM, você precisará apenas do dispositivo. Se você estiver usando a CLI da AWS CLI ou a API do IAM, você precisará do seguinte:

1. O número de série do dispositivo de autenticação. O formato do número de série depende de você estar usando um dispositivo de hardware ou um dispositivo virtual:

– Dispositivo de MFA de hardware: o número de série está na etiqueta de código de barras na parte de trás do dispositivo.
– Dispositivo de MFA virtual: o número de série é o valor do Amazon Resource Name (ARN) retornado quando você executa o comando iam-virtualmfadevicecreate na CLI da AWS CLI ou chama a API CreateVirtualMFADevice.

2. Dois códigos consecutivos de autenticação exibidos pelo dispositivo de autenticação.

P: Meu dispositivo de autenticação parece estar funcionando normalmente, mas não consigo ativá-lo. O que devo fazer?
Entre em contato conosco para obter ajuda.

P: Se eu habilitar a AWS MFA para minha conta AWS ou meus usuários do IAM, eles sempre precisarão usar um código de autenticação para entrar no portal AWS ou no AWS Management Console?
Sim. A conta AWS e seus usuários IAM precisam ter seu dispositivo de MFA à mão sempre que for preciso entrar em qualquer site AWS.

Se o dispositivo de autenticação associado à conta raiz AWS for danificado, perdido, roubado ou parar de funcionar, você poderá entrar em contato conosco para obter ajuda com a desativação da AWS MFA da conta raiz. Isso lhe dará acesso temporário à AWS usando apenas o nome de usuário e a senha da conta AWS.

Com a MFA virtual ou de hardware, se seus usuários do IAM perderem ou danificarem o dispositivo de autenticação ou se esse dispositivo for perdido, danificado, roubado ou parar de funcionar, você mesmo poderá desativar a AWS MFA usando o console IAM ou a CLI do IAM. Com o SMS MFA, não há interrupção para a MFA se você adquirir um novo celular mantendo o mesmo número de telefone.

P: Se eu habilitar a AWS MFA para minha conta AWS ou meus usuários do IAM, eles sempre precisarão inserir um código de MFA para acionar diretamente APIs da AWS?
Não, é opcional. No entanto, você deve inserir um código de MFA se pretende acionar APIs seguras pelo acesso à API protegido por MFA.

Se estiver acionando APIs da AWS usando chaves de acesso para sua conta raiz ou usuário do IAM, você não precisará inserir um código de MFA. Por questões de segurança, recomendamos que você remova todas as chaves de acesso da sua conta raiz AWS e, no lugar, chame as APIs da AWS com as chaves de acesso para um usuário do IAM que tenha as permissões necessárias.

P: Como entrar no portal AWS e no Console de Gerenciamento da AWS usando o meu dispositivo de autenticação?
Siga esses dois passos:

Se você estiver entrando em uma conta raiz AWS, entre normalmente com seu nome de usuário e senha quando solicitado. Para entrar como um usuário IAM, use a URL específica da conta e forneça seu nome de usuário e senha quando solicitado.

Na página seguinte, digite o código de autenticação de seis dígitos que aparece em seu dispositivo de autenticação.

P: A AWS MFA afeta o meu acesso às APIs de serviço da AWS?
A AWS MFA mudará a forma como os usuários do IAM acessam APIs do Serviço da AWS somente se os administradores de conta escolherem habilitar o acesso à API protegido por MFA. Os administradores podem habilitar esse recurso para adicionar uma camada extra de segurança no acesso a APIs importantes ao exigir que os chamadores façam a autenticação com um dispositivo AWS MFA. Para obter mais informações, consulte a documentação de acesso à API protegido por MFA em mais detalhes.

Outras exceções incluem versões de bucket S3 PUT, versões do bucket GET e APIs de objeto DELETE, que permite a você exija autenticação MFA para excluir ou alterar o estado das versões do seu bucket. Para obter mais informações consulte a documentação do S3 Configurando um bucket com a MFA excluída que discute esse assunto mais detalhadamente.

Para todos os outros casos, no momento a AWS MFA não alterará a forma como você acessa APIs de serviço da AWS.

P: Posso utilizar um código de autenticação mais de uma vez?
Não. Por questões de segurança, você pode usar cada código de autenticação apenas uma vez.

