Comece a usar a AWS gratuitamente

Crie uma conta gratuita
Ou faça login no console

Receba doze meses de acesso ao nível de uso gratuito da AWS e aproveite os recursos do AWS Basic Support incluindo atendimento ao cliente 24 horas por dia, todos os dias do ano, e fóruns de suporte, entre outros recursos.



P: O que é o AWS Identity and Access Management (IAM)?
Você pode usar o IAM para controlar de modo seguro o acesso individual e de grupo aos seus recursos da AWS. É possível criar e gerenciar identidades de usuário ("usuários do IAM") e conceder permissões para esses usuários do IAM acessarem seus recursos. Você também pode conceder permissões para usuários fora da AWS ("usuários federados").

P: Como faço para começar a usar o IAM?
Depois que você tiver se cadastrado na AWS, poderá criar usuários e grupos e lhes atribuir permissões de acesso a seus recursos da AWS. Você pode usar o console do IAM (para acesso baseado na web), a interface de linha de comando do IAM (para acesso pela linha de comando) ou a API ou SDKs (para acesso programático). Para conceder permissões, você pode criar documentos de política que são anexados a usuários, grupos ou outras entidades. Assista ao vídeo Getting Started with IAM.

P: Qual o problema solucionado pelo IAM?
O IAM facilita o fornecimento a vários usuários de acesso seguro à conta e aos recursos da AWS. O IAM permite que você:

  • Gerencie os usuários do IAM e seus acessos: você pode criar usuários no sistema de gerenciamento de identidades da AWS, atribuir a eles credenciais de segurança individuais (ou seja, chaves de acesso, senhas e dispositivos de autenticação multifator) ou solicitar credenciais de segurança temporárias para fornecer aos usuários acesso a serviços e recursos da AWS. É possível especificar as permissões para controlar quais operações um usuário pode realizar.
  • Gerencie o acesso de usuários federados: você pode solicitar credenciais de segurança com expirações configuráveis para usuários gerenciados no diretório corporativo, fornecendo aos funcionários e aplicativos acesso seguro aos recursos na conta da AWS, sem criar uma conta de usuário do IAM para eles. Você especifica as permissões dessas credenciais de segurança para controlar quais operações um usuário pode realizar.

P: Quem pode usar o IAM?
Qualquer cliente da AWS pode usar o IAM. O serviço é oferecido gratuitamente. Você será cobrado somente pelo uso de outros serviços da AWS utilizados pelos usuários.

P: O que é um usuário?
Um usuário é uma identidade exclusiva reconhecida pelos serviços e aplicativos da AWS. Semelhante a um usuário de login em um sistema operacional como Windows ou UNIX, um usuário tem um nome exclusivo e pode se identificar usando credenciais de segurança familiares, como uma senha ou chave de acesso. O usuário pode ser um indivíduo, sistema ou aplicativo que precise de acesso aos serviços da AWS. O IAM oferece suporte para usuários gerenciados no sistema de gerenciamento de identidades da AWS (chamados de "usuários do IAM") e também permite que você conceda acesso a recursos da AWS para usuários gerenciados fora da AWS em seu diretório corporativo (chamados de "usuários federados").

P: O que o usuário consegue fazer?
O usuário consegue fazer solicitações para serviços da web como Amazon S3 e EC2. A capacidade do usuário de acessar APIs de serviços da web está sob controle e responsabilidade da conta da AWS sob a qual ela está definida. O usuário pode obter permissão para acessar qualquer um dos serviços da AWS (ou todos) que foram integrados ao IAM e nos quais a conta da AWS foi inscrita. Se a permissão for concedida, o usuário terá acesso a todos os recursos sob a conta da AWS. Além disso, se a conta da AWS tiver acesso a recursos de outra conta da AWS, seus usuários poderão acessar dados nessas contas. Quaisquer recursos da AWS criados por um usuário estão sob controle de sua conta da AWS e são pagos por ela. O usuário não pode se inscrever nos serviços da AWS ou controlar recursos de forma independente.

P: Como os usuários podem chamar os serviços da AWS?
Os usuários podem fazer solicitações de serviços da AWS usando credenciais de segurança. A capacidade do usuário de chamar serviços da AWS é regida por permissões explícitas. Por padrão, ele não consegue chamar APIs de serviço em nome da conta.

P: Como faço para começar a usar o IAM?
Para começar a usar o IAM, você deve se inscrever em pelo menos um dos serviços da AWS que foi integrado ao IAM. Depois, é possível criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, da interface de linha de comando da AWS ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar. Também é possível usar o AWS Policy Generator para criar políticas.


P: Como os usuários do IAM são gerenciados?
O IAM é compatível com vários métodos para:

  • Criar, excluir e listar usuários do IAM.
  • Gerenciar associações a grupo.
  • Gerenciar credenciais de segurança dos usuários.
  • Atribuir permissões.

Você pode criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, do AWS CLI ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar. Você também pode usar o AWS Policy Generator e AWS Policy Simulator para criar e testar políticas.

P: O que é um grupo?
Um grupo é um conjunto de usuários do IAM. A associação a grupos é gerenciada como uma lista simples:

  • Os usuários podem ser adicionados ou removidos de um grupo.
  • Um usuário pode pertencer a vários grupos.
  • Os grupos não podem pertencer a outros grupos.
  • Os grupos podem obter permissões usando políticas de controle de acesso. Isso facilita o gerenciamento de permissões para um conjunto de usuários, em vez de ter de gerenciar permissões para cada usuário individual.
  • Os grupos não têm credenciais de segurança e não podem acessar serviços da web diretamente; eles existem somente para facilitar o gerenciamento das permissões de usuários. Para ver mais detalhes, consulte Como trabalhar com grupos e usuários.

P: Quais tipos de credenciais de segurança os usuários do IAM podem ter?
Os usuários do IAM podem ter qualquer combinação de credenciais compatíveis com a AWS, como uma chave de acesso da AWS, certificado X.509, senha para login em aplicativos da web ou um dispositivo de MFA. Isso permite que os usuários interajam com a AWS de qualquer forma que faça sentido para eles. Um funcionário pode ter uma chave de acesso da AWS e uma senha; um sistema de software pode ter somente uma chave de acesso da AWS para fazer chamadas programáticas; e um prestador de serviços externo pode ter somente um certificado X.509 para usar a interface de linha de comando do EC2. Para ver detalhes, consulte Credenciais na documentação do IAM.

P: Quais serviços da AWS oferecem suporte aos usuários do IAM?
A lista completa de serviços da AWS que oferecem suporte aos usuários do IAM pode ser encontrada na seção Serviços da AWS que oferecem suporte ao IAM da documentação do IAM. A AWS planeja adicionar suporte para outros serviços ao longo do tempo.

P: O acesso dos usuários pode ser ativado e desativado?
Sim. As chaves de acesso de um usuário do IAM podem ser ativadas e desativadas por meio das APIs do IAM, do AWS CLI ou do console do IAM. Com a desativação das chaves de acesso, o usuário não poderá acessar programaticamente os serviços da AWS.

P: Quem pode gerenciar os usuários de uma conta da AWS?
O detentor da conta da AWS pode gerenciar usuários, grupos, credenciais de segurança e permissões. Além disso, permissões poderão ser concedidas para usuários individuais fazerem chamadas para APIs do IAM, a fim de gerenciar outros usuários. Por exemplo, um usuário administrador poderá ser criado para gerenciar os usuários de uma corporação, o que constitui uma prática recomendada. Quando um usuário tiver recebido permissão para gerenciar outros usuários, ele poderá fazê-lo por meio das APIs do IAM, do AWS CLI ou do console do IAM.

P: Um conjunto de usuários pode ser estruturado de uma forma hierárquica, como em LDAP?
Sim. Os usuários e grupos podem ser organizados em caminhos, semelhantes a caminhos de objetos no Amazon S3 – por exemplo, mycompany/division/project/joe.

P: Os usuários podem ser definidos regionalmente?
Não inicialmente. Os usuários são entidades globais, como uma conta da AWS é hoje. Não se exige que nenhuma região seja especificada ao definir as permissões do usuário. Os usuários podem usar os serviços da AWS em qualquer região geográfica.

P: Como os dispositivos de MFA são configurados para usuários do IAM?
O detentor da conta da AWS pode encomendar vários dispositivos de MFA. Esses dispositivos podem, em seguida, ser atribuídos a usuários do IAM individuais por meio de APIs do IAM, do AWS CLI ou do console do IAM.

P: Qual tipo de rodízio de chave é compatível com os usuários do IAM?
É possível fazer o rodízio das chaves de acesso e dos certificados X.509 do usuário, da mesma forma que ocorre com os identificadores de acesso-raiz de uma conta da AWS. É possível fazer o gerenciamento e rodízio programado das chaves de acesso e certificados X.509 de um usuário por meio das APIs do IAM, do AWS CLI ou do console do IAM.

