P: O que é o AWS Identity and Access Management (IAM)?
Você pode usar o AWS IAM para controlar de modo seguro o acesso individual e de grupo aos seus recursos da AWS. É possível criar e gerenciar identidades de usuário (“usuários do IAM”) e conceder permissões para esses usuários do IAM acessarem seus recursos. Você também pode conceder permissões para usuários fora da AWS (usuários federados).

P: Como faço para começar a usar o IAM?
Para começar a usar o IAM, você deve se inscrever em pelo menos um dos serviços da AWS que foi integrado ao IAM. Depois, é possível criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, da CLI da AWS ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar. Você também pode usar o editor visual para criar políticas.

P: Qual o problema solucionado pelo IAM?
O IAM facilita o fornecimento a vários usuários de acesso seguro aos recursos da AWS. O IAM permite:

  • Gerenciar os usuários do IAM e seus acessos: você pode criar usuários no sistema de gerenciamento de identidades da AWS, atribuir a eles credenciais de segurança individuais (ou seja, chaves de acesso, senhas e dispositivos de autenticação multifator) ou solicitar credenciais de segurança temporárias para fornecer aos usuários acesso a serviços e recursos da AWS. É possível especificar as permissões para controlar quais operações um usuário pode realizar.
  • Gerenciar o acesso de usuários federados: você pode solicitar credenciais de segurança com expirações configuráveis para usuários gerenciados no diretório corporativo, fornecendo aos funcionários e aplicativos acesso seguro aos recursos na conta da AWS, sem criar uma conta de usuário do IAM para eles. Você especifica as permissões dessas credenciais de segurança para controlar quais operações um usuário pode realizar.

P: Quem pode usar o IAM?
Qualquer cliente da AWS pode usar o IAM. O serviço é oferecido gratuitamente. Você será cobrado somente pelo uso de outros Serviços da AWS utilizados pelos seus usuários.

P: O que é um usuário?
Um usuário é uma identidade exclusiva reconhecida pelos serviços e aplicativos da AWS. Semelhante a um usuário de login em um sistema operacional como Windows ou UNIX, um usuário tem um nome exclusivo e pode se identificar usando credenciais de segurança familiares, como uma senha ou chave de acesso. O usuário pode ser um indivíduo, sistema ou aplicativo que precise de acesso aos serviços da AWS. O IAM oferece suporte para usuários gerenciados no sistema de gerenciamento de identidades da AWS (chamados de "usuários do IAM") e também permite que você conceda acesso a recursos da AWS para usuários gerenciados fora da AWS em seu diretório corporativo (chamados de "usuários federados").

P: O que um usuário pode fazer?
O usuário consegue fazer solicitações para serviços da web, como Amazon S3 e Amazon EC2. A capacidade do usuário de acessar APIs de serviços da web está sob o controle e a responsabilidade da conta da AWS sob a qual ela está definida. Você pode dar permissão a um usuário para acessar qualquer um dos serviços da AWS (ou todos) que foram integrados ao IAM e nos quais a conta da AWS foi inscrita. Se a permissão for concedida, o usuário terá acesso a todos os recursos sob a conta da AWS. Além disso, se a conta da AWS tiver acesso a recursos de outra conta da AWS, seus usuários poderão acessar dados nessas contas. Quaisquer recursos da AWS criados por um usuário estão sob controle de sua conta da AWS e são pagos por ela. O usuário não pode se inscrever nos serviços da AWS ou controlar recursos de forma independente.

P: Como os usuários podem chamar os serviços da AWS?
Os usuários podem fazer solicitações de serviços da AWS usando credenciais de segurança. Permissões explícitas controla a habilidade de um usuário chamar os serviços da AWS. Por padrão, os usuários não têm a capacidade de chamar APIs de serviço em nome da conta.

P: Como faço para começar a usar o IAM?
Para começar a usar o IAM, você deve se inscrever em pelo menos um dos serviços da AWS que foi integrado ao IAM. Depois, é possível criar e gerenciar usuários, grupos e permissões por meio de APIs do IAM, da CLI da AWS ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar. Também é possível usar o AWS Policy Generator para criar políticas.


P: Como os usuários do IAM são gerenciados?
O IAM é compatível com vários métodos para:

  • Criar e gerenciar usuários do IAM.
  • Criar e gerenciar grupos do IAM.
  • Gerenciar as credenciais de segurança de usuários.
  • Criar e gerenciar políticas para conceder acesso a serviços e recursos da AWS.

Você pode criar e gerenciar usuários, grupos e políticas usando APIs do IAM, a CLI da AWS ou o console do IAM. Você também pode usar o editor visual e o simulador de políticas do IAM para criar e testar políticas.