P: Recentemente foi solicitada a ressincronização do meu dispositivo de autenticação porque meus códigos de autenticação estavam sendo rejeitados. Eu deveria me preocupar?
Não, isso pode acontecer ocasionalmente. Depende do relógio de seu dispositivo de autenticação estar sincronizado com o relógio em nossos servidores. Algumas vezes, esses relógios podem se afastar. Se isso acontecer, quando você usar o dispositivo de autenticação para acessar as páginas protegidas no site da AWS ou no AWS Management Console, a AWS tentará automaticamente ressincronizar o dispositivo de autenticação, solicitando que você forneça dois códigos de autenticação consecutivos (assim como você fez durante a ativação).

P: Meu dispositivo de autenticação parece estar funcionando normalmente, mas não consigo usá-lo para entrar no AWS Management Console. O que devo fazer?
Sugerimos que tente ressincronizar o dispositivo de autenticação neste link, caso seu dispositivo da MFA proteja as credenciais da conta raiz (requer login) ou neste link para suas credenciais de usuário do IAM. Se você já tentou ressincronizar e ainda está tendo dificuldades para entrar, entre em contato conosco para obter ajuda.

P: Meu dispositivo de autenticação foi perdido, danificado ou foi roubado e agora não posso entrar no AWS Management Console. O que devo fazer?
Se o dispositivo de autenticação está associado a uma conta raiz AWS, siga estes passos:

Entre em contato conosco para obter ajuda com a desativação da AWS MFA, assim você terá acesso temporário ao AWS Management Console usando apenas seu nome de usuário e senha.

Verifique se alterou sua senha da Amazon caso seu dispositivo de autenticação tenha sido roubado. Uma pessoa não autorizada pode estar com a sua senha atual.

Adquira um novo dispositivo de autenticação por meio do distribuidor autorizado Gemalto usando seu site ou configurando um novo dispositivo MFA virtual em sua conta usando o console IAM.

Quando você concluir as etapas anteriores, use o console do IAM para ativar o novo dispositivo de autenticação para reativar a AWS MFA para sua conta AWS.

Se o dispositivo de autenticação está associado com um usuário IAM, você pode usar o console IAM, AWS CLI ou a API AWS para remover o dispositivo de MFA para o usuário IAM. Se você estiver suando o SMS MFA para o usuário do IAM, não há interrupção à MFA se você comprar um novo celular que mantenha o mesmo número.

P: Meu dispositivo de autenticação parou de funcionar e agora não posso entrar no portal AWS ou no Console de Gerenciamento da AWS. O que devo fazer?
Se o dispositivo físico de autenticação está associado a uma conta raiz AWS, siga estes passos:

Entre em contato conosco para obter ajuda com a desativação da AWS MFA, assim você terá acesso temporário ao AWS Management Console usando apenas seu nome de usuário e senha.

Entre em contato com a Gemalto para obter assistência para o dispositivo de autenticação.

Quando você tiver outro dispositivo de autenticação, volte ao site da AWS e ative o dispositivo de autenticação para reativar a AWS MFA para sua conta AWS, como antes.

Se o dispositivo de autenticação está associado com um usuário do IAM, o usuário deve entrar em contato com a pessoa que forneceu o nome de usuário e a senha do IAM.

P: Como desabilito a AWS MFA?
Para desativar a AWS MFA em sua conta AWS, você pode desativar seu dispositivo de autenticação usando a página de Credenciais de segurança. Para desativar a AWS MFA para seus usuários do IAM, você precisa usar o console IAM ou o AWS CLI.

P: Posso usar a AWS MFA no GovCloud?
Sim, você pode usar a MFA virtual da AWS no GovCloud. No momento, a AWS não oferece suporte a dispositivos de hardware de MFA no GovCloud.

P: O que é o acesso à API protegido por MFA?
O acesso à API protegida pela MFA é uma funcionalidade opcional que permite que administradores de conta apliquem autenticação adicional para APIs especificadas pelo cliente, exigindo que os usuários forneçam um segundo fator de autenticação além de uma senha. Especificamente, ele permite que os administradores incluam condições em suas políticas do IAM, que exijam a autenticação de MFA para acesso a APIs selecionadas. Os usuários chamando essas APIs devem primeiro obter credenciais temporárias que indiquem que o usuário inseriu um código MFA válido.

P: Qual problema o acesso à API protegido por MFA resolve?
Anteriormente, os clientes podiam exigir MFA para acesso ao AWS Management Console, mas não podiam aplicar requisitos de MFA para desenvolvedores e aplicativos interagindo diretamente com APIs de serviço da AWS. O acesso à API protegido por MFA garante que as políticas do IAM sejam universalmente aplicadas, independentemente do caminho de acesso. Consequentemente, agora você pode desenvolver seu próprio aplicativo que usa a AWS e solicitar ao usuário autenticação de MFA antes de acionar APIs avançadas ou acessar recursos importantes.