P: Os usuários do IAM podem ter chaves SSH do EC2 individuais?
Não no release inicial. O IAM não afeta chaves SSH do EC2 ou certificados RDP do Windows. Isso significa que, embora cada usuário tenha credenciais separadas para acessar APIs de serviços da web, ele deverá compartilhar chaves SSH comuns da conta da AWS sob a qual ele foi definido.

P: Os nomes de usuários do IAM têm de ser endereços de e-mail?
Não, mas podem ser. Os nomes de usuário são apenas strings ASCII que são exclusivas dentro de uma determinada conta da AWS. O detentor da conta da AWS pode atribuir nomes usando qualquer nomenclatura que escolher, incluindo endereços de e-mail.

P: Quais conjuntos de caracteres posso usar para nomes de usuário do IAM?
Entidades IAM são compatíveis somente com caracteres ASCII.

P: Há outros atributos de usuários além do nome do usuário compatível?
Não neste momento.

P: Como as senhas de usuários são definidas?
Uma senha inicial pode ser definida para um usuário do IAM por meio do console do IAM, do AWS CLI ou de APIs do IAM. As senhas do usuário nunca aparecem em texto nítido após o provisionamento inicial e nunca são exibidas ou retornadas por meio de uma chamada de API. Os usuários do IAM podem gerenciar suas senhas por meio da página My Password no console do IAM. Os usuários acessam essa página selecionando a opção Security Credentials na lista suspensa do Console de Gerenciamento da AWS, no canto superior direito.

P: Posso definir uma política para as senhas dos meus usuários?
Sim, você pode aplicar senhas fortes, como senhas com comprimento mínimo ou com um número pelo menos. Você também pode aplicar expiração automática de senhas, impedir a reutilização de senhas antigas e exigir a redefinição da senha no próximo login na AWS. Para ver detalhes, consulte Como definir uma senha com a política de conta para usuários do IAM.

P: Posso definir cotas de uso quanto aos usuários do IAM?
Não. Todos os limites são para a conta da AWS como um todo. Por exemplo, se a sua conta da AWS tem um limite de 20 instâncias do Amazon EC2, os usuários do IAM com permissões do EC2 podem iniciar instâncias até esse limite. Não é possível limitar o que cada usuário pode fazer.


P: O que é uma função do IAM?
Uma função é uma entidade do AWS Identity and Access Management (IAM) que define um conjunto de permissões para efetuar solicitações de serviços da AWS. As funções do IAM não são associadas a um usuário ou grupo específico. Em vez disso, são presumidas por entidades confiáveis, como usuários do IAM, aplicativos ou serviços da AWS como o EC2.

P: Quais problemas são solucionados pelas funções do IAM?
As funções do IAM permitem que você delegue o acesso com permissões definidas a entidades confiáveis, sem precisar compartilhar chaves de acesso de longo prazo. Você pode usar as funções do IAM para delegar acesso a usuários do IAM gerenciados em sua conta, a usuários do IAM em outra conta da AWS ou a um serviço da AWS, como o EC2.

P: Como faço para começar a usar as funções do IAM?
Você cria uma função de maneira semelhante à criação de um usuário – nomeie a função e anexe uma política a ela. Para ver detalhes, consulte Como criar funções do IAM.

P: Como faço para assumir uma função do IAM?
Você assume uma função do IAM chamando as APIs AssumeRole do AWS Security Token Service (STS) (ou seja, AssumeRole, AssumeRoleWithWebIdentity e AssumeRoleWithSAML). Essas APIs retornam um conjunto de credenciais de segurança temporárias que os aplicativos podem usar para assinar solicitações às APIs de serviço da AWS.

P: Quantas funções do IAM posso assumir?
Não há limite para o número de funções do IAM que você pode assumir, mas você pode atuar somente como uma função do IAM ao fazer suas solicitações para serviços da AWS.

P: Quem pode usar as funções do IAM?
Qualquer cliente da AWS pode usar esse recurso.

P: Quanto custam as funções do IAM?
As funções do IAM são gratuitas. Você continuará a pagar por qualquer recurso consumido por uma função na sua conta da AWS.

P: Como os usuários das funções do IAM são gerenciados?
Você pode criar e gerenciar funções do IAM por meio das APIs do IAM, do AWS CLI ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar.

P: Qual a diferença entre uma função do IAM e um usuário do IAM?
Um usuário do IAM tem credenciais de longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Uma função do IAM não tem quaisquer credenciais e não pode fazer solicitações diretas para serviços da AWS. As funções do IAM são destinadas a ser presumidas por entidades autorizadas, como usuários do IAM, aplicativos ou um serviço da AWS como o EC2.

P: Qual a diferença entre uma função do IAM e um grupo do IAM?
Um grupo do IAM é uma coleção de usuários do IAM que compartilham as mesmas permissões. Um grupo do IAM é principalmente uma conveniência de gerenciamento para gerenciar o mesmo conjunto de permissões para um conjunto de usuários do IAM. Uma função do IAM é uma entidade do IAM com permissões para fazer solicitações de serviços da AWS. As funções do IAM não podem fazer solicitações diretas para serviços da AWS; elas se destinam a ser presumidas por entidades autorizadas, como usuários do IAM, aplicativos ou serviços da AWS como o EC2.

P: Quando devo usar um usuário do IAM, um grupo do IAM ou uma função do IAM?
Um usuário do IAM tem credenciais de longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Um grupo do IAM é principalmente uma conveniência de gerenciamento para gerenciar o mesmo conjunto de permissões para um conjunto de usuários do IAM. Uma função do IAM é uma entidade do AWS Identity and Access Management (IAM) com permissões para fazer solicitações de serviço da AWS. As funções do IAM não podem fazer solicitações diretas para serviços da AWS; elas se destinam a ser presumidas por entidades autorizadas, como usuários do IAM, aplicativos ou serviços da AWS como o EC2. As funções do IAM são usadas para delegar acesso em ou entre contas da AWS.

P: Uma função do IAM pode ser adicionada a um grupo do IAM?
Não neste momento.

P: Quantas políticas podem ser vinculadas a uma função do IAM?
Você pode adicionar quantas políticas forem necessárias a uma função do IAM, desde que o tamanho total de todas as políticas não ultrapasse 10 KB.

P: Quantas funções do IAM posso criar?
Você está limitado a 250 funções do IAM em sua conta da AWS. Se você precisar de mais funções, envie o formulário de solicitação de aumento de limite do IAM com seu caso de uso e um aumento de sua função do IAM será considerado.

P: Para quais serviços uma função do IAM pode fazer chamadas?
Seu aplicativo pode fazer solicitações para todos os serviços da AWS compatíveis com sessões de função.

P: O que são funções do IAM para instâncias do EC2?
As funções do IAM para instâncias do EC2 permitem que seus aplicativos em execução no EC2 façam solicitações a serviços da AWS como Amazon S3, Amazon SQS e Amazon SNS, sem precisar copiar chaves de acesso da AWS para cada instância. Para ver detalhes, consulte Como usar funções do IAM para delegar permissões a aplicativos executados no Amazon EC2.

P: Quais são os recursos das funções do IAM para instâncias do EC2?

As funções do IAM para instâncias do EC2 fornecem os seguintes recursos:

  • Credenciais de segurança temporárias para serem usadas ao fazer solicitações de instâncias de EC2 em execução aos serviços da AWS.
  • Rodízio automático das credenciais de segurança temporárias.
  • Permissões de serviço granular da AWS para aplicativos sendo executados em instâncias do EC2.

P: Qual problema as funções do IAM para instâncias do EC2 resolvem?
As funções do IAM para instâncias do EC2 simplificam o gerenciamento e a implantação de chaves de acesso da AWS em instâncias do EC2. Usando esse recurso, você associa uma função do IAM a uma instância. Depois, sua instância EC2 fornecerá credenciais de segurança temporárias para aplicativos sendo executados na instância, e os aplicativos podem usar essas credenciais para fazer solicitações de forma segura aos recursos de serviços da AWS definidos na função.

P: Como faço para começar a usar as funções do IAM para instâncias do EC2?
Para iniciar com funções do IAM para instâncias do EC2, você:

  1. Cria uma função no IAM.
  2. Executa suas instâncias do EC2 com a função como um parâmetro de entrada.
  3. Usa as chaves de acesso da AWS de funções disponibilizadas na instância do EC2 em seu aplicativo ao fazer solicitações para serviços da AWS.

Para ver mais detalhes sobre as funções do IAM, consulte Using Roles to Delegate Permissions and Federate Identities no guia Using IAM. Para ver mais detalhes sobre o uso de funções do IAM com o EC2, consulte IAM Roles for Amazon EC2 no Amazon EC2 User Guide.

