P: O que é o AWS Identity and Access Management (IAM)?
Você pode usar o IAM para controlar de modo seguro o acesso individual e de grupo aos seus recursos da AWS. É possível criar e gerenciar identidades de usuário ("usuários do IAM") e conceder permissões para esses usuários do IAM acessarem seus recursos. Você também pode conceder permissões para usuários fora da AWS ("usuários federados").

P: Como faço para começar a usar o IAM?
Depois que você tiver se cadastrado na AWS, poderá criar usuários e grupos e lhes atribuir permissões de acesso a seus recursos da AWS. Você pode usar o console do IAM (para acesso baseado na web), as CLI do IAM (para acessos pela linha de comando) ou a API ou SDKs (para acesso programático). Para conceder permissões, você pode criar documentos de política que são anexados a usuários, grupos ou outras entidades. Assista ao vídeo "Getting Started with IAM."

P: Qual problema o IAM soluciona?
O IAM facilita o fornecimento a vários usuários de acesso seguro à conta e aos recursos da AWS. O IAM permite que você:

  • Gerencie usuários do IAM e seus acessos – você pode criar usuários no sistema de gerenciamento de identidade da AWS, designar credenciais de segurança individuais a usuários (por exemplo, chaves de acesso, senha, dispositivos de autenticação multifator) ou solicitar credenciais de segurança temporárias para lhes fornecer acesso aos serviços e recursos da AWS. É possível gerenciar permissões para controlar quais operações um usuário pode desempenhar.
  • Gerencie acesso para usuários federados – você pode solicitar credenciais de segurança com expirações configuráveis para usuários gerenciados no diretório corporativo, fornecendo aos funcionários e aplicativos acesso seguro aos recursos na conta da AWS, sem criar um usuário do IAM. Especifique as permissões para essas credenciais de segurança para controlar quais operações um usuário pode desempenhar.

P: Quem pode usar o IAM?
Qualquer cliente da AWS pode usar o IAM. O serviço é oferecido gratuitamente. Você será cobrado somente pelo uso de outros serviços da AWS utilizados pelos usuários.

P: O que é um usuário?
Um usuário é uma identidade exclusiva reconhecida pelos serviços e aplicativos da AWS. Semelhante a um usuário de login em um sistema operacional como Windows ou UNIX, um usuário tem um nome exclusivo e pode se identificar usando credenciais de segurança familiares, como senha ou Chave de acesso. Um usuário pode ser um indivíduo, sistema ou aplicativo exigindo acesso a serviços da AWS. O IAM oferece suporte a usuários gerenciados no sistema de gerenciamento de identidades da AWS (mencionado como "usuários do IAM") e também permite que você conceda acesso a recursos da AWS para usuários geridos fora da AWS no diretório corporativo (mencionado como "usuários federados").

P: O que um usuário é capaz de fazer?
Um usuário pode fazer solicitações para serviços da Web como Amazon S3 e EC2. A capacidade do usuário de acessar APIs do serviço da Web está sob controle e responsabilidade da conta da AWS sob a qual está definida – um usuário pode obter permissão para acessar qualquer ou todos os serviços da AWS que foram integrados ao IAM e para os quais a conta da AWS foi inscrita. Se for permitido, um usuário terá acesso a todos os recursos na conta da AWS. Além disso, se a conta da AWS tiver acesso a recursos de uma conta diferente da AWS, então seus usuários poderão acessar os dados nessas contas da AWS. Quaisquer recursos da AWS criados por um usuário estão sob controle e são pagos pela sua conta da AWS. Um usuário não pode se inscrever independentemente nos serviços ou recursos de controle da AWS.

P: Como os usuários podem chamar os serviços da AWS?
Os usuários podem fazer solicitações a serviços da AWS usando credenciais de segurança. A capacidade de um usuário de chamar serviços da AWS é regida por permissões explícitas – como padrão, eles não têm capacidade de chamar APIs de serviço em nome da conta.

P: Como faço para começar a usar o IAM?
Para começar a usar o IAM, você deve se inscrever em pelo menos um dos serviços da AWS que foi integrado ao IAM. Em seguida, você pode criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, Ferramentas de linha de comando ou por meio do console do IAM, que fornece uma interface baseada na Web do tipo apontar e clicar. Também é possível usar o AWS Policy Generator para criar políticas.


P: Como os usuários do IAM são gerenciados?
O IAM é compatível com vários métodos para criar, excluir e listar usuários do IAM, gerenciar associações de grupos, gerenciar credenciais de segurança de usuários e designar permissões. É possível criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, Ferramentas de linha de comando ou por meio do console do IAM, que fornece a interface baseada na Web do tipo apontar e clicar. Você também pode usar o AWS Policy Generator e AWS Policy Simulator para criar e testar políticas.

P: O que é um grupo?
Um grupo é um conjunto de usuários do IAM. A associação de grupos é gerida como uma lista simples; os usuários podem ser adicionados ou removidos de um grupo. Um usuário pode pertencer a vários grupos. Os grupos não podem pertencer a outros grupos. Os grupos podem obter a concessão de permissões usando políticas de controle de acesso. Isso facilita a gestão de permissões para um conjunto de usuários em vez de ter de gerenciar permissões para cada usuário individual. Os grupos não têm credenciais de segurança e não podem acessar serviços da Web diretamente; eles existem somente para facilitar o gerenciamento de permissões de usuários.  Para saber mais detalhes, consulteComo trabalhar com grupos e usuários.

P: Quais tipos de credenciais de segurança os usuários do IAM podem ter?
Um usuário do IAM pode ter qualquer combinação de credenciais compatível com a AWS – AWS Access Key, certificado X.509, senha para logins no aplicativo da Web ou dispositivo de autenticação multifator (MFA). Isso permite que os usuários interajam com a AWS de qualquer forma que faça sentido para eles – um funcionário pode ter uma Chave de acesso da AWS e uma senha; um sistema de software poderá ter somente uma Chave de acesso da AWS para fazer chamadas programáticas; e um prestador de serviços externo poderá ter somente um certificado X.509 para usar a interface da linha de comando do EC2. Para obter detalhes, consulte Credenciais na documentação do IAM.

P: Quais serviços da AWS são oferecem suporte aos usuários do IAM?
A lista completa de serviços da AWS que oferece suporte a usuários do IAM pode ser encontrada na seção Integração com outros produtos da AWS da documentação da AWS. A AWS planeja adicionar suporte para outros serviços ao longo do tempo.

P: O acesso dos usuários pode ser habilitado/desabilitado?
Sim. As Chaves de acesso de um usuário do IAM podem ser habilitadas e desabilitadas por meio das APIs do IAM, Ferramentas de linha de comando ou por meio do console do IAM. Desabilitar as Chaves de acesso significa que o usuário não poderá acessar programaticamente os serviços da AWS.

P: Quem pode gerenciar usuários para uma Conta da AWS?
O detentor da conta da AWS pode gerenciar usuários, grupos, credenciais de segurança e permissões. Além disso, a permissão poderá ser concedida para usuários individuais fazerem chamadas para APIs do IAM para gerenciar outros usuários. Por exemplo, um usuário administrador poderá ser criado para gerenciar usuários para uma corporação – uma prática recomendada. Quando um usuário tiver recebido permissão para gerenciar outros usuários, eles poderão fazê-lo por meio das APIs do IAM, Ferramentas de linha de comando ou por meio do Console do IAM.

P: Um conjunto de usuários pode ser estruturado de uma forma hierárquica, como em LDAP?
Sim. Os usuários e grupos podem ser organizados em caminhos, semelhantes a caminhos de objetos no Amazon S3 – por exemplo /mycompany/division/project/joe etc.

P: Os usuários podem ser definidos regionalmente?
Não inicialmente. Os usuários são entidades globais, como uma conta da AWS é hoje. Não é exigido que nenhuma região seja especificada ao definir permissões de usuário. Os usuários podem usar os serviços da AWS em qualquer região geográfica.