P: O que é um grupo?
Um grupo é um conjunto de usuários do IAM. Gerencie a associação do grupo como uma lista simples:

  • Adicione usuários a ou remova-os de um grupo.
  • Um usuário pode pertencer a vários grupos.
  • Os grupos não podem pertencer a outros grupos.
  • Os grupos podem obter permissões usando políticas de controle de acesso. Isso facilita o gerenciamento de permissões para um conjunto de usuários, em vez de ter de gerenciar permissões para cada usuário individual.
  • Os grupos não têm credenciais de segurança e não podem acessar serviços da Web diretamente; eles existem somente para facilitar o gerenciamento de permissões de usuários. Para obter mais detalhes, consulte Como trabalhar com grupos e usuários.

P: Quais tipos de credenciais de segurança os usuários do IAM podem ter?
Os usuários do IAM podem ter qualquer combinação de credenciais compatíveis com a AWS, como uma chave de acesso da AWS, certificado X.509, chave SSH, senha para login em aplicativos da web ou um dispositivo de MFA. Isso permite que os usuários interajam com a AWS da maneira que for mais conveniente para eles. Um funcionário pode ter uma chave de acesso da AWS e uma senha; um sistema de software pode ter somente uma chave de acesso da AWS para fazer chamadas programáticas; usuários do IAM podem ter uma chave privada SSH para acessar repositórios do AWS CodeCommit; e um prestador de serviços externo pode ter somente um certificado X.509 para usar a interface de linha de comando do EC2. Para obter detalhes, consulte Credenciais de segurança temporárias na documentação do IAM.

P: Quais serviços da AWS oferecem suporte aos usuários do IAM?
Você pode encontrar a lista completa de serviços da AWS que suportam os usuários do IAM na seção Serviços da AWS que funcionam com o IAM da documentação do IAM. A AWS planeja adicionar suporte para outros serviços ao longo do tempo.

P: Posso habilitar e desabilitar o acesso de um usuário?
Sim. Você pode habilitar e desabilitar a chaves de acesso de um usuário do IAM por meio de APIs do IAM, da CLI da AWS ou do console do IAM. Se você desabilitar as chaves de acesso, o usuário não poderá acessar programaticamente os serviços da AWS.

P: Quem pode gerenciar os usuários de uma conta da AWS?
O detentor da conta da AWS pode gerenciar usuários, grupos, credenciais de segurança e permissões. Além disso, você pode conceder permissões para usuários individuais fazerem chamadas para APIs do IAM, a fim de gerenciar outros usuários. Por exemplo, um usuário administrador poderá ser criado para gerenciar os usuários de uma corporação, o que constitui uma prática recomendada. Quando você concede uma permissão para um usuário gerenciar outros usuários, ele poderá fazê-lo por meio das APIs do IAM, da CLI da AWS ou do console do IAM.

P: Posso estruturar um grupo de usuários de modo hierárquico, assim como no LDAP?
Sim. Você pode organizar usuários e grupos em caminhos, semelhantes a caminhos de objetos no Amazon S3 – por exemplo, mycompany/division/project/joe.

P: Posso definir usuários regionalmente?
Não inicialmente. Os usuários são entidades globais, como uma conta da AWS é hoje. Nenhuma região precisa ser especificada quando você define permissões do usuário. Os usuários podem usar serviços da AWS em qualquer região geográfica.

P: Como os dispositivos de MFA são configurados para usuários do IAM?
Você (o detentor da conta da AWS) pode encomendar vários dispositivos de MFA. Você pode então atribuir esses dispositivos a usuários do IAM individuais por meio de APIs do IAM, da CLI da AWS ou do console do IAM.

P: Qual tipo de rodízio de chave é compatível com os usuários do IAM?
É possível fazer o rodízio das chaves de acesso e dos certificados X.509 do usuário, da mesma forma que ocorre com os identificadores de acesso-raiz de uma conta da AWS. Você pode gerenciar e rotacionar programaticamente as chaves de acesso de um usuário e os certificados X.509 através de APIs do IAM, da CLI da AWS ou console do IAM.

P: Os usuários do IAM podem ter chaves SSH do EC2 individuais?
Não na versão inicial. O IAM não afeta chaves SSH do EC2 ou certificados RDP do Windows. Isso significa que, embora cada usuário tenha credenciais separadas para acessar APIs de serviços da web, ele deverá compartilhar chaves SSH comuns na conta da AWS sob a qual ele foi definido.

P: Onde posso usar minhas chaves SSH?

No momento, usuários do IAM podem utilizar chaves SSH para acessar seus repositórios usando o AWS CodeCommit.

P: Os nomes de usuários do IAM têm de ser endereços de e-mail?
Não, mas podem ser. Os nomes de usuário são apenas strings ASCII que são exclusivas dentro de uma determinada conta da AWS. Você pode atribuir nomes usando qualquer convenção de nomes que escolher, incluindo endereços de e-mail.