P: Posso usar a mesma função do IAM em várias instâncias do EC2?
Sim.

P: Posso alterar a função do IAM em uma instância do EC2 em execução?
Não. No momento, não é possível alterar a função do IAM em uma instância do EC2 em execução. Você pode alterar as permissões na função do IAM associadas a uma instância em execução, e as permissões atualizadas passarão a vigorar imediatamente.

P: Posso associar uma função do IAM a uma instância do EC2 já em execução?
Não. Você pode associar apenas uma função do IAM com uma instância do EC2.

P: Posso usar uma função do IAM com outros serviços que executem instâncias do EC2?
Sim. O Auto Scaling e o AWS CloudFormation também são compatíveis com funções do IAM. Outros serviços adicionarão suporte ao longo do tempo.

P: Posso associar uma função do IAM a um grupo Auto Scaling?
Sim. Você pode adicionar uma função do IAM como um parâmetro adicional em uma configuração de execução do Auto Scaling, bem como criar um grupo Auto Scaling com essa configuração de execução. Todas as instâncias do EC2 executadas em um grupo Auto Scaling, associado a uma função do IAM, serão executadas com a função como um parâmetro de entrada. Para ver mais detalhes, consulte What Is Auto Scaling? no Auto Scaling Developer Guide.

P: Posso associar mais de uma função do IAM a uma instância do EC2?
Não. No momento, você pode associar somente uma função do IAM a uma instância do EC2.

P: O que acontece se eu excluir uma função do IAM que está associada a uma instância do EC2 em execução?
Será negado o acesso imediatamente a qualquer aplicativo em execução naquela instância que esteja usando a função.

P: Posso controlar quais funções do IAM um usuário do IAM pode associar a uma instância do EC2?
Sim. Para ver detalhes, consulte Como usar funções do IAM para delegar permissões a aplicativos executados no Amazon EC2.

P: Quais permissões são necessárias para executar instâncias do EC2 com uma função do IAM?
Um usuário do IAM deve receber duas permissões distintas para executar com êxito instâncias do EC2 com funções:

  • Permissão para executar instâncias do EC2.
  • Permissão para associar uma função do IAM a instâncias do EC2.

P: Quem pode acessar as chaves de acesso na instância do EC2?
Qualquer usuário local na instância pode acessar as chaves de acesso associadas à função do IAM.

P: Como eu uso a função do IAM com meu aplicativo na instância do EC2?
Se você desenvolver seu aplicativo com o SDK da AWS, ele usará automaticamente as chaves de acesso da AWS que foram disponibilizadas na instância do EC2. Se você não estiver usando o SDK da AWS, poderá recuperar as chaves de acesso do Serviço de metadados da instância do EC2. Para ver detalhes, consulte Como usar funções do IAM para delegar permissões a aplicativos executados no Amazon EC2.

P: Como faço para alternar as credenciais de segurança temporárias na instância do EC2?
As credenciais de segurança temporárias da AWS associadas a uma função do IAM são automaticamente alternadas várias vezes por dia. Novas credenciais de segurança temporárias são disponibilizadas em até cinco minutos antes de as credenciais de segurança temporárias existentes expirarem.

P: Posso usar as funções do IAM para instâncias do EC2 com qualquer tipo de instância ou AMI?
Sim. As funções do IAM para instâncias do EC2 também funcionam no Amazon Virtual Private Cloud (VPC), com instâncias reservadas e spot.


P: O que são credenciais de segurança temporárias?
As credenciais de segurança temporárias são compostas pelo ID da chave de acesso da AWS, por uma chave de acesso secreta e um token de segurança. Elas são válidas por um período específico e para um conjunto específico de permissões. Às vezes, as credenciais de segurança temporárias são chamadas simplesmente de tokens. Os tokens podem ser solicitados para usuários do IAM ou para usuários federados que você gerencia no seu próprio diretório corporativo. Para obter mais informações, consulte Situações de concessão de acesso temporário.

P: Quais são os benefícios das credenciais de segurança temporárias?
As credenciais de segurança temporárias permitem:

  • Estender seus diretórios de usuário internos para permitir a federação para a AWS, possibilitando que seus funcionários e aplicativos acessem com segurança as APIs de serviço da AWS, sem precisar criar uma identidade da AWS para eles.
  • Solicitar credenciais de segurança temporárias para um número ilimitado de usuários federados.
  • Configure o período depois do qual as credenciais de segurança temporárias expiram, oferecendo segurança aprimorada ao acessar APIs de serviço da AWS por meio de dispositivos móveis onde há risco de perda do dispositivo.

P: Como posso solicitar credenciais de segurança temporárias para usuários federados?
Você pode chamar as APIs de STS GetFederationToken ou AssumeRole.

P: Como os usuários do IAM podem solicitar credenciais de segurança temporárias para uso próprio?
Os usuários do IAM podem solicitar credenciais de segurança temporárias para seu próprio uso chamando a API GetSessionToken do AWS STS. A expiração padrão dessas credenciais temporárias é de 12 horas, a mínima é de 1 hora e a máxima é de 36 horas.

As credenciais temporárias também podem ser usadas com acesso de API protegido por Multi-Factor Authentication (MFA).

P: Como as credenciais de segurança temporárias podem ser usadas para chamar APIs de serviço da AWS?
As credenciais de segurança temporárias são projetadas para exigir alterações mínimas de código para aplicativos que chamam APIs de serviços da AWS. Nenhuma alteração é necessária nas APIs de serviços da AWS:

  • Use AccessKeyID e SecretAccessKey para fazer solicitações de API do serviço da AWS como antes.
  • Transmita o token como um parâmetro adicional para toda a solicitação feita para as APIs de serviço da AWS. Para o Amazon S3: por meio do cabeçalho HTTP "x-amz- security-token". Para outros serviços da AWS: por meio do parâmetro SecurityToken.

P: Quais serviços da AWS aceitam credenciais de segurança temporárias?
Para obter uma lista de serviços compatíveis, consulte Serviços da AWS compatíveis com o AWS Security Token Service (STS).

P: Qual é o tamanho máximo da política de acesso que pode ser especificada ao solicitar credenciais de segurança temporárias (GetFederationToken ou AssumeRole)?
450 bytes compactados.

P: Uma credencial de segurança temporária pode ser revogada antes que expire?
Não. Ao solicitar credenciais temporárias, recomendamos o seguinte:

  • Quando criar credenciais de segurança temporárias, defina a expiração para um valor que seja apropriado para seu aplicativo.
  • Como as permissões de conta root não podem ser restritas, utilize um usuário do IAM e não a conta root para criar credenciais de segurança temporárias. Você pode revogar permissões de um usuário do IAM que emitiu a chamada original para solicitá-la. Essa ação revogará quase que imediatamente os privilégios de todas as credenciais de segurança temporárias emitidas por aquele usuário do IAM

P: As credenciais temporárias podem ser reativadas ou ter sua expiração estendida?
Não. Recomenda-se verificar sempre a expiração e solicitar uma nova credencial de segurança temporária antes que a antiga expire. Este processo de rodízio é gerenciado automaticamente para você quando as credenciais de segurança temporárias são usadas para funções de instâncias do EC2.

P: As credenciais de segurança temporárias têm suporte em todas as regiões?
Os clientes podem solicitar tokens de endpoints do AWS STS em todas as regiões, incluindo AWS GovCloud (EUA) e China (Pequim). As credenciais temporárias das regiões AWS GovCloud (EUA) e China (Pequim) podem ser usadas apenas na sua região de origem. Credenciais temporárias solicitadas em qualquer outra região, como Leste dos EUA ou UE (Irlanda), podem ser usadas em todas as regiões, exceto AWS GovCloud (EUA) e China (Pequim).

P: Posso restringir o uso de credenciais de segurança temporárias a uma região ou subconjunto de regiões?

Não. Não é possível restringir as credenciais de segurança temporárias a uma determinada região ou subconjunto de regiões, exceto as credenciais de segurança temporária das regiões AWS GovCloud (EUA) e China (Pequim), que podem ser usadas apenas nas regiões onde foram originadas.

P: O que preciso fazer antes de começar a usar um endpoint do AWS STS?

Endpoints do AWS STS nas regiões Leste dos EUA, AWS GovCloud (EUA) e China (Pequim) estão sempre ativos e você pode começar a usá-los sem qualquer ação adicional. Para outros endpoints da AWS STS em regiões como Oeste dos EUA (Oregon) ou UE (Irlanda), um administrador de contas deve antes ativar a região do AWS STS para a conta da AWS na página Account Settings do console do IAM.

P: O que acontece se eu tentar usar um endpoint regional do AWS STS que ainda não foi ativado para a minha conta da AWS?