P: Como os dispositivos de MFA são configurados para usuários do IAM?
O detentor da conta da AWS pode organizar vários dispositivos de MFA. Esses dispositivos podem, em seguida, ser designados a usuários individuais do IAM por meio de APIs do IAM, Ferramentas de linha de comando ou por meio do console do IAM.

P: Qual tipo de rotação de chave é compatível com usuários do IAM?
As Chaves de acesso e os certificados X.509 do usuário podem ser rotacionadas da mesma forma que ocorre com identificadores de acesso-raiz de uma conta da AWS. As chaves de acesso e os certificados X.509 de um usuário podem ser gerenciados e rotacionados programaticamente através de APIs do IAM, Ferramentas de linha de comando ou através do console do IAM.

P: Os usuários do IAM podem ter chaves SSH do EC2 individuais?
Não no release inicial. O IAM não afeta chaves SSH do EC2 ou certificados RDP do Windows. Isso significa que embora cada usuário tenha credenciais separadas para acessar APIs do serviço da Web, eles deverão compartilhar chaves SSH que são comuns na conta da AWS na qual o usuário foi definido.

P: Os nomes de usuários do IAM têm de ser endereços de e-mail?
Não, mas podem ser. Os nomes de usuários são apenas strings ASCII exclusivos dentro de uma determinada conta da AWS. O detentor da conta da AWS pode designar nomes usando qualquer nomenclatura que selecionar, incluindo endereços de e-mail.

P: Quais conjuntos de caracteres posso usar para nomes de usuário do IAM?
Entidades IAM são compatíveis somente com caracteres ASCII.

P: Há outros atributos de usuários além do nome do usuário compatível?
Não neste momento.

P: Como as senhas de usuários são definidas?
Uma senha inicial pode ser definida para um usuário do IAM por meio do console do IAM, Ferramentas de linha de comando ou por meio de APIs do IAM. As senhas de usuário nunca aparecem em texto nítido após o provisionamento inicial e nunca são exibidas ou retornadas por meio de uma chamada de API. Os usuários do IAM podem gerenciar suas senhas por meio da página My Password no console do IAM. Os usuários podem acessar essa página selecionando a opção Security Credentials na parte superior direita do menu suspenso do AWS Management Console.

P: Posso definir uma política de senha para as senhas dos meus usuários?
Sim, você pode aplicar senhas fortes, como senhas com comprimento mínimo ou com um número pelo menos. Para saber mais detalhes, consulte Como gerenciar uma política de senha do IAM.

P: Posso definir cotas de uso quanto aos usuários do IAM?
Não. Todos os limites são para a conta da AWS como um todo. Por exemplo, se a sua conta da AWS tem um limite de 20 instâncias do Amazon EC2, os usuários do IAM com permissões do EC2 podem iniciar instâncias até esse limite. Não é possível limitar o que cada usuário pode fazer.


P: O que é uma função do IAM?
Uma função é uma entidade do AWS Identity and Access Management (IAM) que define um conjunto de permissões para efetuar solicitações de serviços da AWS. As funções do IAM não são associadas a um usuário ou grupo específico. Em vez disso, são "pressupostas" por entidades confiáveis, como usuários do IAM, aplicativos ou serviços da AWS, como o EC2.

P: Qual problema as funções do IAM solucionam?
Uma função do IAM permite que você delegue acesso, com permissões definidas, a entidades confiáveis, sem precisar compartilhar chaves de acesso a longo prazo. Você pode usar funções do IAM para delegar acesso a usuários do IAM gerenciados em sua conta, a usuários do IAM em uma conta diferente da AWS ou a um serviço da AWS, como o EC2.

P: Como faço para começar a usar as funções do IAM?
É possível criar uma função de modo semelhante a como se cria um usuário: nomeie a função e anexe uma política a ela. Para saber mais detalhes, consulteComo criar uma função.

P: Como faço para assumir uma função do IAM?
Você assume uma função do IAM chamando APIs AssumeRole do AWS Security Token Service (STS) (a saber, AssumeRole, AssumeRoleWithWebIdentity e AssumeRoleWithSAML). Essas APIs retornar um conjunto de credenciais de segurança temporárias que os aplicativos podem então usar para fazer solicitações às APIs de serviço da AWS.

P: Quantas funções do IAM posso assumir?
Não há limite para o número de funções do IAM que você pode assumir, mas você pode atuar somente como uma função do IAM ao fazer suas solicitações para serviços da AWS.

P: Quem pode usar as funções do IAM?
Qualquer cliente da AWS pode usar esse recurso.

P: Quanto custam as funções do IAM?
As funções do IAM são gratuitas. Você continuará a pagar por qualquer recurso consumido por uma função na sua conta da AWS.

P: Como os usuários das funções do IAM são gerenciados?
É possível criar e gerenciar funções do IAM por meio de APIs do IAM, Ferramentas de linha de comando ou por meio do console do IAM, que fornece a interface baseada na Web do tipo apontar e clicar.

P: Qual a diferença entre uma função do IAM e um usuário do IAM?
Um usuário do IAM tem credenciais de longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Uma função do IAM não tem quaisquer credenciais e não pode fazer solicitações diretas para serviços da AWS. As funções do IAM são consideradas como sendo "pressupostas" por entidades autorizadas, como usuários do IAM, aplicativos ou um serviço da AWS, como o EC2.

P: Qual a diferença entre uma função do IAM e um grupo do IAM?
Um grupo do IAM é uma coleção de usuários do IAM que compartilham as mesmas permissões. Um grupo do IAM é principalmente uma conveniência de gerenciamento para gerenciar o mesmo conjunto de permissões para um conjunto de usuários do IAM. Uma função do IAM é uma entidade do AWS Identity and Access Management (IAM) com permissões para fazer solicitações de serviço da AWS. As funções do IAM não podem fazer solicitações diretas para serviços da AWS; elas são consideradas como sendo "pressupostas" por entidades autorizadas, como usuários do IAM, aplicativos ou serviços da AWS, como o EC2.

P: Quando devo usar um usuário do IAM, um grupo do IAM ou uma função do IAM?
Um usuário do IAM tem credenciais de longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Um grupo do IAM é principalmente uma conveniência de gerenciamento para gerenciar o mesmo conjunto de permissões para um conjunto de usuários do IAM. Uma função do IAM é uma entidade do AWS Identity and Access Management (IAM) com permissões para fazer solicitações de serviço da AWS. As funções do IAM não podem fazer solicitações diretas para serviços da AWS; elas são consideradas como sendo "pressupostas" por entidades autorizadas, como usuários do IAM, aplicativos ou serviços da AWS, como o EC2.  funções do IAM são usadas para delegar acesso em ou entre contas da AWS.

P: Uma função do IAM pode ser adicionada a um grupo do IAM?
Não neste momento.

P: Quantas políticas podem ser vinculadas a uma função do IAM?
Você pode adicionar quantas políticas forem necessárias a uma função, desde que o tamanho total de todas as políticas não ultrapasse 10 KB.

P: Quantas funções do IAM posso criar?
Você está limitado a 250 funções do IAM em sua conta da AWS. Se você precisar de mais funções, envie o formulário de solicitação de aumento de limite do IAM com seu caso de uso e um aumento de sua função do IAM será considerado.

P: Para quais serviços uma função do IAM pode fazer chamadas?
Seu aplicativo pode fazer solicitações para todos os serviços da AWS compatíveis com sessões de função.

P: O que são funções do IAM para instâncias do EC2?
As funções do IAM para instâncias do EC2 permitem que seus aplicativos em execução no EC2 façam solicitações para serviços da AWS, como Amazon S3, Amazon SQS, Amazon SNS (e outros) sem precisar copiar chaves de acesso da AWS para cada instância. Para obter detalhes, consulte Como conceder acesso aos recursos da AWS para aplicativos que são executados em instâncias do Amazon EC2.

P: Quais são os recursos das funções do IAM para instâncias do EC2?

