Módulo 2: Proteja sua conta da AWS

1. Cadastre-se no Console de Gerenciamento da AWS.

2. Selecione Usuário raiz e insira o endereço de e-mail que você especificou ao criar sua conta e, em seguida, escolha Avançar.

3. Poderá ser necessário concluir uma verificação de segurança. Digite os caracteres da imagem no espaço fornecido e clique em Enviar. Você deve concluir essa verificação para passar para a próxima etapa.

Dica: selecione o botão Som para ouvir um conjunto de números e letras para digitar. Selecione o botão Atualizar para alterar a imagem se você não conseguir discernir os caracteres na imagem original.

4. Na página de login, digite sua senha e escolha Entrar.

Parabéns, você acaba de entrar no Console de Gerenciamento da AWS como o usuário raiz. Mas você não quer usar o usuário raiz para tarefas diárias. O usuário raiz deve ser usado apenas para tarefas específicas de gerenciamento de contas, duas das quais executaremos na próxima parte deste tutorial. 

• Ativar a MFA para o usuário raiz
• Crie um usuário administrativo no Centro de Identidade do IAM

Para ver a lista completa de tarefas que exigem que você faça login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz.

1. Faça login na sua conta da AWS recém-criada usando as credenciais do usuário raiz.

3. Em Recomendações de segurança, há um aviso para Adicionar MFA ao usuário raiz.
4. Selecione Adicionar MFA. 

A página Configurar dispositivo será aberta. Esta página tem três etapas a serem concluídas.

9. Configure o aplicativo autenticador em seu dispositivo móvel. Vários aplicativos autenticadores diferentes são compatíveis com dispositivos Android e iOS. Consulte a seção Aplicativos autenticadores virtuais na página Autenticação multifator (MFA) para IAM para obter uma lista de aplicativos compatíveis e links para os locais de download.

10. Abra o aplicativo autenticador em seu dispositivo móvel.

11. Selecione o link Mostrar código QR para mostrar um código QR exclusivo para sua conta. Se você não conseguir escanear o código QR, selecione o link Mostrar chave secreta para exibir uma chave de texto que você pode inserir no aplicativo autenticador para identificar sua conta.

12. Leia o código QR com seu aplicativo autenticador ou insira o código em seu aplicativo autenticador para vincular o dispositivo autenticador à sua conta.

13. Depois que o autenticador estabelecer o link para sua conta, ele começará a gerar códigos secretos válidos por um número limitado de segundos. No código de MFA 1, digite o código que você vê no aplicativo. Aguarde até que esse código mude para o próximo, digite esse código em Código MFA 2 e selecione Adicionar MFA antes que o segundo código expire.

Você retornará à página Minhas credenciais de segurança (usuário raiz). Uma mensagem de notificação é exibida na parte superior informando que o dispositivo de MFA está atribuído.

Suas credenciais de usuário raiz agora estão mais seguras. 

14. Saia do console. Na próxima vez que você fizer login usando as credenciais do usuário raiz, você fornecerá as credenciais do seu dispositivo de MFA, bem como seu endereço de e-mail e senha.

1. Faça login na sua conta da AWS usando as credenciais do usuário raiz.

Sua fonte de identidade é onde seus usuários e grupos são gerenciados. Depois de configurar a fonte de identidade, você pode procurar usuários ou grupos para conceder a eles acesso de login único a contas da AWS, a aplicações em nuvem ou ambos.

Você só pode ter uma fonte de identidade por organização. Você pode usar:

• Diretório do Centro de Identidade — Quando você ativa o Centro de Identidade do IAM pela primeira vez, ele é automaticamente configurado com um diretório do Centro de Identidade como sua fonte de identidade padrão, onde você gerenciará os usuários e grupos.
• Active Directory: usuários e grupos são gerenciados em seu diretório do AWS Managed Microsoft AD usando o AWS Directory Service ou no diretório autogerenciado no Active Directory (AD).
• Provedor de identidade externo: usuários e grupos são gerenciados em um provedor de identidade (IdP) externo, como o Okta ou o Azure Active Directory.

Neste tutorial, usaremos o diretório do Centro de Identidade.

1. Navegue até o console do Centro de Identidade do IAM e escolha Usuários. Clique em Adicionar usuário.

• Nome de usuário: o nome de usuário é usado para entrar no portal de acesso da AWS e não pode ser alterado posteriormente. Escolha um nome que seja fácil de lembrar. Neste tutorial, adicionaremos o usuário John.
• Senha: escolha Enviar um e-mail para este usuário com instruções de configuração de senha (Recomendado). Essa opção envia ao usuário um endereço de e-mail da Amazon Web Services, com a linha de assunto Convite para ingressar no Centro de Identidade do IAM (sucessor do AWS Single Sign-On). O remetente do e-mail será no-reply@signin.aws ou no-reply@login.awsapps.com. Adicione esses endereços de e-mail à sua lista de remetentes aprovados para que eles não sejam tratados como lixo eletrônico ou spam.