Se você tentar usar um endpoint regional do AWS STS que ainda não foi ativado para a sua conta da AWS, obterá uma exceção AccessDenied do AWS STS com a seguinte mensagem: "AWS STS is not activated in this region for account: ID da conta. O seu administrador de contas pode ativar o AWS STS nesta região usando o console do IAM."

P: Quais permissões são necessárias para ativar ou desativar regiões do AWS STS na página Account Settings?

Somente usuários com permissão mínima de iam:* podem ativar ou desativar regiões do AWS STS na página Account Settings do console do IAM. Note que os endpoints do AWS STS nas regiões Leste dos EUA, AWS GovCloud (EUA) e China (Pequim) estão sempre ativos e não é possível desativá-los.

P: Posso usar a API ou a ILC para ativar ou desativar regiões do AWS STS?

Não. No momento, não há suporte à ativação ou desativação de regiões do AWS STS por meio de API ou ILC. Pretendemos oferecer suporte à API e à ILC em uma versão futura.


P: O que é federação de identidade?
A federação de identidades da web permite a criação de aplicativos móveis com tecnologia da AWS que usam provedores de identidade públicos (como Amazon Cognito, Login na Amazon, Facebook, Google ou qualquer provedor compatível com OpenID Connect) para autenticação. Com a federação de identidades da web, você tem uma maneira fácil de integrar o login de provedores de identidade públicos a seus aplicativos, sem necessidade de escrever qualquer código no servidor e sem distribuir credenciais de segurança da AWS de longo prazo com o aplicativo.

Para obter mais informações sobre a federação de identidades da web e começar a usá-la, consulte Creating Temporary Security Credentials for Mobile Apps Using Public Identity Providers no guia do AWS STS.

P: O que são usuários federados?
Usuários federados são usuários gerenciados fora da AWS no seu diretório corporativo, mas que recebem acesso à sua conta da AWS usando credenciais de segurança temporárias. Eles diferem dos usuários do IAM que são criados e mantidos na sua conta da AWS.

P: A AWS é compatível com o SAML?
Sim, a AWS é compatível com o Security Assertion Markup Language (SAML) 2.0.

P: Com quais perfis do SAML a AWS é compatível?
O endpoint do acesso único (single sign-on, SSO) da AWS é compatível com o perfil de provedor de identidade WebSSO iniciado por HTTP pós-vinculação do SAML. Isso permite a um usuário federado fazer o login no AWS Management Console usando uma asserção do SAML. Uma asserção do SAML também pode ser usada para solicitar credenciais de segurança temporárias usando a API AssumeRoleWithSAML. Para obter mais informações, consulte Criação de credenciais de segurança temporárias para a federação do SAML.

P: Os usuários federados podem acessar APIs da AWS?
Sim. Você pode solicitar credenciais de segurança temporárias para os usuários federados para lhes fornecer acesso seguro e direto às APIs da AWS. Fornecemos um aplicativo de exemplo que demonstra como você pode permitir a federação de identidade, fornecendo aos usuários mantidos pelo Microsoft Active Directory acesso às APIs de serviço da AWS. Para obter mais informações, consulte Uso de credenciais de segurança temporárias.

P: Os usuários federados podem acessar o AWS Management Console?
Sim. A concessão de acesso federado ao console usa credenciais de segurança temporárias como descrito em Acesso direto dos usuários federados ao AWS Management Console e a seção Acesso direto aos usuários federados ao AWS Management Console, no guia Uso de credenciais de segurança temporárias. Há algumas maneiras de obter isso.

Uma maneira é, por programação, solicitar credenciais de segurança temporárias (por exemplo, GetFederationToken ou AssumeRole) para seus usuários federados e incluindo essas credenciais como parte da solicitação de acesso ao AWS Management Console. Após autenticar um usuário e conceder-lhe credencial de segurança temporária, é possível gerar um token de sign-in que é usado para o endpoint de acesso único (single sign-on, SSO) da AWS. As ações do usuário são limitadas à política de controle de acesso associadas com as credenciais de segurança temporárias.

Alternativamente, você pode publicar uma asserção do SAML diretamente no sign-in da AWS (https://signin.aws.amazon.com/saml). As ações do usuário no console serão limitadas à política de controle de acesso associada com a função do IAM que é assumida usando a asserção do SAML. Para obter mais detalhes, consulte Acesso ao console usando o SAML.

O uso de qualquer uma das abordagens permitirá ao usuário o acesso ao console sem ter que efetuar o login com nome de usuário e senha. Fornecemos um aplicativo de exemplo que demonstra como você pode permitir a federação de identidades, fornecendo aos usuários mantidos pelo Microsoft Active Directory acesso ao AWS Management Console. Para mais detalhes, consulte também a seção Acesso direto dos usuários federados ao AWS Management Console no guia Uso de credenciais de segurança temporárias.

P: Quais serviços da AWS aceitam usuários federados?
A maioria dos serviços da AWS agora aceitam usuários federados. Para uma lista completa, consulte o Guia de uso de credenciais de segurança temporárias. Serviços adicionais da AWS oferecerão suporte a usuários federados ao longo do tempo.

P: Como posso controlar o que um usuário federado pode fazer quando conectado ao console?
Quando você solicita credenciais de segurança temporárias para seu usuário federado usando uma API AssumeRole, você pode opcionalmente incluir uma política de acesso com a solicitação. Os privilégios de usuário federado serão a intercessão de permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada à função do IAM que foi assumida. A política de acesso passada com a solicitação não pode elevar os privilégios associados com a função do IAM sendo assumida. Quando você solicita credenciais de segurança temporárias para seu usuário federado usando a API GetFederationToken, você deve fornecer uma política de controle de acesso com a solicitação. Os privilégios de usuário federado serão a intercessão das permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada ao usuário do IAM que foi usado para fazer a solicitação. A política de acesso passada com a solicitação não pode aumentar os privilégios associados com o usuário do IAM usado para fazer a solicitação. Essas permissões de usuário federado aplicam-se tanto ao acesso de API quanto às ações tomadas no AWS Management Console.

P: Quais permissões um usuário federado necessita para usar o console?
Um usuário solicitará permissões às APIs do serviço da AWS chamadas pelo AWS Management Console. Permissões comuns exigidas para acessar os serviços AWS são documentadas no Guia de uso de credenciais de segurança temporárias.

P: Como posso controlar por quanto tempo um usuário federado tem acesso ao console?
Dependendo da API usada para criar as credenciais de segurança temporárias, você pode especificar um limite de sessão entre 15 minutos e 36 horas (para GetFederationToken e GetSessionToken) e entre 15 e 60 minutos (para APIs AssumeRole), período em que o usuário federado pode acessar o console. Quando a sessão expirar, o usuário precisará solicitar uma nova sessão ao retornar para sua página da web, onde você pode lhe conceder um acesso.

P: O que acontece quando a sessão do console da federação de identidade expira?
Uma mensagem será exibida ao usuário esclarecendo que a sessão do console expirou e que ele precisa solicitar uma nova sessão. É possível especificar o URL para direcionar os usuários para sua página da intranet local onde podem solicitar uma nova sessão. Adicione esse URL quando especificar um emissor de parâmetros como parte de sua solicitação de sign-in. Para obter mais informações, consulte Acesso diretos de usuários federados ao AWS Management Console.

P: A quantos usuários federados posso conceder acesso ao AWS Management Console?
Não há limite ao número de usuários federados que podem ter acesso ao console.

P: O que é federação de identidade da web?
A federação de identidade da web permite a criação de aplicativos móveis com base na nuvem que usam provedores de identidade públicos como Amazon Cognito, Login with Amazon, Facebook ou Google para autenticação. Com a federação de identidade da web, você tem uma maneira fácil de integrar o login do Amazon.com, do Facebook ou do Google em seus aplicativos sem necessidade de escrever qualquer código do lado do servidor e sem necessidade de distribuir credenciais de segurança da AWS de longo prazo com o aplicativo.

Para obter mais informações sobre a federação de identidades da web e começar a usá-la, consulte Creating Temporary Security Credentials for Mobile Apps Using Public Identity Providers no guia do AWS STS.

P: Quais provedores de identidade são compatíveis com a federação de identidade da web?
A federação de identidades da web oferece suporte para Amazon Cognito, Login na Amazon, Facebook, Google e qualquer provedor compatível com OpenID Connect.

P: Vocês oferecem suporte para OpenID Connect?
Sim, a AWS oferece suporte para OpenID Connect.