  • As funções do IAM para instâncias do EC2 fornecem os seguintes recursos:
  • Credenciais de segurança temporárias para serem usadas ao fazer solicitações de instâncias de EC2 em execução aos serviços da AWS.
  • Rodízio automático das credenciais de segurança temporárias.
  • Permissões de serviço granular da AWS para aplicativos sendo executados em instâncias do EC2.

P: Qual problema as funções do IAM para instâncias do EC2 resolvem?
As funções do IAM para instâncias do EC2 simplificam o gerenciamento e a implementação de chaves de acesso da AWS a instâncias do EC2. Usando esse recurso, você associa uma função do AWS Identity and Access Management (IAM) a uma instância. Depois, sua instância EC2 fornecerá credenciais de segurança temporárias para aplicativos sendo executados na instância, e os aplicativos podem usar essas credenciais para fazer solicitações de forma segura aos recursos de serviços da AWS definidos na função.

P: Como faço para começar a usar as funções do IAM para instâncias do EC2?
Para iniciar com funções do IAM para instâncias do EC2, você:

  • Cria uma função no IAM.
  • Executa suas instâncias do EC2 com a função como um parâmetro de entrada.
  • Usa as chaves de acesso da AWS de funções disponibilizadas na instância do EC2 em seu aplicativo ao fazer solicitações para serviços da AWS.

Para obter mais detalhes sobre funções do IAM, consulte Working with Roles no guia Using IAM. Para obter mais detalhes sobre como usar funções do IAM com EC2, consulte Using IAM roles with Amazon EC2 Instances no Amazon EC2 User Guide.

P: Posso usar a mesma função do IAM em várias instâncias do EC2?
Sim

P: Posso alterar a função do IAM em uma instância do EC2 em execução?
Não. No momento, não é possível alterar a função do IAM em uma instância do EC2 em execução. Você pode alterar as permissões na função do IAM associadas a uma instância em execução, e as permissões atualizadas passarão a vigorar imediatamente.

P: Posso associar uma função do IAM a uma instância do EC2 em execução?
Não. Você pode associar apenas uma função do IAM com uma instância do EC2.

P: Posso usar uma função do IAM com outros serviços que executem instâncias do EC2?
Sim. O Auto Scaling e o AWS CloudFormation também são compatíveis com funções do IAM. Outros serviços adicionarão suporte ao longo do tempo.

P: Posso associar uma função do IAM a um grupo Auto Scaling?
Sim. Você pode adicionar uma função do IAM como um parâmetro adicional em uma configuração de execução do Auto Scaling, bem como criar um grupo Auto Scaling com essa configuração de execução. Todas as instâncias do EC2 executadas em um grupo Auto Scaling, associado a uma função do IAM, serão executadas com a função como um parâmetro de entrada. Para obter mais detalhes, consulte o Auto Scaling Developer Guide.

P: Posso associar mais de uma função do IAM a uma instância do EC2?
Não. No momento, você pode associar somente uma função do IAM a uma instância do EC2.

P: O que acontece se eu excluir uma função do IAM que está associada a uma instância do EC2 em execução?
Será negado o acesso imediatamente a qualquer aplicativo em execução naquela instância que esteja usando a função.

P: Posso controlar quais funções do IAM um usuário do IAM pode associar a uma instância do EC2?
Sim. Para obter mais detalhes, consulte "Como conceder acesso aos recursos da AWS para aplicativos que são executados em instâncias do Amazon EC2".

P: Quais permissões são necessárias para executar instâncias do EC2 com uma função do IAM?
Um usuário do IAM deve receber duas permissões distintas para executar com êxito instâncias do EC2 com funções:

  • Permissão para executar instâncias do EC2.
  • Permissão para associar uma função do IAM a instâncias do EC2.

P: Quem pode acessar as chaves de acesso na instância do EC2?
Qualquer usuário local na instância pode acessar as chaves de acesso associadas à função do IAM.

P: Como uso a função do IAM com meu aplicativo na instância do EC2?
Se você desenvolver seu aplicativo com o SDK da AWS, então você não precisará realizar qualquer ação. O SDK da AWS usará automaticamente as chaves de acesso da AWS que foram disponibilizadas na instância do EC2. Se você não estiver usando o SDK da AWS, então você poderá recuperar as chaves de acesso do Serviço de metadados da instância do EC2. Para obter mais detalhes, consulte "Como conceder acesso aos recursos da AWS para aplicativos que são executados em instâncias do Amazon EC2".

P: Como faço para alternar as credenciais de segurança temporárias na instância do EC2?
As credenciais de segurança temporárias da AWS associadas a uma função do IAM são automaticamente alternadas várias vezes por dia. Novas credenciais de segurança temporárias são disponibilizadas não mais que 5 minutos depois que as credenciais de segurança temporárias existentes expiram.

P: Posso usar as funções do IAM para instâncias do EC2 com qualquer tipo de instância ou AMI?
Sim. As funções do IAM para instâncias do EC2 também funcionam no Virtual Private Cloud, com Instâncias Reservadas e Spot.


P: O que são credenciais de segurança temporárias?
As credenciais de segurança temporárias consistem em ID de chave de acesso, chave de acesso secreta e token de segurança. Elas são válidas durante um período específico e para um conjunto específico de permissões. Às vezes, as credenciais de segurança temporárias são chamadas de "tokens". Os tokens podem ser solicitados para usuários do IAM ou para usuários federados que você gerencia no seu próprio diretório corporativo. Para obter mais informações, consulte "Situações de concessão de acesso temporário".

P: Quais são os benefícios das credenciais de segurança temporárias?
As credenciais de segurança temporárias permitem que:

  • Estender seus diretórios de usuário internos para permitir a federação para a AWS, possibilitando que seus funcionários e aplicativos acessem com segurança as APIs de serviço da AWS, sem precisar criar uma identidade da AWS para eles.
  • Solicitar credenciais de segurança temporárias para um número ilimitado de usuários federados.
  • Configure o período depois do qual as credenciais de segurança temporárias expiram, oferecendo segurança aprimorada ao acessar APIs de serviço da AWS por meio de dispositivos móveis onde há risco de perda do dispositivo.

P: Como posso solicitar credenciais de segurança temporárias para usuários federados?
Você pode chamar as APIs de STS GetFederationToken ou AssumeRole.

P: Como um usuário do IAM pode solicitar credenciais de segurança temporárias para uso próprio?
Os usuários do IAM podem solicitar credenciais de segurança para seu próprio uso chamando a API do AWS STS GetSessionToken. A expiração padrão dessas credenciais temporárias é de 12 horas, a mínima é de 1 hora e a máxima é de 36 horas.

As credenciais temporárias também podem ser usadas com acesso de API protegido por Autenticação multifator (MFA).

P: Como as credenciais de segurança temporárias podem ser usadas para chamar APIs de serviço da AWS?
As credenciais de segurança temporárias foram projetadas para exigir alterações mínimas de códigos para aplicativos que chamam APIs de serviço da AWS. Não há alterações nas APIs de serviço da AWS – simplesmente:

  • Use AccessKeyID e SecretAccessKey para fazer solicitações de API do serviço da AWS como antes.
  • Transmita o token como um parâmetro adicional para toda a solicitação feita para as APIs de serviço da AWS. Para o Amazon S3: por meio do cabeçalho HTTP "x-amz- security-token". Para outros serviços da AWS: por meio do parâmetro "SecurityToken".

P: Quais serviços da AWS aceitam credenciais de segurança temporárias?
Para obter uma lista completa de serviços compatíveis, consulte "Uso de credenciais de segurança temporárias para acessar a AWS".

P: As credenciais de segurança temporárias têm suporte em quais regiões?
Atualmente, os clientes só podem solicitar tokens do serviço de token de segurança da AWS localizado na região us-east-1. No entanto, essas credenciais podem ser usadas para acessar serviços da AWS compatíveis com autenticação baseada em tokens em todas as regiões do datacenter da AWS.

