As funções do IAM permitem que você delegue acesso aos usuários e serviços que normalmente não têm acesso aos recursos da AWS da sua organização. Os usuários do IAM ou os Serviços da AWS poderão assumir uma função para obter credenciais temporárias de segurança que possam ser usadas para fazer chamadas de API da AWS. Consequentemente, você não precisará compartilhar credenciais em longo prazo ou definir permissões para cada entidade que necessite de acesso a um recurso.
- Introducing an Easier Way to Delegate Permissions to AWS Services: Service-Linked Roles
- Adhere to IAM Best Practices in 2016
- How to Use a Single IAM User to Easily Access All Your Accounts by Using the AWS CLI
- Test Your Roles' Access Policies Using the AWS Identity and Access Management Policy Simulator
- Make a New Year’s Resolution: Adhere to IAM Best Practices
- Enable a New Feature in the AWS Management Console: Cross-Account Access
- Sharing AWS CloudTrail Log Files Between Accounts
Comece a usar a AWS gratuitamente
Crie uma conta gratuitaOu faça login no Console
O nível gratuito da AWS inclui 750 horas de Nó de cache micro com o Amazon ElastiCache.
Os seguintes cenários destacam alguns dos desafios que você poderá gerenciar delegando acesso:
- Conceder acesso aos recursos da AWS para as aplicações executadas nas instâncias do Amazon EC2
Para conceder aos aplicativos em uma instância do Amazon EC2 acesso aos recursos da AWS, os desenvolvedores podem distribuir suas credenciais para cada instância. Os aplicativos podem usar, por sua vez, essas credenciais para acessar recursos como os buckets do Amazon S3 ou os dados do Amazon DynamoDB. No entanto, a distribuição de credenciais de longo prazo para cada instância é um desafio para o gerenciamento e um risco potencial a segurança. O vídeo acima descreve em mais detalhes como usar as funções para resolver este problema de segurança.
- Acesso entre contas
Para controlar ou gerenciar o acesso aos recursos, por exemplo, isolando um ambiente de desenvolvimento de um ambiente de produção, você poderá ter várias contas da AWS. No entanto, em alguns casos, os usuários de uma conta talvez precisem acessar recursos em outra conta. Por exemplo, um usuário do ambiente de desenvolvimento poderá precisar de acesso ao ambiente de produção para promover uma atualização. Desta forma, os usuários deverão ter as credenciais de cada conta, mas o gerenciamento de muitas credenciais para várias contas dificulta o gerenciamento de identidades. O uso de uma função do IAM pode simplificar isso. Consulte o estudo de caso da Trend Micro para ver o funcionamento do acesso entre contas.
- Como conceder permissões para Serviços da AWS
Antes que os Serviços da AWS possam executar ações por você, será necessário conceder permissões para que eles possam fazer isso. Você pode usar atribuições do AWS IAM para conceder permissões para que Serviços da AWS realizem chamadas para outros Serviços da AWS automaticamente, como também criem e gerenciem recursos da AWS na sua conta. Os Serviços da AWS, como o Amazon Lex, também oferecem atribuições vinculadas a serviços que são predefinidas e podem ser assumidas pelo serviço em questão.
Para obter mais informações sobre como gerenciar funções no IAM, veja a seção Roles do guia Using IAM.