P: Como faço para ativar a federação de identidades com contas de provedores de identidade públicos?
Veja a seguir as etapas básicas para ativar a federação de identidades usando um dos provedores de identidade da web compatíveis:

  1. Cadastre-se como desenvolvedor com o provedor de identidade.
  2. Na AWS, crie uma ou mais funções do IAM. Para provedores compatíveis com OpenID Connect, você também tem de criar um provedor de identidade no IAM.
  3. No aplicativo, autentique seus usuários usando o provedor de identidade público.
  4. No aplicativo, faça uma chamada sem assinatura para a API AssumeRoleWithWebidentity para solicitar credenciais de segurança temporárias.
  5. Usando as credenciais de segurança temporárias obtidas na resposta de AssumeRoleWithWebidentity, o aplicativo envia solicitações assinadas para as APIs da AWS.
  6. O aplicativo armazena as credenciais de segurança temporárias em cache para que não seja necessário obter novas credenciais todas as vezes que o aplicativo precisar enviar uma solicitação à AWS.

Para obter etapas mais detalhadas, consulte a seção Process for Using Web Identity Federation for Mobile Apps do AWS STS Guide.

P: Como a federação de identidades usando o AWS Directory Service difere do uso de uma solução de gerenciamento de identidades de terceiro?

Se você quer apenas que seus usuários federados possam acessar o Console de Gerenciamento da AWS, o uso do AWS Directory Service fornece funcionalidade semelhante em comparação com o uso de uma solução de gerenciamento de identidades de terceiro. Os usuários finais podem fazer login usando suas credenciais corporativas existentes e acessar o Console de Gerenciamento da AWS. Como o AWS Directory Service é um serviço gerenciado, os clientes não precisam configurar ou gerenciar a infraestrutura de federação. Eles precisam simplesmente criar um diretório do AD Connector para se integrar a seu diretório local. Se estiver interessado em fornecer a seus usuários federados acesso às APIs da AWS, por exemplo, usando o AWS Command Line Interface (CLI), você precisará usar uma solução de terceiro ou implantar seu próprio servidor de proxy.


P: O faturamento da AWS fornece decomposições agregadas de uso e custo por usuário?
Não, atualmente não é compatível.

P: Qual é o custo do serviço IAM?
Não, este é um recurso da conta da AWS fornecido gratuitamente.

P: Quem paga pelo uso incorrido pelos usuários em uma conta da AWS?
O proprietário da conta da AWS controla e é responsável pela utilização, pelos dados e recursos da conta.

P: A atividade do usuário faturável será registrada nos dados de uso da AWS?
Não no momento. Isso está planejado para um release futuro.

P: Como o IAM compara-se com o Faturamento consolidado?
O IAM e o Faturamento consolidado são recursos complementares. O Faturamento consolidado permite que você consolide o pagamento de várias contas da Amazon Web Services (AWS) dentro da sua empresa ao designar uma única conta de pagamento. O escopo do IAM não está relacionado ao Faturamento consolidado. Há um usuário na área de uma conta da AWS e não tem permissões nas contas vinculadas. Para obter mais detalhes, consulte o Guia de faturamento consolidado da AWS.

P: Um usuário pode acessar as informações de faturamento das contas da AWS?
Sim, mas somente se você permitir. Para que usuários do IAM acessem informações de faturamento, você precisa primeiro conceder acesso à Atividade da conta e/ou Relatórios de utilização. Consulte "Controle o acesso de usuários às informações de faturamento da sua conta da AWS".


P: Como funcionam as permissões?

Use políticas para atribuir permissões a usuários, grupos e funções do IAM. Por padrão, usuário, grupos e funções do IAM não têm permissões. O proprietário da conta ou um usuário do IAM com permissões suficientes deve usar uma política para conceder permissões a um usuário, grupo ou função do IAM.

P: Como atribuir permissões usando uma política?

Você pode atribuir permissões usando o Console de Gerenciamento da AWS, a API do IAM ou a ILC da AWS. O proprietário da conta e os usuários IAM que receberam as permissões necessárias podem criar políticas e assiná-las para usuários, grupos e funções do IAM. Há dois tipos de políticas no IAM: políticas em linha e políticas gerenciadas. Você pode usar os dois tipos para atribuir permissões a usuários, grupos e funções do IAM. Para obter mais informações sobre políticas gerenciadas e em linha, consulte Managed Policies and Inline Policies.

P: O que são políticas em linha?

As políticas em linha são as criadas juntamente com um usuário, grupo ou função do IAM. Para editar uma política em linha, você deve editar todos os usuários, grupos e funções do IAM onde está incorporada. Para obter informações sobre as políticas em linha, incluindo casos de uso, consulte Managed Policies and Inline Policies.

P: O que são políticas gerenciadas?

As políticas gerenciadas são políticas independentes que podem ser criadas, editadas e gerenciadas separadamente dos usuários, grupos e funções do IAM aos quais estão anexadas. Após anexar uma política gerenciada a vários usuários, grupos ou funções do IAM, você pode atualizar essa política em um lugar e a permissão será aplicada a todas as entidades anexadas. As políticas gerenciadas são gerenciadas por você (são denominadas políticas gerenciadas pelo cliente) ou pela AWS (´são denominadas políticas gerenciadas pela AWS). Para obter mais informações sobre políticas gerenciadas, consulte Managed Policies and Inline Policies.

P: Como definir facilmente as permissões mais usadas?

A AWS oferece um conjunto de permissões mais usadas que podem ser anexadas a usuários, grupos e funções do IAM na sua conta. Essas políticas são denominadas políticas gerenciadas pela AWS. Um exemplo, é acesso somente leitura ao Amazon S3. Quando a AWS atualiza essas políticas, as permissões são automaticamente aplicadas aos usuários, grupos e funções aos quais a política está anexada. As políticas gerenciadas pela AWS aparecem automaticamente na seção Policies do console do IAM. Quando você atribui permissões, pode usar uma política gerenciada pela AWS ou criar uma nova política gerenciada pelo cliente com base em uma política gerenciada pela AWS já existente. Essa funcionalidade somente está disponível para políticas gerenciadas e substitui o recurso de modelo de política. Quando você cria uma política em linha, pode usar o gerador de políticas ou criar uma política manualmente.

P: Como funcionam as permissões baseadas em grupo?

Você pode usar grupos do IAM para atribuir o mesmo conjunto de permissões a vários usuários do IAM.

P: Qual é a diferença entre a atribuição de permissões usando grupos do IAM e a atribuição de permissões usando políticas gerenciadas?

Você pode usar grupos do IAM para agrupar usuários do IAM e definir permissões comuns para esses usuários. É possível usar políticas gerenciadas para compartilhar permissões entre usuários, grupos e funções do IAM. Por exemplo, se você quer que um grupo de usuários seja capaz de lançar uma instância do Amazon EC2 e que a função dessa instância tenha as mesmas permissões dos usuários no grupo, pode criar uma política gerenciada e atribuí-la ao grupo de usuários e à função dessa instância do Amazon EC2.

P: Como as políticas do IAM são avaliadas juntamente com as políticas baseadas em recursos dos serviços Amazon S3, Amazon SQS, Amazon SNS e AWS KMS?

As políticas do IAM são avaliadas juntamente com as políticas baseadas em recursos dos serviços. Se uma política de qualquer tipo concede acesso (sem negá-lo explicitamente), a ação é permitida. Para obter mais informações sobre a lógica de avaliação de políticas, consulte IAM Policy Evaluation Logic

P: Posso usar políticas gerenciadas como uma política baseada em recursos?

As políticas gerenciadas podem ser anexadas apenas a usuários, grupos ou funções do IAM e não podem ser usadas como políticas baseadas em recursos.

P: Posso conceder permissões a usuários do IAM para acessar ou alterar informações de contas (por exemplo, modo de pagamento, endereço de e-mail de contato e histórico de faturamento)?

Sim, é possível delegar a capacidade de visualizar dados de faturamento da AWS e modificar informações da conta da AWS a um usuário ou usuário federado do IAM. Para obter mais informações sobre como controlar o acesso às informações de faturamento, consulte Controlling Access to Your Billing Information.

P: Quem pode criar e gerenciar chaves de acesso em uma conta da AWS?

Somente o proprietário da conta da AWS pode gerenciar as chaves de acesso para a conta raiz. O proprietário da conta e os usuários ou funções do IAM que receberam as permissões necessárias podem gerenciar as chaves de acesso para os usuários do IAM.

P: Os usuários de uma conta da AWS podem acessar recursos pertencentes a outra conta da AWS?
Sim. Usando funções do IAM, usuários e usuários federados do IAM podem acessar recursos em outra conta da AWS por meio do Console de Gerenciamento da AWS, da ILC da AWS ou das APIs. Consulte Manage IAM Roles para obter mais informações.


P: O que é o simulador de políticas do IAM?
O simulador de políticas do IAM é uma ferramenta que possibilita a você testar os efeitos das políticas de controle de acesso do IAM antes de aplicá-las na produção.

P: Qual problema o simulador de políticas resolve?
O simulador de políticas facilita a verificação e a solução de problemas de permissões. Anteriormente, você precisava escrever as políticas e colocá-las em produção antes de pode testar seus efeitos.