P: Qual é o tamanho máximo da política de acesso que pode ser especificada ao solicitar credenciais de segurança temporárias (GetFederationToken ou AssumeRole)?
450 bytes compactados.

P: Uma credencial de segurança temporária pode ser revogada antes que expire?
Não. Ao solicitar credenciais temporárias, recomendamos o seguinte:

  • Quando criar credenciais de segurança temporárias, defina a expiração para um valor que seja apropriado para seu aplicativo.
  • Como as permissões de conta root não podem ser restritas, recomendamos que você use um usuário do IAM e não a conta root para criar credenciais de segurança temporária. Você pode revogar permissões de um usuário do IAM que emitiu a chamada original para solicitá-la. Essa ação revogará quase que imediatamente os privilégios de todas as credenciais de segurança temporárias emitidas por aquele usuário do IAM

P: As credenciais temporárias podem ser reativadas ou ter sua expiração estendida?
Não. Recomenda-se verificar sempre a expiração e solicitar uma nova credencial de segurança temporária antes que a antiga expire. Este processo de rodízio é gerenciado automaticamente para você quando suas credenciais de segurança temporárias são usadas para funções de instâncias do EC.

P: As credenciais de segurança temporárias têm suporte em todas as regiões?
Atualmente, os clientes podem solicitar cupons do AWS Security Token Service localizado nas regiões do Leste dos EUA (Virgínia), AWS GovCloud (EUA) e China (Pequim). Credenciais de segurança temporárias solicitadas do Leste dos EUA podem ser utilizadas em todas as regiões exceto a AWS GovCloud e China. Todas as credenciais do AWS GovCloud e China podem ser utilizadas somente na sua região de origem.


 


P: O que é federação de identidade?
A federação de identidade permite aos usuários de um diretório existente acessar recursos na sua conta da AWS, facilitando o gerenciamento de usuários através da manutenção de suas identidades em um único local. Usando o IAM, você pode solicitar credenciais de segurança temporárias para suas identidades corporativas, permitindo que acessem o AWS Management Console e APIs de serviço da AWS, sem ter que criar usuários do IAM para todas as suas identidades corporativas.

P: O que são usuários federados?
Usuários federados são usuários gerenciados fora da AWS no seu diretório corporativo, mas que recebem acesso à sua conta da AWS usando credenciais de segurança temporárias. Eles diferem dos usuários do IAM que são criados e mantidos na sua conta da AWS.

P: A AWS é compatível com o SAML?
Sim, a AWS é compatível com o Security Assertion Markup Language (SAML) 2.0.

P: Com quais perfis do SAML a AWS é compatível?
O endpoint do acesso único (single sign-on, SSO) da AWS é compatível com o perfil de provedor de identidade WebSSO iniciado por HTTP pós-vinculação do SAML. Isso permite a um usuário federado fazer o login no AWS Management Console usando uma asserção do SAML. Uma asserção do SAML também pode ser usada para solicitar credenciais de segurança temporárias usando a API AssumeRoleWithSAML. Para obter mais informações, consulte Criação de credenciais de segurança temporárias para a federação do SAML.

P: Os usuários federados podem acessar APIs da AWS?
Sim. Você pode solicitar credenciais de segurança temporárias para os usuários federados para lhes fornecer acesso seguro e direto às APIs da AWS. Fornecemos um aplicativo de exemplo que demonstra como você pode permitir a federação de identidade, fornecendo aos usuários mantidos pelo Microsoft Active Directory acesso às APIs de serviço da AWS. Para obter mais informações, consulte Uso de credenciais de segurança temporárias.

P: Os usuários federados podem acessar o AWS Management Console?
Sim. A concessão de acesso federado ao console usa credenciais de segurança temporárias como descrito em Acesso direto dos usuários federados ao AWS Management Console e a seção Acesso direto aos usuários federados ao AWS Management Console, no guia Uso de credenciais de segurança temporárias. Há algumas maneiras de obter isso.

Uma maneira é, por programação, solicitar credenciais de segurança temporárias (por exemplo, GetFederationToken ou AssumeRole) para seus usuários federados e incluindo essas credenciais como parte da solicitação de acesso ao AWS Management Console. Após autenticar um usuário e conceder-lhe credencial de segurança temporária, é possível gerar um token de sign-in que é usado para o endpoint de acesso único (single sign-on, SSO) da AWS. As ações do usuário são limitadas à política de controle de acesso associadas com as credenciais de segurança temporárias.

Alternativamente, você pode publicar uma asserção do SAML diretamente no sign-in da AWS (https://signin.aws.amazon.com/saml). As ações do usuário no console serão limitadas à política de controle de acesso associada com a função do IAM que é assumida usando a asserção do SAML. Para obter mais detalhes, consulte Acesso ao console usando o SAML.

O uso de qualquer uma das abordagens permitirá ao usuário o acesso ao console sem ter que efetuar o login com nome de usuário e senha. Fornecemos um aplicativo de exemplo que demonstra como você pode permitir a federação de identidades, fornecendo aos usuários mantidos pelo Microsoft Active Directory acesso ao AWS Management Console. Para mais detalhes, consulte também a seção Acesso direto dos usuários federados ao AWS Management Console no guia Uso de credenciais de segurança temporárias.

P: Quais serviços da AWS aceitam usuários federados?
A maioria dos serviços da AWS agora aceitam usuários federados. Para uma lista completa, consulte o Guia de uso de credenciais de segurança temporárias. Serviços adicionais da AWS oferecerão suporte a usuários federados ao longo do tempo.

P: Como posso controlar o que um usuário federado pode fazer quando conectado ao console?
Quando você solicita credenciais de segurança temporárias para seu usuário federado usando uma API AssumeRole, você pode opcionalmente incluir uma política de acesso com a solicitação. Os privilégios de usuário federado serão a intercessão de permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada à função do IAM que foi assumida. A política de acesso passada com a solicitação não pode elevar os privilégios associados com a função do IAM sendo assumida. Quando você solicita credenciais de segurança temporárias para seu usuário federado usando a API GetFederationToken, você deve fornecer uma política de controle de acesso com a solicitação. Os privilégios de usuário federado serão a intercessão das permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada ao usuário do IAM que foi usado para fazer a solicitação. A política de acesso passada com a solicitação não pode aumentar os privilégios associados com o usuário do IAM usado para fazer a solicitação. Essas permissões de usuário federado aplicam-se tanto ao acesso de API quanto às ações tomadas no AWS Management Console.

P: Quais permissões um usuário federado necessita para usar o console?
Um usuário solicitará permissões às APIs do serviço da AWS chamadas pelo AWS Management Console. Permissões comuns exigidas para acessar os serviços AWS são documentadas no Guia de uso de credenciais de segurança temporárias.

P: Como posso controlar por quanto tempo um usuário federado tem acesso ao console?
Dependendo da API usada para criar as credenciais de segurança temporárias, você pode especificar um limite de sessão entre 15 minutos e 36 horas (para GetFederationToken e GetSessionToken) e entre 15 e 60 minutos (para APIs AssumeRole), período em que o usuário federado pode acessar o console. Quando a sessão expirar, o usuário precisará solicitar uma nova sessão ao retornar para sua página da web, onde você pode lhe conceder um acesso.

P: O que acontece quando a sessão do console da federação de identidade expira?
Uma mensagem será exibida ao usuário esclarecendo que a sessão do console expirou e que ele precisa solicitar uma nova sessão. É possível especificar o URL para direcionar os usuários para sua página da intranet local onde podem solicitar uma nova sessão. Adicione esse URL quando especificar um emissor de parâmetros como parte de sua solicitação de sign-in. Para obter mais informações, consulte Acesso diretos de usuários federados ao AWS Management Console.

P: A quantos usuários federados posso conceder acesso ao AWS Management Console?
Não há limite ao número de usuários federados que podem ter acesso ao console.