P: Quais conjuntos de caracteres posso usar para nomes de usuário do IAM?
Você pode usar apenas caracteres ASCII para entidades do IAM.

P: Há outros atributos de usuários além do nome do usuário compatível?
Não neste momento.

P: Como as senhas de usuários são definidas?
Você pode configurar uma senha inicial para um usuário do IAM por meio do console do IAM, da CLI da AWS ou de APIs do IAM. As senhas do usuário nunca aparecem em texto nítido após o provisionamento inicial e nunca são exibidas ou retornadas por meio de uma chamada de API. Os usuários do IAM podem gerenciar suas senhas por meio da página My Password no console do IAM. Os usuários acessam essa página selecionando a opção Credenciais de segurança na lista suspensa no canto superior direitos do Console de Gerenciamento da AWS.

P: Posso definir uma política para as senhas dos meus usuários?
Sim, você pode aplicar senhas fortes, como senhas com comprimento mínimo ou com pelo menos um número. Você também pode aplicar expiração automática de senhas, impedir a reutilização de senhas antigas e exigir a redefinição da senha no próximo login na AWS. Para obter detalhes, consulte Como definir uma senha com a política de conta para usuários do IAM.

P: Posso definir cotas de uso quanto aos usuários do IAM?
Não. Todos os limites são para a conta da AWS como um todo. Por exemplo, se a sua conta da AWS tem um limite de 20 instâncias do Amazon EC2, os usuários do IAM com permissões do EC2 podem iniciar instâncias até esse limite. Não é possível limitar o que cada usuário pode fazer.


P: O que é uma função do IAM?
Uma função é uma entidade do IAM que define um conjunto de permissões para efetuar solicitações de serviços da AWS. As funções do IAM não são associadas a um usuário ou grupo específico. Em vez disso, entidades de confiança assumem funções, como usuários do IAM, aplicativos ou serviços da AWS, como o EC2.

P: Quais problemas são solucionados pelas funções do IAM?
As funções do IAM permitem que você delegue o acesso com permissões definidas a entidades confiáveis, sem precisar compartilhar chaves de acesso de longo prazo. Você pode usar as funções do IAM para delegar acesso a usuários do IAM gerenciados em sua conta, a usuários do IAM em outra conta da AWS ou a um serviço da AWS, como o EC2.

P: Como faço para começar a usar as funções do IAM?
Você cria uma função de maneira semelhante à criação de um usuário – nomeie a função e anexe uma política a ela. Para obter detalhes, consulte Como criar funções do IAM.

P: Como faço para assumir uma função do IAM?
Você assume uma função do IAM chamando as APIs AssumeRole do AWS Security Token Service (STS) (ou seja, AssumeRole, AssumeRoleWithWebIdentity e AssumeRoleWithSAML). Essas APIs retornam um conjunto de credenciais de segurança temporárias que os aplicativos podem usar para assinar solicitações às APIs de serviço da AWS.

P: Quantas funções do IAM posso assumir?
Não há limite para o número de funções do IAM que você pode assumir, mas você pode atuar somente como uma função do IAM ao fazer suas solicitações para serviços da AWS.

P: Quem pode usar as funções do IAM?
Qualquer cliente da AWS pode usar funções do IAM.

P: Quanto custam as funções do IAM?
As funções do IAM são gratuitas. Você continuará a pagar por qualquer recurso consumido por uma função na sua conta da AWS.

P: Como os usuários das funções do IAM são gerenciados?
Você pode criar e gerenciar funções do IAM por meio das APIs do IAM, da CLI da AWS ou do console do IAM, que oferece uma interface baseada na web do tipo apontar e clicar.

P: Qual a diferença entre uma função do IAM e um usuário do IAM?
Um usuário do IAM tem credenciais em longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Uma função do IAM não tem quaisquer credenciais e não pode fazer solicitações diretas para serviços da AWS. As funções do IAM são destinadas a ser presumidas por entidades autorizadas, como usuários do IAM, aplicativos ou um serviço da AWS, como o EC2.

P: Quando devo usar um usuário do IAM, um grupo do IAM ou uma função do IAM?

Um usuário do IAM tem credenciais em longo prazo permanentes e é usado para interagir diretamente com serviços da AWS. Um grupo do IAM é principalmente uma conveniência de gerenciamento para gerenciar o mesmo conjunto de permissões para um conjunto de usuários do IAM. Uma função do IAM é uma entidade do AWS Identity and Access Management (IAM) com permissões para fazer solicitações de serviço da AWS. As funções do IAM não podem fazer solicitações diretas para serviços da AWS; elas se destinam a ser presumidas por entidades autorizadas, como usuários do IAM, aplicativos ou serviços da AWS como o EC2. As funções do IAM são usadas para delegar acesso em ou entre contas da AWS.