P: Quem pode usar o simulador de políticas?
O simulador de políticas está disponível para todos os clientes da AWS.

P: Qual é o custo do simulador de políticas?
O simulador de políticas está disponível sem custo extra.

P: Como faço para começar?
Acesse https://policysim.aws.amazon.com ou clique no link no console do IAM em “More to Explore”. Escolha ou insira a política que gostaria de avaliar, selecione as ações na lista de serviços da AWS e clique em um botão para simular se a política permitirá ou negará permissões para determinadas ações. Para saber mais sobre o simulador de políticas do IAM, assista ao nosso vídeo de introdução ou vá diretamente para a documentação.

P: Que tipos de políticas são compatíveis com o simulador de políticas?
O simulador de políticas é compatível com o teste de políticas recém-inseridas e políticas existentes, relacionadas a usuários, grupos ou funções. Você também pode simular se as políticas de nível de recursos concedem acesso a um recurso específico. O simulador de políticas não é compatível com políticas baseadas em recursos, ou seja, políticas diretamente relacionadas a buckets do S3, filas do SQS e tópicos do SNS.

P: Se eu alterar uma política no simulador de políticas, essas alterações persistem na produção?
Não. Para aplicar alterações à produção, copie a política que você modificou no simulador de políticas e conecte-a ao usuário, grupo ou função do IAM desejada.

P: O simulador de políticas será integrado ao console?
Sim, isso está planejado para um release futuro.


P: Como um usuário efetua login?
Um usuário precisa fazer login em um URL de login da conta com o nome de usuário e a senha do usuário do IAM. Este URL de login está localizado no Painel de controle do console do IAM e deve ser comunicado ao usuário do IAM pelo administrador de sistemas da conta da AWS.

P: O que é um apelido da conta da AWS?
O apelido da conta é um nome definido para torná-lo mais conveniente para identificar a conta. Você pode criar um apelido usando APIs do IAM, Ferramentas de linha de comando ou por meio do console do IAM. É possível ter um apelido por conta da AWS.

P: O usuário sempre tem que usar o link direto?
Na primeira vez em que os usuários fizerem login, eles deverão usar o URL específico da conta. Depois disso, o URL específico da conta será armazenado como uma preferência, como um cookie do navegador do usuário. Isso ajuda o usuário a retornar para http://aws.amazon.com e clique no link "Cadastre-se no AWS Management Console" para efetuar login. Se o usuário apagar os cookies do navegador ou usar um navegador diferente, então deverá inserir novamente o URL específico da conta.

P: Quais sites da AWS meus usuários podem acessar?
Os usuários pode fazer login nos seguintes sites da AWS:

P: Os usuários podem efetuar login em sites de vendas da Amazon?
Não. Os usuários criados com o IAM são reconhecidos somente pelos serviços e aplicativos da AWS.

P: Há uma API de autenticação para verificar os logins dos usuários?
Não. Não há uma forma programática para verificar logins de usuário.

P: Os usuários podem atribuir SSH a instâncias do EC2 usando seu nome de usuário e senha da AWS?
Não. As credenciais de segurança criadas com o IAM não são compatíveis com a autenticação direta para instâncias do EC2 do cliente. O gerenciamento de credenciais SHH do EC2 é de responsabilidade do cliente no console do EC2.


P: O que acontecerá se um usuário tentar acessar um serviço que ainda não tiver sido integrado ao IAM?
O serviço retornará um erro de "acesso negado".

P: As ações do AWS Identity and Access Management são registradas para fins de auditoria?
Sim. Você pode registrar ações do IAM, ações do STS e cadastros no AWS Management Console ativando o AWS CloudTrail. Você pode saber mais sobre registro da AWS visitando a página do CloudTrail.

P: Há alguma distinção entre pessoas e agentes de software como entidades da AWS?
Não, as duas entidades são tratadas como usuários com credenciais de segurança e permissões. No entanto, somente as pessoas usam senha no AWS Management Console.

P: Os usuários trabalham com o AWS Support Center and Trusted Advisor?
Sim, os usuários do IAM podem criar e modificar casos de suporte, bem como usar o Trusted Advisor.

P: Há limites de cota padrão associados ao IAM?
Sim, por padrão, sua conta da AWS tem cotas iniciais definidas para todas as entidades relacionadas ao IAM. Para saber mais detalhes, consulte "Limitações em entidades IAM".

Essas cotas estão sujeitas a cobranças. Se você precisa de um aumento, poderá usar o formulário de Aumento de limite de serviço na página Entre em contato conosco e selecionar "Grupos e usuários do AWS IAM".

P: O que é a AWS MFA?
A AWS Multi-Factor Authentication (AWS MFA) fornece um nível extra de segurança que pode ser aplicado ao seu ambiente AWS. É possível habilitar a AWS MFA para a sua conta AWS e para usuários individuais do AWS Identity and Access Management (IAM) que você tenha criado em sua conta.

P: Com funciona a AWS MFA?
A AWS MFA usa um dispositivo de autenticação que gera de forma contínua códigos de autenticação aleatórios, de seis dígitos, para um único uso. Há duas formas principais para autenticação usando um dispositivo AWS MFA:

Usuário do AWS Management Console: Com a AWS MFA habilitada, quando um usuário fizer login em um site AWS, serão solicitados seu nome de usuário e senha (o primeiro fator – o que eles sabem) e um código de autenticação do seu dispositivo de AWS Autenticação multifator (MFA) (o segundo fator – o que eles têm). Todos os sites da AWS que exigem cadastro, como o AWS Management Console, são integrados com AWS MFA. Você também pode usar a AWS MFA em conjunto com a capacidade de exclusão segura do Amazon S3 para proteção adicional das suas versões armazenadas do Amazon S3.

Usuários de API da AWS: É possível aplicar a autenticação MFA adicionando restrições relacionadas à MFA em políticas do IAM. Para acessar APIs e recursos protegidos dessa forma, os desenvolvedores podem usar credenciais temporárias de segurança e fornecer parâmetros opcionais de MFA em suas solicitações de API do AWS Security Token Service (STS) (o serviço que concede credenciais temporárias de segurança. As credenciais temporárias de segurança validadas por MFA podem ser usadas para acionar recursos e APIs protegidos por MFA.

P: Como obtenho a AWS MFA?
Siga esses dois passos simples:

Adquira um dispositivo de autenticação. Você tem duas opções:

– Você pode comprar na Gemalto um dispositivo de hardware compatível com a AWS MFA.
– Você pode instalar um aplicativo compatível com a AWS MFA em um dispositivo, como o seu smartphone.

Visite a página da MFA para obter mais detalhes de como adquirir um dispositivo de hardware ou um dispositivo de MFA virtual.

Assim que você tiver o dispositivo de autenticação, você deve ativá-lo. Você ativa um dispositivo de AWS MFA para a sua conta AWS ou os usuários do IAM no console IAM. Você também pode usar o IAM CLI para ativá-lo para um usuário do IAM.

P: Existe uma taxa associada ao uso da AWS MFA?
A AWS não cobra qualquer taxa adicional para o uso da AWS MFA com sua conta AWS. Entretanto, se você quiser usar um dispositivo físico de autenticação, você precisará adquirir um dispositivo de autenticação que seja compatível com a AWS MFA da Gemalto. Para mais detalhes, visite o site da Gemalto.

P: Posso ter vários dispositivos de autenticação ativos em minha conta AWS?
Sim. Com a introdução da AWS Identity and Access Management (IAM), cada usuário IAM pode ter seu próprio dispositivo de autenticação.

P: Posso usar meu dispositivo de autenticação com várias contas AWS?
Não. O dispositivo de autenticação está vinculado a uma conta da AWS ou usuário do IAM individual. Se você tiver um aplicativo compatível com TOTP instalado no seu smartphone, poderá criar vários dispositivos de MFA virtuais no mesmo smartphone. Cada um dos dispositivos de MFA virtuais está vinculado a uma conta da AWS ou usuário do IAM individual, da mesma forma que um dispositivo de hardware. Se você dissociar (desativar) o dispositivo de autenticação, poderá reutilizá-lo com outra conta da AWS ou usuário do IAM. O dispositivo de autenticação não pode ser usado com mais de uma conta da AWS ou usuário do IAM simultaneamente.

P: Eu já tenho um dispositivo de hardware de autenticação do meu local de trabalho ou de outro serviço de que uso, posso reutilizar este dispositivo com a AWS MFA?
Não. A AWS MFA é baseada no reconhecimento de um segredo exclusivo associado a um dispositivo de autenticação para poder suportar seu uso. Devido as restrições de segurança que exigem que esses segredos nunca sejam compartilhadas entre várias partes, a AWS MFA não pode oferecer suporte ao uso do dispositivo de autenticação de hardware existente. Apenas um dispositivo de autenticação de hardware compatível adquirido da Gemalto pode ser usado com o AWS MFA.