P: O que é federação de identidade da web?
A federação de identidade da web permite a criação de aplicativos móveis com base na nuvem que usam provedores de identidade públicos como o Login with Amazon, Facebook ou Google para autenticação. Com a federação de identidade da web, você tem uma maneira fácil de integrar o login do Amazon.com, do Facebook ou do Google em seus aplicativos sem necessidade de escrever qualquer código do lado do servidor e sem necessidade de distribuir credenciais de segurança da AWS de longo prazo com o aplicativo.

Para obter mais informações sobre a federação de identidade da web e começar a usá-la, consulte Creating Temporary Security Credentials for Mobile Apps Using Public Identity Providers no AWS STS Guide.

P: Quais provedores de identidade são compatíveis com a federação de identidade da web?
A federação de identidade da web é compatível com o Login with Amazon, Facebook e o Google. Avaliaremos a adição de suporte a outros provedores de identidade em uma versão posterior.

P: Como faço para ativar a federação de identidade com contas do Amazon.com, Facebook ou Google?
Veja a seguir as etapas básicas para ativar a federação de identidades usando um dos provedores de identidade da web compatíveis:

  1. Cadastre-se como desenvolvedor com o provedor de identidade.
  2. Na AWS, crie uma ou mais funções do IAM.
  3. No aplicativo, autentique seus usuários usando Login with Amazon, Facebook ou Google.
  4. No aplicativo, faça uma chamada sem assinatura para a API AssumeRoleWithWebidentity para solicitar credenciais de segurança temporárias.
  5. Usando as credenciais de segurança temporárias obtidas na resposta de AssumeRoleWithWebidentity, o aplicativo envia solicitações assinadas para as APIs da AWS.
  6. O aplicativo armazena as credenciais de segurança temporárias em cache para que não seja necessário obter novas credenciais todas as vezes que o aplicativo precisar enviar uma solicitação à AWS.

Para obter etapas mais detalhadas, consulte a seção Process for Using Web Identity Federation for Mobile Apps do AWS STS Guide.


P: O faturamento da AWS fornece decomposições agregadas de uso e custo por usuário?
Não, atualmente não é compatível.

P: Qual é o custo do serviço IAM?
Não, este é um recurso da conta da AWS fornecido gratuitamente.

P: Quem paga pelo uso incorrido pelos usuários em uma conta da AWS?
O proprietário da conta da AWS controla e é responsável pela utilização, pelos dados e recursos da conta.

P: A atividade do usuário faturável será registrada nos dados de uso da AWS?
Não no momento. Isso está planejado para um release futuro.

P: Como o IAM compara-se com o Faturamento consolidado?
O IAM e o Faturamento consolidado são recursos complementares. O Faturamento consolidado permite que você consolide o pagamento de várias contas da Amazon Web Services (AWS) dentro da sua empresa ao designar uma única conta de pagamento. O escopo do IAM não está relacionado ao Faturamento consolidado. Há um usuário na área de uma conta da AWS e não tem permissões nas contas vinculadas. Para obter mais detalhes, consulte o Guia de faturamento consolidado da AWS.

P: Um usuário pode acessar as informações de faturamento das contas da AWS?
Sim, mas somente de você o permitir.  Para que usuários do IAM acessem informações de faturamento, você precisa primeiro conceder acesso à Atividade da conta e/ou Relatórios de utilização. Consulte "Controle o acesso de usuários às informações de faturamento da sua conta da AWS".


P: Como funcionam as permissões de usuário?
Tanto os usuários quanto os grupos podem ter permissões atribuídas por meio de uma política. Por padrão, os grupos não têm permissões; um usuário com permissões suficientes (root ou usuário do IAM) deve conceder permissões explícitas a um usuário do IAM.

P: Como funcionam as permissões baseadas em grupo?
Você pode incluir alguns tipos de recurso e ação do EC2 e do RDS nas políticas definidas para usuários e funções do IAM. Essas permissões no nível de recurso permitem controlar quais usuários podem iniciar/encerrar qual instância do EC2 ou de banco de dados, entre outras permissões. Consulte a documentação EC2 e RDS para obter informações sobre quais recursos e tipos de ações podem ser incluídos em políticas IAM.

P: Como as permissões de função e usuário funcionam em conjunto com as políticas baseadas em recursos do Amazon SQS e do Amazon SNS?
Permissões de função e IAM são avaliadas junto com as políticas baseadas em recursos do Amazon SQS.  Se algum tipo de política conceder acesso (sem o recusar explicitamente), a ação será permitida.

P: Posso conceder permissões a usuários do IAM para acessar ou alterar informações de contas (por exemplo, modo de pagamento, endereço de e-mail de contato e histórico de faturamento, etc.)?
A única função de administração de conta que você pode delegar para usuários do IAM é a capacidade de visualizar os dados de faturamento da AWS.

P: Quem pode visualizar ou alterar IDs de chave de acesso da conta da AWS?
Somente o proprietário da conta pode visualizar as chaves de acesso da conta. O proprietário da conta e os usuários do IAM a quem foram explicitamente concedidas permissões para isso podem gerenciar chaves de acesso de usuários do IAM na conta.

P: Os usuários do IAM podem acessar recursos de outras contas da AWS?
Sim, se o acesso para API de conta cruzada usando funções do IAM estiver habilitado. Consulte "Funções" para obter mais informações.


P: O que é o simulador de políticas do IAM?
O simulador de políticas do IAM é uma ferramenta que possibilita a você testar os efeitos das políticas de controle de acesso do IAM antes de aplicá-las na produção.

P: Qual problema o simulador de políticas resolve?
O simulador de políticas facilita a verificação e a solução de problemas de permissões. Anteriormente, você precisava escrever as políticas e colocá-las em produção antes de pode testar seus efeitos.

P: Quem pode usar o simulador de políticas?
O simulador de políticas está disponível para todos os clientes da AWS.

P: Qual é o custo do simulador de políticas?
O simulador de políticas está disponível sem custo extra.

P: Como faço para começar?
Acesse https://policysim.aws.amazon.com ou clique no link no console do IAM em “More to Explore”. Escolha ou insira a política que gostaria de avaliar, selecione as ações na lista de serviços da AWS e clique em um botão para simular se a política permitirá ou negará permissões para determinadas ações. Para saber mais sobre o simulador de políticas do IAM, assista ao nosso vídeo de introdução ou vá diretamente para a documentação.

P: Que tipos de políticas são compatíveis com o simulador de políticas?
O simulador de políticas é compatível com o teste de políticas recém-inseridas e políticas existentes, relacionadas a usuários, grupos ou funções. Você também pode simular se as políticas de nível de recursos concedem acesso a um recurso específico. O simulador de políticas não é compatível com políticas baseadas em recursos, ou seja, políticas diretamente relacionadas a buckets do S3, filas do SQS e tópicos do SNS.

P: Se eu alterar uma política no simulador de políticas, essas alterações persistem na produção?
Não. Para aplicar alterações à produção, copie a política que você modificou no simulador de políticas e conecte-a ao usuário, grupo ou função do IAM desejada.

P: O simulador de políticas será integrado ao console?
Sim, isso está planejado para um release futuro.


P: Como um usuário efetua login?
Um usuário precisa fazer login em um URL de login da conta com o nome de usuário e a senha do usuário do IAM. Este URL de login está localizado no Painel de controle do console do IAM e deve ser comunicado ao usuário do IAM pelo administrador de sistemas da conta da AWS.

P: O que é um apelido da conta da AWS?
O apelido da conta é um nome definido para torná-lo mais conveniente para identificar a conta. Você pode criar um apelido usando APIs do IAM, Ferramentas de linha de comando ou por meio do console do IAM. É possível ter um apelido por conta da AWS.

P: O usuário sempre tem que usar o link direto?
Na primeira vez em que os usuários fizerem login, eles deverão usar o URL específico da conta. Depois disso, o URL específico da conta será armazenado como uma preferência, como um cookie do navegador do usuário. Isso ajuda o usuário a retornar para http://aws.amazon.com e clique no link "Cadastre-se no AWS Management Console" para efetuar login. Se o usuário apagar os cookies do navegador ou usar um navegador diferente, então deverá inserir novamente o URL específico da conta.

