As permissões deixam que você especifique o acesso aos recursos da AWS. As permissões são concedidas às entidades do IAM (usuários, grupos e funções) e, como padrão, essas entidades inicialmente não têm permissões. Em outras palavras, as entidades do IAM não podem fazer nada na AWS até que você conceda a elas as permissões desejadas. Para disponibilizar permissões às entidades, você poderá anexar uma política que especifique o tipo de acesso, as ações que poderão ser executadas e os recursos em que as ações poderão ser executadas. Além disso, você poderá especificar qualquer condição que deva ser definida para que o acesso seja permitido ou negado.

How to Become an IAM Policy Ninja in 60 Minutes or Less
55:38
How to Become an AWS IAM Policy Ninja in 60 Minutes or Less

Comece a usar a AWS gratuitamente

Crie uma conta gratuita
Ou faça login no Console

O nível gratuito da AWS inclui 750 horas de Nó de cache micro com o Amazon ElastiCache.

Consulte os detalhes do nível gratuito da AWS »

Para atribuir permissões a um usuário, grupo, função ou recurso, você deverá criar uma política que deixe especificar o seguinte:

  • Ações: que ações de Serviços da AWS são permitidas. Por exemplo, você pode permitir que um usuário chame a ação ListBucket do Amazon S3. Qualquer ação que você não permita explicitamente é negada.
  • Recursos: em que recursos da AWS você permite que ações sejam desempenhadas. Por exemplo, em quais buckets do Amazon S3 você permitirá que o usuário execute a ação ListBucket? Os usuários não podem acessar nenhum recurso ao qual você não tenha concedido permissões explicitamente.
  • Efeito: se deseja permitir ou negar o acesso. Visto que o acesso é negado como padrão, você normalmente escreverá políticas em que o efeito será de permissão.
  • Condições: quais condições deverão estar presentes para que a política entre em vigor. Por exemplo, você poderá permitir acesso apenas para buckets específicos do S3 se o usuário estiver fazendo a conexão por meio de um intervalo IP específico ou tiver usado a autenticação multifator ao fazer login.

Você cria políticas usando o editor visual ou o JSON. Uma política é composta por uma ou mais instruções, cada qual descrevendo um conjunto de permissões. Para saber mais sobre a linguagem de políticas, consulte AWS IAM Policy Reference.

O editor virtual orienta você durante a concessão de permissões usando políticas do IAM, sem necessidade de escrever as políticas em JSON (mas você poderá continuar a criar e editar políticas em JSON, se preferir). A política desta captura de tela foi criada usando o editor virtual. A política concederá cinco ações List e Read do Amazon S3 ao bucket e aos objetos do S3 em SampleBucket, se o prefixo começar com MyPrefix.

Captura de tela do editor visual

Se você usar o Console de Gerenciamento da AWS para gerenciar permissões, poderá ver os resumos de políticas. O resumo de uma política lista o nível de acesso, os recursos e as condições de cada serviço definido em uma política (veja a seguir a captura de tela de um exemplo). Para ajudar a compreender as permissões definidas em uma política, as ações de cada Serviço da AWS são categorizadas em quatro níveis de acesso: List, Read, Write e Permissions management.

Screenshot do resumo de uma política

Você poderá selecionar uma política pré-definida gerenciada pela AWS ou criar sua própria usando o gerador de políticas. Para obter mais informações, consulte a seção Overview of IAM Policies do guia Using IAM.