P: Tenho dificuldades com um pedido de um dispositivo de autenticação usando o site do distribuidor terceirizado Gemalto. Onde posso solicitar ajuda?
O serviço de atendimento ao cliente da Gemalto terá prazer em ajudá-lo.

P: Recebi através da Gemalto um dispositivo de autenticação defeituoso ou danificado. Onde posso solicitar ajuda?
O serviço de atendimento ao cliente da Gemalto terá prazer em ajudá-lo.

P: Acabo de receber da Gemalto o dispositivo de autenticação. O que devo fazer?
Você simplesmente precisa ativar o dispositivo de autenticação para habilitar a AWS MFA para sua conta AWS. Clique aqui para usar o console do IAM para realizar a tarefa.

P: O que é um dispositivo de MFA virtual?
Um dispositivo de MFA virtual é uma entrada criada em um TOTP de software aplicativo compatível que pode gerar códigos de autenticação de seis dígitos. O aplicativo pode ser executado em qualquer dispositivo de hardware, como um smartphone.

P: Quais são as diferenças entre um dispositivo de MFA virtual e um dispositivo de MFA físico?
Dispositivos de MFA virtuais usam os mesmos protocolos que os dispositivos de MFA físicos. Dispositivos de MFA virtual são baseados em software e podem ser executados em seus dispositivos existentes como o seu smartphone. A maioria dos aplicativos de MFA virtual também permitem que você habilite mais de um dispositivo de MFA virtual que os torna mais conveniente do que dispositivos de MFA físicos.

P: Que aplicativos MFA virtual são compatíveis com a AWS MFA?
Aplicativos que geram TOTP códigos de autenticação compatíveis, como o aplicativo AWS MFA Virtual, podem ser usados com a AWS MFA. Oferecemos suporte ao provisionamento de dispositivos de MFA virtual que pesquisam automaticamente um código QR com a câmera de dispositivos ou via entrada manual de semente no aplicativo de MFA virtual.

Visite a página da MFA para obter uma lista de aplicativos compatíveis de MFA virtual.

P: O que é um código QR?
Código QR é uma abreviação para Quick response code (código de resposta rápida) e é um código de barras bidimensional que pode ser reconhecido por leitores dedicados de código de barras QR e pela a maioria dos telefones com câmera. O código consiste de módulos pretos dispostos em padrões quadrados sobre um fundo branco. O código QR ​​contém as informações de configuração de segurança necessárias para configurar um dispositivo de MFA virtual em seu aplicativo de MFA virtual.

P: Como provisionar o novo dispositivo de MFA virtual?
Um novo dispositivo de MFA virtual pode ser configurado no console IAM para os usuários do IAM, bem como para sua conta AWS. Você também pode usar o comando iam-virtualmfadevicecreate no IAM CLI ou a API CreateVirtualMFADevic para configurar novos dispositivos de MFA virtual na sua conta. O iam-virtualmfadevicecreate e a API CreateVirtualMFADevice retornam as informações de configuração necessárias, chamadas de semente, para a inicialização do dispositivo de MFA virtual em seu aplicativo compatível AWS MFA. Você pode conceder aos seus usuários IAM as permissões para chamar essa API diretamente ou realizar o provisionamento inicial para eles.

P: Como devo manipular e distribuir o material de semente para dispositivos de MFA virtual?
Você deve tratar as sementes como qualquer outro segredo (por exemplo chaves secretas AWS e senhas).

P: Como habilitar um usuário do IAM para gerenciar dispositivos de MFA virtual com a minha conta?
Conceda ao usuário do IAM a permissão para chamar a API CreateVirtualMFADevice. Esta API pode ser usada para configurar novos dispositivos de AMF virtual.

P: Onde habilito a AWS MFA?
Você pode habilitar uma AWS MFA para uma conta da AWS e seus usuários do IAM no console do IAM, com as CLI do IAM ou por meio de chamadas API.

P: Que informação será necessária para ativar meu dispositivo de autenticação?
Se você está ativando o dispositivo de AMF com o console IAM, você precisará apenas do dispositivo. Se você estiver usando a IAM CLI ou a API do IAM, você precisará do seguinte:

1. O número de série do dispositivo de autenticação. O número de série é diferente para um dispositivo de hardware ou um dispositivo virtual:

– Dispositivo de MFA de hardware: O número de série na etiqueta de código de barras na parte de trás do dispositivo.
– Dispositivo de MFA virtual: O número de série é o valor retornado ao executar o comando iam-virtualmfadevicecreate nas CLI do IAM. ou ao chamar a API CreateVirtualMFADevice.

2. Dois códigos consecutivos de autenticação exibidos pelo dispositivo de autenticação.

P: Meu dispositivo de autenticação parece estar funcionando normalmente, mas não consigo ativá-lo. O que devo fazer?
Entre em contato conosco para obter ajuda.

P: Se eu habilitar o AWS MFA para minha conta da AWS ou para meus usuários do IAM, eles sempre precisarão usar um código de autenticação para entrar em todas as propriedades da AWS?
Sim. AWS suporta o Single Sign-On (SSO) que significa que quando você entra em qualquer site AWS você entra em todos os sites AWS. Isto significa que se sua conta AWS ou qualquer um dos seus usuários IAM tem um dispositivo de MFA atribuído a eles, os mesmos são obrigados a usar sempre este dispositivo ao entrar.

P: Se eu habilitar a AWS MFA para minha conta AWS ou meus usuários do IAM, sempre precisarei usar um código de autenticação para entrar no portal AWS ou AWS Management Console?
Sim. A conta AWS e seus usuários IAM precisarão ter seu dispositivo de MFA à mão sempre que for preciso entrar em qualquer site AWS.

Se o dispositivo de autenticação associado à conta AWS for danificado, perdido, roubado ou parar de funcionar, você precisará entrar em contato conosco para obter ajuda com a desabilitação da AWS MFA da conta. Isso lhe dará acesso temporário à AWS usando apenas o nome de usuário e a senha da conta AWS.

Se o dispositivo de autenticação dos usuários do IAM for perdido, danificado, roubado ou parar de funcionar, você mesmo poderá desativar a AWS MFA usando o console IAM ou o IAM CLI.

P: Se eu habilitar a AWS MFA para minha conta AWS ou meus usuários do IAM, eles sempre precisarão inserir um código de MFA para acionar diretamente APIs da AWS?
Não, é opcional. No entanto, você precisará inserir um código de MFA se pretende acionar APIs seguras por acesso à API protegido por MFA.

Se você estiver acionando APIs da AWS usando sua conta root ou chaves de acesso de usuário do IAM, não precisará inserir um código de MFA. Por motivos de segurança, a AWS recomenda remover chaves de acesso de sua conta root e acionar APIs da AWS com usuários do IAM.

P: Como entrar no portal AWS e no AWS Management Console usando o meu dispositivo de autenticação?
Siga esses dois passos:

Se você estiver entrando em uma conta AWS, entre normalmente com seu nome de usuário e senha quando solicitado. Para entrar como um usuário IAM, use a URL específica da conta e forneça seu nome de usuário e senha quando solicitado.

Na página seguinte, digite o código de autenticação de seis dígitos que aparece em seu dispositivo de autenticação.

P: A AWS MFA afeta o meu acesso às APIs de serviço da AWS?
A AWS MFA mudará a forma como os usuários do IAM acessam APIs do Serviço da AWS somente se os administradores de conta escolherem habilitar o acesso à API protegido por MFA. Os administradores podem habilitar esse recurso para adicionar uma camada extra de segurança no acesso a APIs importantes ao exigir que os chamadores façam a autenticação com um dispositivo AWS MFA. Para obter mais informações, consulte a documentação de acesso à API protegido por MFA em mais detalhes.

Outras exceções incluem S3 PUT Bucket versioning, GET Bucket versioning e DELETE Object, que permitem que você exija que a exclusão ou a alteração do estado de versionamento de seu bucket use um código de autenticação adicional. Para obter mais informações consulte a documentação do S3 Configurando um bucket com a MFA excluída que discute esse assunto mais detalhadamente.

Para todos os outros casos, no momento a AWS MFA não alterará a forma como você acessa APIs de serviço da AWS.

P: Posso utilizar um código de autenticação mais de uma vez?
Não. Por razões de segurança, cada código de autenticação pode ser usado apenas uma vez.

P: Recentemente foi solicitada a ressincronização do meu dispositivo de autenticação porque meus códigos de autenticação estavam sendo rejeitados. Eu deveria me preocupar?
Não, isso pode acontecer ocasionalmente. Depende do relógio de seu dispositivo de autenticação estar sincronizado com o relógio em nossos servidores. Às vezes, devido a fatores ambientais, como temperatura, umidade e pressão, esses relógios podem oscilar. Se isso acontecer, quando você usar o dispositivo de autenticação para acessar as páginas protegidas no site da AWS ou no AWS Management Console, tentaremos automaticamente ressincronizar o dispositivo de autenticação, solicitando que você forneça dois códigos de autenticação consecutivas (assim como você fez durante a ativação).