P: Quais sites da AWS meus usuários podem acessar?
Os usuários pode fazer login nos seguintes sites da AWS:

P: Os usuários podem efetuar login em sites de vendas da Amazon?
Não. Os usuários criados com o IAM são reconhecidos somente pelos serviços e aplicativos da AWS.

P: Há uma API de autenticação para verificar os logins dos usuários?
Não. Não há uma forma programática para verificar logins de usuário.

P: Os usuários podem atribuir SSH a instâncias do EC2 usando seu nome de usuário e senha da AWS?
Não. As credenciais de segurança criadas com o IAM não são compatíveis com a autenticação direta para instâncias do EC2 do cliente. O gerenciamento de credenciais SHH do EC2 é de responsabilidade do cliente no console do EC2.


P: O que acontecerá se um usuário tentar acessar um serviço que ainda não tiver sido integrado ao IAM?
O serviço retornará um erro de "acesso negado".

P: As ações do AWS Identity and Access Management são registradas para fins de auditoria?
Sim. Você pode obter mais informações sobre a AWS fazendo login do serviço AWS CloudTrail lançado recentemente.

P: Há alguma distinção entre pessoas e agentes de software como entidades da AWS?
Não, as duas entidades são tratadas como usuários com credenciais de segurança e permissões. No entanto, somente as pessoas usam senha no AWS Management Console.

P: Os usuários trabalham com o AWS Support Center and Trusted Advisor?
Sim, os usuários do IAM podem criar e modificar casos de suporte, bem como usar o Trusted Advisor.

P: Há limites de cota padrão associados ao IAM?
Sim, por padrão, sua conta da AWS tem cotas iniciais definidas para todas as entidades relacionadas ao IAM. Para saber mais detalhes, consulte "Limitações em entidades IAM".

Essas cotas estão sujeitas a cobranças. Se você precisa de um aumento, poderá usar o formulário de Aumento de limite de serviço na página Entre em contato conosco e selecionar "Grupos e usuários do AWS IAM".

P: O que é a AWS MFA?
A AWS Multi-Factor Authentication (AWS MFA) fornece um nível extra de segurança que pode ser aplicado ao seu ambiente AWS. É possível habilitar a AWS MFA para a sua conta AWS e para usuários individuais do AWS Identity and Access Management (IAM) que você tenha criado em sua conta.

P: Com funciona a AWS MFA?
A AWS MFA usa um dispositivo de autenticação que gera de forma contínua códigos de autenticação aleatórios, de seis dígitos, para um único uso. Há duas formas principais para autenticação usando um dispositivo AWS MFA:

Usuário do AWS Management Console: com a AWS MFA habilitada, quando um usuário fizer login em um site AWS, serão solicitados seu nome de usuário e senha (o primeiro fator – o que eles sabem) e um código de autenticação do seu dispositivo de AWS Autenticação multifator (MFA) (o segundo fator – o que eles têm). Todos os sites da AWS que exigem cadastro, como o AWS Management Console, são integrados com AWS MFA. Você também pode usar a AWS MFA em conjunto com a capacidade de exclusão segura do Amazon S3 para proteção adicional das suas versões armazenadas do Amazon S3.

Usuários de API da AWS: é possível aplicar a autenticação MFA adicionando restrições relacionadas à MFA em políticas do IAM. Para acessar APIs e recursos protegidos dessa forma, os desenvolvedores podem usar credenciais temporárias de segurança e fornecer parâmetros opcionais de MFA em suas solicitações de API do AWS Security Token Service (STS) (o serviço que concede credenciais temporárias de segurança. As credenciais temporárias de segurança validadas por MFA podem ser usadas para acionar recursos e APIs protegidos por MFA.

P: Como obtenho a AWS MFA?
Siga esses dois passos simples:

Adquira um dispositivo de autenticação. Você tem duas opções:

– Você pode comprar na Gemalto um dispositivo de hardware compatível com a AWS MFA.
– Você pode instalar um aplicativo compatível com a AWS MFA em um dispositivo, como o seu smartphone.

Visite a página da MFA para obter mais detalhes de como adquirir um dispositivo de hardware ou um dispositivo de MFA virtual.

Assim que você tiver o dispositivo de autenticação, você deve ativá-lo. Você ativa um dispositivo de AWS MFA para a sua conta AWS ou os usuários do IAM no console IAM. Você também pode usar o IAM CLI para ativá-lo para um usuário do IAM.

P: Existe uma taxa associada ao uso da AWS MFA?
A AWS não cobra qualquer taxa adicional para o uso da AWS MFA com sua conta AWS. Entretanto, se você quiser usar um dispositivo físico de autenticação, você precisará adquirir um dispositivo de autenticação que seja compatível com a AWS MFA da Gemalto. Para mais detalhes, visite o site da Gemalto.

P: Posso ter vários dispositivos de autenticação ativos em minha conta AWS?
Sim. Com a introdução da AWS e Access Management (IAM), cada usuário IAM pode ter seu próprio dispositivo de autenticação.

P: Posso usar meu dispositivo de autenticação com várias contas AWS?
Não. O dispositivo de autenticação identifica especificamente um único usuário como seu proprietário. Cada usuário IAM pode ter seu próprio dispositivo de autenticação, mas os usuários estão conectados em uma conta individual AWS. Se você tem um TOTP compatível com um aplicativo em seu smartphone, você pode criar vários dispositivos de MFA virtual. Cada um dos dispositivos de MFA virtual pode ser usado com uma conta AWS individual ou usuário IAM.

P: Eu já tenho um dispositivo de hardware de autenticação do meu local de trabalho ou de outro serviço de que uso, posso reutilizar este dispositivo com a AWS MFA?
Não. A AWS MFA é baseada no reconhecimento de um segredo exclusivo associado a um dispositivo de autenticação para poder suportar seu uso. Devido as restrições de segurança que exigem que esses segredos nunca sejam compartilhadas entre várias partes, a AWS MFA não pode oferecer suporte ao uso do dispositivo de autenticação de hardware existente. Apenas um dispositivo de autenticação de hardware compatível adquirido da Gemalto pode ser usado com o AWS MFA.

P: Tenho dificuldades com um pedido de um dispositivo de autenticação usando o site do distribuidor terceirizado Gemalto. Onde posso solicitar ajuda?
O serviço de atendimento ao cliente da Gemalto terá prazer em ajudá-lo.

P: Recebi através da Gemalto um dispositivo de autenticação defeituoso ou danificado. Onde posso solicitar ajuda?
O serviço de atendimento ao cliente da Gemalto terá prazer em ajudá-lo.

P: Acabo de receber da Gemalto o dispositivo de autenticação. O que devo fazer?
Você simplesmente precisa ativar o dispositivo de autenticação para habilitar a AWS MFA para sua conta AWS. Clique aqui para usar o console do IAM para realizar a tarefa.

P: O que é um dispositivo de MFA virtual?
Um dispositivo de MFA virtual é uma entrada criada em um TOTP de software aplicativo compatível que pode gerar códigos de autenticação de seis dígitos. O aplicativo pode ser executado em qualquer dispositivo de hardware, como um smartphone.

P: Quais são as diferenças entre um dispositivo de MFA virtual e um dispositivo de MFA físico?
Dispositivos de MFA virtuais usam os mesmos protocolos que os dispositivos de MFA físicos. Dispositivos de MFA virtual são baseados em software e podem ser executados em seus dispositivos existentes como o seu smartphone. A maioria dos aplicativos de MFA virtual também permitem que você habilite mais de um dispositivo de MFA virtual que os torna mais conveniente do que dispositivos de MFA físicos.