3. Na seção Informações primárias, preencha os detalhes obrigatórios do usuário:  

• Endereço de e-mail: insira um endereço de e-mail para o usuário onde você possa receber o e-mail. Em seguida, insira-o novamente para confirmá-lo. Cada usuário deve ter um endereço de e-mail exclusivo.
  

Dica: durante o teste, talvez você consiga usar o subendereçamento de e-mail para criar endereços de e-mail válidos para vários usuários fictícios. Se seu provedor de e-mail oferecer suporte, você poderá criar um novo endereço de e-mail anexando o sinal de mais (+) e depois números ou caracteres ao seu endereço de e-mail atual, como alguém@exemplo.com, alguém+1@exemplo.com e alguém+test@exemplo.com. Todos esses endereços de e-mail resultariam no recebimento de um e-mail no mesmo endereço de e-mail. 

• Nome: insira o nome do usuário.
• Sobrenome: insira o sobrenome do usuário.
• Nome de exibição: é preenchido automaticamente com o nome e o sobrenome do usuário. Se quiser alterar o nome de exibição, você pode inserir algo diferente. O nome de exibição fica visível no portal de login e na lista de usuários. 
• Se quiser, preencha as informações opcionais. Elas não são usadas durante este tutorial e podem ser adicionadas posteriormente.

4. Selecione Avançar.

Os grupos permitem que você especifique permissões para vários usuários, o que facilita o gerenciamento de permissões para os usuários em questão.

1. Selecione Criar grupo.

2. Uma nova guia do navegador é aberta para exibir a página Criar grupo.

3. Em Detalhes do grupo, em Nome do grupo, insira Administradores.

4. Selecione Criar grupo.

Seu novo usuário existe, mas não tem acesso a nenhum recurso, serviços ou aplicações, portanto, o usuário ainda não pode substituir seu usuário raiz nas tarefas administrativas diárias. Vamos dar ao seu novo usuário acesso à sua conta da AWS. Como colocamos o usuário em um grupo, atribuiremos o grupo a uma conta e, em seguida, adicionaremos um conjunto de permissões que define o que os membros do grupo podem acessar.

Ainda usaremos as credenciais do usuário raiz para esse procedimento.

Faça login na sua conta da AWS usando as credenciais do usuário raiz.

Na página de contas da AWS, em Estrutura organizacional, sua raiz é exibida com a conta de teste abaixo dela na hierarquia. Marque a caixa de seleção da sua conta de teste e selecione Atribuir usuários ou grupos.

O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste nas seguintes etapas: 

Para a Etapa 1: Selecione usuários e grupos, selecione o grupo Administradores que você criou anteriormente neste tutorial. Selecione Avançar.

Para a Etapa 2: Selecione conjuntos de permissões, selecione Criar conjunto de permissões para abrir uma nova guia que orientará você pelas três subetapas envolvidas na criação do conjunto de permissões.

Uma nova guia do navegador é aberta exibindo a Etapa 1: Selecione o tipo de conjunto de permissões. Faça as seleções a seguir:

1. Em Tipo de conjunto de permissões, selecione Conjunto de permissões predefinido
2. Em Política para conjunto de permissões predefinido, selecione AdministratorAccess
3. Em seguida, escolha Avançar para continuar.

Para a Etapa 2: Especifique os detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar. As configurações padrão criam um conjunto de permissões chamado AdministratorAccess com a duração da sessão definida para uma hora. 

Para a Etapa 3: Revise e crie, verifique se o tipo de conjunto de permissões usa a política gerenciada pela AWS, AdministratorAccess. Escolha Criar.

Você retornará à página Conjuntos de permissões. Uma notificação aparece na parte superior da página informando que o conjunto de permissões foi criado com sucesso. Selecione X para fechar a guia.

Na guia Atribuir usuários e grupos do navegador, na Etapa 2: Selecione os conjuntos de permissões, seção Conjuntos de permissões, selecione Atualizar. O conjunto de permissões AdministratorAccess que você criou aparecerá na lista. Marque a caixa de seleção desse conjunto de permissões e escolha Avançar. 

Para a Etapa 3: Revisar e enviar, revise os usuários e grupos selecionados e o conjunto de permissões e escolha Enviar.

A página é atualizada com uma mensagem de que sua conta da AWS está sendo configurada. Espere até que o processo seja concluído.

Você retornará à página de contas da AWS no Centro de Identidade do IAM. Uma mensagem de notificação informa que sua conta da AWS foi provisionada novamente e que o conjunto de permissões atualizado foi aplicado. 

Você pode ver na seção Estrutura da organização que sua conta da AWS agora é a conta de gerenciamento na raiz da organização da AWS. Neste tutorial, estamos usando um espaço reservado com o nome de conta da AWS Test-acct. Em vez disso, você verá o nome da sua conta da AWS.  