P: Meu dispositivo de autenticação parece estar funcionando normalmente, mas não consigo usá-lo para entrar no portal AWS ou no AWS Management Console. O que devo fazer?
Sugerimos que tente ressincronizar o dispositivo de autenticação neste link, caso o seu dispositivo da MFA proteja a credencial raiz (requer login), ou neste link para as suas credenciais de usuário do IAM. Se você já tentou ressincronizar e ainda está tendo dificuldades para entrar, entre em contato conosco para obter ajuda.

P: Perdi meu dispositivo de autenticação, ele foi danificado ou roubado e agora não posso entrar no portal AWS ou no AWS Management Console. O que devo fazer?
Se o dispositivo de autenticação for associado a uma conta AWS, siga estes passos:

Entre em contato conosco para obter ajuda com a desabilitação da AWS MFA, assim você conseguirá acesso temporário às páginas protegidas no site da AWS e ao AWS Management Console usando apenas seu nome de usuário e senha.

Caso o seu dispositivo de autenticação tenha sido roubado, altere sua senha da Amazon. Alguém não autorizado pode estar com a sua senha atual.

Adquira um novo dispositivo de autenticação por meio do distribuidor autorizado Gemalto usando seu site ou configurando um novo dispositivo MFA virtual em sua conta usando o console IAM.

Após a conclusão dos passos acima, use o console IAM para ativar o dispositivo de autenticação para reabilitar a AWS MFA para sua conta AWS.

Se o dispositivo de autenticação está associado com um usuário IAM, você pode usar o console IAM, IAM CLI ou a API IAM para remover o dispositivo de MFA para o usuário IAM.

P: Meu dispositivo de autenticação parou de funcionar e agora não posso entrar no portal AWS ou no AWS Management Console. O que devo fazer?
Se o dispositivo físico de autenticação for associado a uma conta AWS, siga estes passos:

Entre em contato conosco para obter ajuda com a desabilitação da AWS MFA, assim você conseguirá acesso temporário às páginas protegidas no site da AWS e ao AWS Management Console usando apenas seu nome de usuário e senha.

Entre em contato com a Gemalto para obter assistência para o dispositivo de autenticação.

Assim que você tiver outro dispositivo de autenticação, volte ao site AWS e ative o dispositivo de autenticação para reabilitar a MFA AWS para sua conta AWS, como antes.

Se o dispositivo de autenticação está associado com um usuário IAM, entre em contato com quem lhe deu o nome de usuário e senha para o usuário IAM.

P: Como desabilito a AWS MFA?
Para desabilitar a MFA AWS em sua conta AWS, você precisará desativar seu dispositivo de autenticação usando a página de Credenciais de segurança. Para desabilitar a AWS MFA para seus usuários do IAM, você precisará usar o console IAM ou o IAM CLI. Atualmente, os usuários do IAM não têm autonomia para desabilitar a AWS MFA.

P: Posso usar a AWS MFA no GovCloud?
Sim, você pode usar a MFA virtual da AWS no GovCloud. No momento, a AWS não oferece suporte a dispositivos de hardware de MFA no GovCloud.

P: O que é o acesso à API protegido por MFA?
O acesso à API protegido por MFA é uma funcionalidade opcional, que permite que administradores de contas apliquem autenticação adicional para APIs especificadas por clientes ao exigir que os usuários comprovem a posse física de um dispositivo de MFA. Especificamente, ele permite que os administradores incluam condições em suas políticas do IAM, que exijam a autenticação de MFA para APIs selecionadas. Os usuários fazendo chamadas para essas APIs deverão primeiro ter inserido um código de MFA válido mostrado em seus dispositivos.

P: Qual problema o acesso à API protegido por MFA resolve?
Anteriormente, os clientes podiam exigir MFA para acesso ao AWS Management Console, mas não podiam aplicar requisitos de MFA para desenvolvedores e aplicativos interagindo diretamente com APIs de serviço da AWS. O acesso à API protegido por MFA garante que as políticas do IAM sejam universalmente aplicadas, independentemente do caminho de acesso. Consequentemente, agora você pode desenvolver seu próprio aplicativo que usa a AWS e solicitar ao usuário autenticação de MFA antes de acionar APIs avançadas ou acessar recursos importantes.

P: Como faço para começar a usar o acesso à API protegido por MFA?
Você pode começar o uso em duas etapas simples:

  1. Atribua um dispositivo de MFA aos seus usuários do IAM. Você pode comprar um chaveiro de hardware ou baixar um aplicativo gratuito compatível com TOTP para seu smartphone, tablet ou computador. Consulte a página de detalhes da MFA para saber mais sobre dispositivos AWS MFA.
  2. Habilite o acesso à API protegido por MFA ao criar políticas de acesso para os usuários do IAM e/ou grupos do IAM dos quais você quer exigir a autenticação de MFA. Isso pode ser realizado no Console do IAM, na CLI do IAM ou na API do IAM. Para saber mais sobre a sintaxe da linguagem de políticas de acesso, consulte a documentação sobre a linguagem de políticas de acesso.

P: Como os desenvolvedores e usuários acessam APIs e recursos seguros com o acesso à API protegido por MFA?
Os desenvolvedores e usuários interagem com o acesso à API protegido por MFA no AWS Management Console e nas APIs.

No AWS Management Console, qualquer usuário do IAM habilitado com MFA deverá realizar a autenticação com seu dispositivo para se cadastrar. Os usuários que não tiverem MFA não receberão acesso a recursos e APIs protegidos por MFA.

No nível de API, os desenvolvedores podem integrar a AWS MFA em seus aplicativos para solicitar que os usuários façam a autenticação usando seus dispositivos de MFA atribuídos antes de acionarem APIs avançadas ou acessar recursos importantes. Os desenvolvedores habilitam essa funcionalidade adicionando parâmetros opcionais de MFA (número de série e código de MFA) a solicitações de obtenção de credenciais temporárias de segurança (essas solicitações também são chamadas de “solicitações de sessão”). Se os parâmetros forem válidos, as credenciais temporárias de segurança que rastreiam o status de MFA serão retornadas. Consulte a documentação sobre credenciais de segurança temporárias para obter mais informações.

P: Quem pode usar o acesso à API protegido por MFA?
O acesso à API protegido por MFA está disponível gratuitamente para todos os clientes da AWS.

P: Com quais serviços o acesso à API protegido por MFA funciona?
O acesso à API protegido por MFA é compatível com todos os serviços da AWS compatíveis com credenciais temporárias de segurança. Para obter uma lista de serviços compatíveis, consulte a documentação de credenciais temporárias de segurança.

P: O que ocorre se um usuário fornecer informações incorretas de dispositivo de MFA ao solicitar credenciais temporárias de segurança?
A solicitação de emissão de credenciais temporárias de segurança falhará. As solicitações de credenciais temporárias de segurança que especificam parâmetros de MFA devem fornecer o número de série correto do dispositivo vinculado ao usuário do IAM, bem como um código válido de MFA.

P: O acesso à API protegido por MFA controla o acesso à API para contas root?
Não, o acesso à API protegido por MFA controla somente o acesso para usuários do IAM. As contas root não são vinculadas por políticas do IAM. É por isso que a AWS recomenda que você crie usuários do IAM para interagir com APIs do serviço da AWS em vez de usar credenciais de conta root.

P: Os usuários precisam ter um dispositivo de MFA atribuído a eles para usar o acesso à API protegido por senha?
Sim, um usuário deve primeiro ser atribuído a um dispositivo de hardware de MFA ou virtual exclusivo.

P: O acesso de API protegido por MFA é compatível com objetos do S3, filas do SQS e tópicos do SNS?
Sim.

P: Como o acesso à API protegido por MFA interagirá com casos de uso de MFA existentes, como S3 MFA Delete?
O acesso à API protegido por MFA e o S3 MFA Delete não interagem entre si. Atualmente, o S3 MFA Delete não é compatível com credenciais temporárias de segurança. Em vez disso, o acionamento da API do S3 MFA Delete API deve ser feito com chaves de acesso de longo prazo.

P: O acesso à API protegido por MFA funciona no GovCloud?
Sim.

P: O acesso à API protegido por MFA funciona para usuários federados?
Os clientes não poderão usar o acesso à API protegido por MFA para controlar o acesso de usuários federados. A API GetFederatedSession não aceita parâmetros de MFA. Como os usuários federados não podem realizar a autenticação com dispositivos AWS MFA, eles não poderão acessar recursos designados usando o acesso à API protegido por MFA.