P: Como faço para começar a usar o acesso à API protegido por MFA?
Você pode começar o uso em duas etapas simples:

  1. Atribua um dispositivo de MFA aos seus usuários do IAM. Você pode comprar um fob de chave de hardware, usar o SMS MFA com qualquer celular compatível com SMS ou baixar um aplicativo compatível com TOTP para seu smartphone, tablet ou computador. Consulte a página de detalhes da MFA para saber mais sobre dispositivos AWS MFA.
  2. Habilite o acesso à API protegido por MFA criando políticas de permissão para os usuários do IAM e/ou grupos do IAM dos quais você quer exigir a autenticação de MFA. Para saber mais sobre a sintaxe da linguagem de políticas de acesso, consulte a documentação sobre a linguagem de políticas de acesso.

P: Como os desenvolvedores e usuários acessam APIs e recursos seguros com o acesso à API protegido por MFA?
Os desenvolvedores e usuários interagem com o acesso à API protegido por MFA no AWS Management Console e nas APIs.

No AWS Management Console, qualquer usuário do IAM habilitado com MFA deverá fazer a autenticação com seu dispositivo para entrar. Os usuários que não têm MFA não recebem acesso a recursos e APIs protegidos por MFA.

No nível de API, os desenvolvedores podem integrar a AWS MFA em seus aplicativos para solicitar que os usuários façam a autenticação usando seus dispositivos de MFA atribuídos antes de acionarem APIs avançadas ou acessar recursos importantes. Os desenvolvedores habilitam essa funcionalidade adicionando parâmetros opcionais de MFA (número de série e código de MFA) a solicitações de obtenção de credenciais temporárias de segurança (essas solicitações também são chamadas de “solicitações de sessão”). Se os parâmetros forem válidos, as credenciais temporárias de segurança que indicam o status de MFA serão retornadas. Consulte a documentação sobre credenciais de segurança temporárias para obter mais informações.

P: Quem pode usar o acesso à API protegido por MFA?
O acesso à API protegido por MFA está disponível gratuitamente para todos os clientes da AWS.

P: Com quais serviços o acesso à API protegido por MFA funciona?
O acesso à API protegido por MFA é compatível com todos os serviços da AWS compatíveis com credenciais temporárias de segurança. Para obter uma lista de dispositivos compatíveis, consulte Serviços da AWS que funcionam com o IAM e analise a coluna chamada Compatível com credenciais temporárias de segurança.

P: O que acontece se um usuário fornecer informações incorretas de dispositivo de MFA ao solicitar credenciais temporárias de segurança?
A solicitação de emissão de credenciais temporárias de segurança falha. As solicitações de credenciais temporárias de segurança que especificam parâmetros de MFA devem fornecer o número de série correto do dispositivo vinculado ao usuário do IAM, bem como um código válido de MFA.

P: O acesso à API protegido por MFA controla o acesso à API para contas raiz?
Não, o acesso à API protegido por MFA controla somente o acesso para usuários do IAM. As contas raiz não estão vinculadas por políticas do IAM. É por isso que a AWS recomenda que você crie usuários do IAM para interagir com APIs do serviço da AWS em vez de usar credenciais de conta.

P: Os usuários precisam ter um dispositivo de MFA atribuído a eles para usar o acesso à API protegido por senha?
Sim, um usuário deve primeiro ser atribuído a um dispositivo virtual, de hardware ou de SMS MFA exclusivo.

P: O acesso de API protegido por MFA é compatível com objetos do S3, filas do SQS e tópicos do SNS?
Sim.

P: Como o acesso à API protegido por MFA interagirá com casos de uso de MFA existentes, como S3 MFA Delete?
O acesso à API protegido por MFA e o S3 MFA Delete não interagem entre si. Atualmente, o S3 MFA Delete não é compatível com credenciais temporárias de segurança. Em vez disso, o acionamento da API do S3 MFA Delete API deve ser feito com chaves de acesso de longo prazo.

P: O acesso à API protegido pela MFA funciona na região de GovCloud (EUA)?
Sim.

P: O acesso à API protegido por MFA funciona para usuários unificados?
Os clientes não podem usar acesso a API protegido por MFA para controlar o acesso por usuários federados. A API GetFederatedSession não aceita parâmetros de MFA. Como os usuários federados não podem fazer a autenticação com dispositivos AWS MFA, eles não podem acessar recursos designados usando o acesso à API protegido por MFA.

P: Posso usar o SMS MFA ao assumir credenciais de segurança temporárias do AWS STS?

Na visualização, você não pode usar o SMS MFA ao assumir credenciais temporárias do AWS STS.