P: Que aplicativos MFA virtual são compatíveis com a AWS MFA?
Aplicativos que geram TOTP códigos de autenticação compatíveis, como o aplicativo AWS MFA Virtual, podem ser usados com a AWS MFA. Oferecemos suporte ao provisionamento de dispositivos de MFA virtual que pesquisam automaticamente um código QR com a câmera de dispositivos ou via entrada manual de semente no aplicativo de MFA virtual.

Visite a página da MFA para obter uma lista de aplicativos compatíveis de MFA virtual.

P: O que é um código QR?
Código QR é uma abreviação para Quick response code (código de resposta rápida) e é um código de barras bidimensional que pode ser reconhecido por leitores dedicados de código de barras QR e pela a maioria dos telefones com câmera. O código consiste de módulos pretos dispostos em padrões quadrados sobre um fundo branco. O código QR ​​contém as informações de configuração de segurança necessárias para configurar um dispositivo de MFA virtual em seu aplicativo de MFA virtual.

P: Como provisionar o novo dispositivo de MFA virtual?
Um novo dispositivo de MFA virtual pode ser configurado no console IAM para os usuários do IAM, bem como para sua conta AWS. Você também pode usar o comando iam-virtualmfadevicecreate no IAM CLI ou a API CreateVirtualMFADevic para configurar novos dispositivos de MFA virtual na sua conta. O iam-virtualmfadevicecreate e a API CreateVirtualMFADevice retornam as informações de configuração necessárias, chamadas de semente, para a inicialização do dispositivo de MFA virtual em seu aplicativo compatível AWS MFA. Você pode conceder aos seus usuários IAM as permissões para chamar essa API diretamente ou realizar o provisionamento inicial para eles.

P: Como devo manipular e distribuir o material de semente para dispositivos de MFA virtual?
Você deve tratar as sementes como qualquer outro segredo (por exemplo chaves secretas AWS e senhas).

P: Como habilitar um usuário do IAM para gerenciar dispositivos de MFA virtual com a minha conta?
Conceda ao usuário do IAM a permissão para chamar a API CreateVirtualMFADevice. Esta API pode ser usada para configurar novos dispositivos de AMF virtual.

P: Onde habilito a AWS MFA?
Você pode habilitar uma AWS MFA para uma conta da AWS e seus usuários do IAM no console do IAM, com as CLI do IAM ou por meio de chamadas API.

P: Que informação será necessária para ativar meu dispositivo de autenticação?
Se você está ativando o dispositivo de AMF com o console IAM, você precisará apenas do dispositivo. Se você estiver usando a IAM CLI ou a API do IAM, você precisará do seguinte:

1. O número de série do dispositivo de autenticação. O número de série é diferente para um dispositivo de hardware ou um dispositivo virtual:

– Dispositivo de MFA de hardware: o número de série na etiqueta de código de barras na parte de trás do dispositivo.
– Dispositivo de MFA virtual: o número de série é o valor retornado ao executar o comando iam-virtualmfadevicecreate nas CLI do IAM. ou ao chamar a API CreateVirtualMFADevice.

2. Dois códigos consecutivos de autenticação exibidos pelo dispositivo de autenticação.

P: Meu dispositivo de autenticação parece estar funcionando normalmente, mas não consigo ativá-lo. O que devo fazer?
Entre em contato conosco para obter ajuda.

P: Se eu habilitar o AWS MFA para minha conta da AWS ou para meus usuários do IAM, eles sempre precisarão usar um código de autenticação para entrar em todas as propriedades da AWS?
Sim. AWS suporta o Single Sign-On (SSO) que significa que quando você entra em qualquer site AWS você entra em todos os sites AWS. Isto significa que se sua conta AWS ou qualquer um dos seus usuários IAM tem um dispositivo de MFA atribuído a eles, os mesmos são obrigados a usar sempre este dispositivo ao entrar.

P: Se eu habilitar a AWS MFA para minha conta AWS ou meus usuários do IAM, sempre precisarei usar um código de autenticação para entrar no portal AWS ou AWS Management Console?
Sim. A conta AWS e seus usuários IAM precisarão ter seu dispositivo de MFA à mão sempre que for preciso entrar em qualquer site AWS.

Se o dispositivo de autenticação associado à conta AWS for danificado, perdido, roubado ou parar de funcionar, você precisará entrar em contato conosco para obter ajuda com a desabilitação da AWS MFA da conta. Isso lhe dará acesso temporário à AWS usando apenas o nome de usuário e a senha da conta AWS.

Se o dispositivo de autenticação dos usuários do IAM for perdido, danificado, roubado ou parar de funcionar, você mesmo poderá desativar a AWS MFA usando o console IAM ou o IAM CLI.

P: Se eu habilitar a AWS MFA para minha conta AWS ou meus usuários do IAM, eles sempre precisarão inserir um código de MFA para acionar diretamente APIs da AWS?
Não, é opcional. No entanto, você precisará inserir um código de MFA se pretende acionar APIs seguras por acesso à API protegido por MFA.

Se você estiver acionando APIs da AWS usando sua conta root ou chaves de acesso de usuário do IAM, não precisará inserir um código de MFA. Por motivos de segurança, a AWS recomenda remover chaves de acesso de sua conta root e acionar APIs da AWS com usuários do IAM.

P: Como entrar no portal AWS e no AWS Management Console usando o meu dispositivo de autenticação?
Siga esses dois passos:

Se você estiver entrando em uma conta AWS, entre normalmente com seu nome de usuário e senha quando solicitado. Para entrar como um usuário IAM, use a URL específica da conta e forneça seu nome de usuário e senha quando solicitado.

Na página seguinte, digite o código de autenticação de seis dígitos que aparece em seu dispositivo de autenticação.

P: A AWS MFA afeta o meu acesso às APIs de serviço da AWS?
A AWS MFA mudará a forma como os usuários do IAM acessam APIs do Serviço da AWS somente se os administradores de conta escolherem habilitar o acesso à API protegido por MFA. Os administradores podem habilitar esse recurso para adicionar uma camada extra de segurança no acesso a APIs importantes ao exigir que os chamadores façam a autenticação com um dispositivo AWS MFA. Para obter mais informações, consulte a documentação de acesso à API protegido por MFA em mais detalhes.

Outras exceções incluem S3 PUT Bucket versioning, GET Bucket versioning e DELETE Object, que permitem que você exija que a exclusão ou a alteração do estado de versionamento de seu bucket use um código de autenticação adicional. Para obter mais informações consulte a documentação do S3 Configurando um bucket com a MFA excluída que discute esse assunto mais detalhadamente.

Para todos os outros casos, no momento a AWS MFA não alterará a forma como você acessa APIs de serviço da AWS.

P: Posso utilizar um código de autenticação mais de uma vez?
Não. Por razões de segurança, cada código de autenticação pode ser usado apenas uma vez.

P: Recentemente foi solicitada a ressincronização do meu dispositivo de autenticação porque meus códigos de autenticação estavam sendo rejeitados. Eu deveria me preocupar?
Não, isso pode acontecer ocasionalmente. Depende do relógio de seu dispositivo de autenticação estar sincronizado com o relógio em nossos servidores. Às vezes, devido a fatores ambientais, como temperatura, umidade e pressão, esses relógios podem oscilar. Se isso acontecer, quando você usar o dispositivo de autenticação para acessar as páginas protegidas no site da AWS ou no AWS Management Console, tentaremos automaticamente ressincronizar o dispositivo de autenticação, solicitando que você forneça dois códigos de autenticação consecutivas (assim como você fez durante a ativação).

P: Meu dispositivo de autenticação parece estar funcionando normalmente, mas não consigo usá-lo para entrar no portal AWS ou no AWS Management Console. O que devo fazer?
Sugerimos que tente ressincronizar o dispositivo de autenticação neste link, caso o seu dispositivo da MFA proteja a credencial raiz (requer login), ou neste link para as suas credenciais de usuário do IAM. Se você já tentou ressincronizar e ainda está tendo dificuldades para entrar, entre em contato conosco para obter ajuda.