Parabéns, seu usuário agora pode entrar no portal de acesso da AWS e acessar recursos na sua conta da AWS. 

Agora você está pronto para entrar usando seu novo usuário administrativo. Se você tentasse fazer login anteriormente, só conseguiria estabelecer sua senha e ativar a autenticação multifator (MFA) para seu usuário, porque nenhuma outra permissão havia sido concedida ao usuário. Agora, o usuário terá permissões completas para seus recursos da AWS, mas ainda precisará configurar uma senha e configurar a MFA, então vamos analisar esses procedimentos.

Um novo e-mail de usuário foi enviado para o endereço de e-mail que você especificou ao criar o usuário. O e-mail contém três itens importantes:

1. Um link para aceitar o convite para participar
2. A URL do seu portal de acesso da AWS
3. O nome de usuário que você usará para fazer login

Abra o e-mail e registre a URL do portal de acesso da AWS e o nome de usuário para uso futuro. Em seguida, selecione o link Aceitar convite. 

Dica: se você não encontrar o convite para participar do e-mail do Centro de Identidade do IAM na sua pasta da caixa de entrada, verifique suas pastas de spam, lixo eletrônico e itens excluídos (ou lixo). O remetente dos e-mails enviados pelo serviço do Centro de Identidade do IAM será no-reply@signin.aws ou no-reply@login.awsapps.com. Se você não conseguir encontrar o e-mail, faça login como usuário raiz e redefina a senha do usuário do Centro de Identidade. Para obter instruções, consulte Redefinir uma senha de usuário do Centro de Identidade do IAM. Se você ainda não receber o e-mail, redefina a senha novamente e escolha a opção Gerar uma senha única que você possa compartilhar com o usuário.

O link abre uma janela do navegador e exibe a página de inscrição de novo usuário.

Na página de cadastro de novos usuários, especifique uma nova senha.

As senhas devem ser:

• De 8 a 64 caracteres
• Composta por letras maiúsculas e minúsculas, números e caracteres não alfanuméricos.

Depois de confirmar a senha, selecione Definir nova senha.

Ocorrerá um pequeno atraso enquanto o usuário é provisionado. 

O console da AWS é aberto.

Na barra superior, ao lado do Nome do usuário, selecione Dispositivos de MFA para configurar a MFA.

A página de dispositivos de autenticação multifator (MFA) será aberta. Escolha Registrar dispositivo.

Na página Registrar dispositivo de MFA, selecione o dispositivo de MFA a ser usado com a conta. As opções não suportadas pelo seu navegador ou plataforma estão esmaecidas e não podem ser selecionadas.

Examinaremos as telas da opção do aplicativo Authenticator. Isso processo é semelhante ao que você seguiu ao configurar o dispositivo de MFA para o usuário raiz na primeira parte do tutorial. A diferença é que esse dispositivo de MFA está sendo registrado no Centro de Identidade do IAM e não no IAM. Se você selecionar um dispositivo de MFA diferente, siga as instruções do dispositivo selecionado. 

Selecione o link Mostrar código QR para mostrar um código QR exclusivo para sua organização da AWS. Se você não conseguir escanear o código QR, escolha o link Mostrar chave secreta para exibir uma chave de texto que você pode inserir no aplicativo Authenticator para identificar sua organização. Escaneie o código QR com seu aplicativo autenticador ou insira o código em seu aplicativo autenticador para vincular o dispositivo autenticador à sua organização. 

Depois que o autenticador estabelecer o link para sua organização, ele começará a gerar códigos secretos válidos por um número limitado de segundos. No código do autenticador, digite o código que você vê no aplicativo e escolha Atribuir MFA. 

Observação: ao registrar um dispositivo de MFA no Centro de Identidade do IAM, somente um código autenticador será necessário para o registro.

Seu dispositivo foi registrado com êxito, selecione Concluído. 

No portal de acesso, selecione a Conta da AWS a ser gerenciada. As permissões configuradas para sua conta são mostradas com duas opções de conexão.

• Selecione Console de gerenciamento para abrir o Console de Gerenciamento da AWS e gerenciar seus recursos da AWS usando os painéis do console de serviços.
• Selecione Linha de comando ou acesso programático para obter credenciais para acessar os recursos da AWS de forma programática ou na AWS CLI. Para saber mais sobre como obter essas credenciais, consulte Obter credenciais de usuário do Centro de Identidade do IAM para a AWS CLI ou os AWS SDKs. 
  

Para este tutorial, selecione Console de gerenciamento.

O Console de Gerenciamento da AWS é aberto. Como usuário com acesso administrativo, você pode adicionar serviços, adicionar mais usuários e configurar políticas e permissões. Você não precisa mais usar o usuário raiz para realizar essas tarefas.