P: Perdi meu dispositivo de autenticação, ele foi danificado ou roubado e agora não posso entrar no portal AWS ou no AWS Management Console. O que devo fazer?
Se o dispositivo de autenticação for associado a uma conta AWS, siga estes passos:

Entre em contato conosco para obter ajuda com a desabilitação da AWS MFA, assim você conseguirá acesso temporário às páginas protegidas no site da AWS e ao AWS Management Console usando apenas seu nome de usuário e senha.

Caso o seu dispositivo de autenticação tenha sido roubado, altere sua senha da Amazon. Alguém não autorizado pode estar com a sua senha atual.

Adquira um novo dispositivo de autenticação por meio do distribuidor autorizado Gemalto usando seu site ou configurando um novo dispositivo MFA virtual em sua conta usando o console IAM.

Após a conclusão dos passos acima, use o console IAM para ativar o dispositivo de autenticação para reabilitar a AWS MFA para sua conta AWS.

Se o dispositivo de autenticação está associado com um usuário IAM, você pode usar o console IAM, IAM CLI ou a API IAM para remover o dispositivo de MFA para o usuário IAM.

P: Meu dispositivo de autenticação parou de funcionar e agora não posso entrar no portal AWS ou no AWS Management Console. O que devo fazer?
Se o dispositivo físico de autenticação for associado a uma conta AWS, siga estes passos:

Entre em contato conosco para obter ajuda com a desabilitação da AWS MFA, assim você conseguirá acesso temporário às páginas protegidas no site da AWS e ao AWS Management Console usando apenas seu nome de usuário e senha.

Entre em contato com a Gemalto para obter assistência para o dispositivo de autenticação.

Assim que você tiver outro dispositivo de autenticação, volte ao site AWS e ative o dispositivo de autenticação para reabilitar a MFA AWS para sua conta AWS, como antes.

Se o dispositivo de autenticação está associado com um usuário IAM, entre em contato com quem lhe deu o nome de usuário e senha para o usuário IAM.

P: Como desabilito a AWS MFA?
Para desabilitar a MFA AWS em sua conta AWS, você precisará desativar seu dispositivo de autenticação usando a página de Credenciais de segurança. Para desabilitar a AWS MFA para seus usuários do IAM, você precisará usar o console IAM ou o IAM CLI. Atualmente, os usuários do IAM não têm autonomia para desabilitar a AWS MFA.

P: Posso usar a AWS MFA no GovCloud?
Sim, você pode usar a MFA virtual da AWS no GovCloud. No momento, a AWS não oferece suporte a dispositivos de hardware de MFA no GovCloud.

P: O que é o acesso à API protegido por MFA?
O acesso à API protegido por MFA é uma funcionalidade opcional, que permite que administradores de contas apliquem autenticação adicional para APIs especificadas por clientes ao exigir que os usuários comprovem a posse física de um dispositivo de MFA. Especificamente, ele permite que os administradores incluam condições em suas políticas do IAM, que exijam a autenticação de MFA para APIs selecionadas. Os usuários fazendo chamadas para essas APIs deverão primeiro ter inserido um código de MFA válido mostrado em seus dispositivos.

P: Qual problema o acesso à API protegido por MFA resolve?
Anteriormente, os clientes podiam exigir MFA para acesso ao AWS Management Console, mas não podiam aplicar requisitos de MFA para desenvolvedores e aplicativos interagindo diretamente com APIs de serviço da AWS. O acesso à API protegido por MFA garante que as políticas do IAM sejam universalmente aplicadas, independentemente do caminho de acesso. Consequentemente, agora você pode desenvolver seu próprio aplicativo que usa a AWS e solicitar ao usuário autenticação de MFA antes de acionar APIs avançadas ou acessar recursos importantes.

P: Como faço para começar a usar o acesso à API protegido por MFA?
Você pode começar o uso em duas etapas simples:

  1. Atribua um dispositivo de MFA aos seus usuários do IAM. Você pode comprar um chaveiro de hardware ou baixar um aplicativo gratuito compatível com TOTP para seu smartphone, tablet ou computador. Consulte a página de detalhes da MFA para saber mais sobre dispositivos AWS MFA.
  2. Habilite o acesso à API protegido por MFA ao criar políticas de acesso para os usuários do IAM e/ou grupos do IAM dos quais você quer exigir a autenticação de MFA. Isso pode ser realizado no Console do IAM, na CLI do IAM ou na API do IAM. Para saber mais sobre a sintaxe da linguagem de políticas de acesso, consulte a documentação sobre a linguagem de políticas de acesso.

P: Como os desenvolvedores e usuários acessam APIs e recursos seguros com o acesso à API protegido por MFA?
Os desenvolvedores e usuários interagem com o acesso à API protegido por MFA no AWS Management Console e nas APIs.

No AWS Management Console, qualquer usuário do IAM habilitado com MFA deverá realizar a autenticação com seu dispositivo para se cadastrar. Os usuários que não tiverem MFA não receberão acesso a recursos e APIs protegidos por MFA.

No nível de API, os desenvolvedores podem integrar a AWS MFA em seus aplicativos para solicitar que os usuários façam a autenticação usando seus dispositivos de MFA atribuídos antes de acionarem APIs avançadas ou acessar recursos importantes. Os desenvolvedores habilitam essa funcionalidade adicionando parâmetros opcionais de MFA (número de série e código de MFA) a solicitações de obtenção de credenciais temporárias de segurança (essas solicitações também são chamadas de “solicitações de sessão”). Se os parâmetros forem válidos, as credenciais temporárias de segurança que rastreiam o status de MFA serão retornadas. Consulte a documentação sobre credenciais de segurança temporárias para obter mais informações.

P: Quem pode usar o acesso à API protegido por MFA?
O acesso à API protegido por MFA está disponível gratuitamente para todos os clientes da AWS.

P: Com quais serviços o acesso à API protegido por MFA funciona?
O acesso à API protegido por MFA é compatível com todos os serviços da AWS compatíveis com credenciais temporárias de segurança. Para obter uma lista de serviços compatíveis, consulte a documentação de credenciais temporárias de segurança.

P: O que ocorre se um usuário fornecer informações incorretas de dispositivo de MFA ao solicitar credenciais temporárias de segurança?
A solicitação de emissão de credenciais temporárias de segurança falhará. As solicitações de credenciais temporárias de segurança que especificam parâmetros de MFA devem fornecer o número de série correto do dispositivo vinculado ao usuário do IAM, bem como um código válido de MFA.

P: O acesso à API protegido por MFA controla o acesso à API para contas root?
Não, o acesso à API protegido por MFA controla somente o acesso para usuários do IAM. As contas root não são vinculadas por políticas do IAM. É por isso que a AWS recomenda que você crie usuários do IAM para interagir com APIs do serviço da AWS em vez de usar credenciais de conta root.

P: Os usuários precisam ter um dispositivo de MFA atribuído a eles para usar o acesso à API protegido por senha?
Sim, um usuário deve primeiro ser atribuído a um dispositivo de hardware de MFA ou virtual exclusivo.

P: O acesso de API protegido por MFA é compatível com objetos do S3, filas do SQS e tópicos do SNS?
Sim.

P: Como o acesso à API protegido por MFA interagirá com casos de uso de MFA existentes, como S3 MFA Delete?
O acesso à API protegido por MFA e o S3 MFA Delete não interagem entre si. Atualmente, o S3 MFA Delete não é compatível com credenciais temporárias de segurança. Em vez disso, o acionamento da API do S3 MFA Delete API deve ser feito com chaves de acesso de longo prazo.

P: O acesso à API protegido por MFA funciona no GovCloud?
Sim.

P: O acesso à API protegido por MFA funciona para usuários federados?
Os clientes não poderão usar o acesso à API protegido por MFA para controlar o acesso de usuários federados. A API GetFederatedSession não aceita parâmetros de MFA. Como os usuários federados não podem realizar a autenticação com dispositivos AWS MFA, eles não poderão acessar recursos designados usando o acesso à API protegido por MFA.