P: Posso adicionar uma função do IAM a um grupo do IAM?
Não neste momento.

P: Quantas políticas posso anexar a uma função do IAM?

Para políticas em linha: você pode adicionar quantas políticas em linha desejar para um usuário, uma função ou um grupo, mas o tamanho total agregado da política (o tamanho da soma de todas as políticas em linha) por entidade não pode exceder os seguintes limites:

  • O tamanho da política de usuário não pode exceder 2.048 caracteres.
  • O tamanho da política de função não pode exceder 10.240 caracteres.
  • O tamanho da política de grupo não pode exceder 5.120 caracteres.

Para políticas gerenciadas: você pode adicionar até 10 políticas gerenciadas para um usuário, uma função ou um grupo. O tamanho de cada política gerenciada não pode exceder 6.144 caracteres.

P: Quantas funções do IAM posso criar?
Você está limitado a 1.000 funções do IAM em sua conta da AWS. Se você precisar de mais funções, envie o formulário de solicitação de aumento do IAM com seu caso de uso e consideraremos sua solicitação.

P: Para quais serviços a minha aplicação pode fazer solicitações?
Seu aplicativo pode fazer solicitações para todos os serviços da AWS compatíveis com sessões de função.

P: O que são funções do IAM para instâncias do EC2?
As funções do IAM para instâncias do EC2 permitem que seus aplicativos em execução no EC2 façam solicitações a serviços da AWS como Amazon S3, Amazon SQS e Amazon SNS, sem precisar copiar chaves de acesso da AWS para cada instância. Para obter detalhes, consulte Funções do IAM para o Amazon EC2.

P: Quais são os recursos das funções do IAM para instâncias do EC2?

As funções do IAM para instâncias do EC2 fornecem os seguintes recursos:

  • Credenciais de segurança temporárias para serem usadas ao fazer solicitações de instâncias de EC2 em execução aos serviços da AWS.
  • Rodízio automático das credenciais de segurança temporárias.
  • Permissões de serviço granular da AWS para aplicativos sendo executados em instâncias do EC2.

P: Qual problema as funções do IAM para instâncias do EC2 resolvem?
As funções do IAM para instâncias do EC2 simplificam o gerenciamento e a implantação de chaves de acesso da AWS em instâncias do EC2. Usando esse recurso, você associa uma função do IAM a uma instância. Depois, sua instância EC2 fornece credenciais de segurança temporárias para aplicativos sendo executados na instância, e os aplicativos podem usar essas credenciais para fazer solicitações de forma segura aos recursos de serviços da AWS definidos na função.

P: Como faço para começar a usar as funções do IAM para instâncias do EC2?
Para entender como as funções operam com instâncias do EC2, é necessário usar o console do IAM para criar uma função, executar uma instância do EC2 que use esta função e, em seguida, examinar a instância em execução. É possível examinar os metadados da instância para ver como as credenciais da função são disponibilizadas para uma instância. Também é possível saber como uma aplicação executada em uma instância pode usar a função. Para obter mais detalhes, consulte Como posso começar?

P: Posso usar a mesma função do IAM em várias instâncias do EC2?
Sim.

P: Posso alterar a função do IAM em uma instância do EC2 em execução?
Sim. Geralmente, apesar de uma função ser atribuída a uma instância EC2 durante seu lançamento, uma função também pode ser atribuída a uma instância EC2 que já esteja em execução. Para saber como atribuir uma função a uma instância em execução, consulte o tópico sobre Funções do IAM para o Amazon EC2. Também é possível alterar as permissões na função do IAM associadas a uma instância em execução. Depois disso, as permissões atualizadas passarão a vigorar imediatamente. 

P: Posso associar uma função do IAM a uma instância do EC2 em execução?
Sim. Você pode atribuir uma função a uma instância do EC2 em execução. Para saber como atribuir uma função a uma instância que já está em execução, consulte o tópico sobre Funções do IAM para o Amazon EC2.

P: Posso associar uma função do IAM a um grupo Auto Scaling?

Sim. Você pode adicionar uma função do IAM como um parâmetro adicional em uma configuração de execução do Auto Scaling, bem como criar um grupo Auto Scaling com essa configuração de execução. Todas as instâncias do EC2 executadas em um grupo de Auto Scaling, associado a uma função do IAM, serão executadas com a função como um parâmetro de entrada. Para obter mais detalhes, consulte o tópico sobre O que é o Auto Scaling? no Guia do desenvolvedor do Auto Scaling.

P: Posso associar mais de uma função do IAM a uma instância do EC2?
Não. No momento, você pode associar somente uma função do IAM a uma instância do EC2. Não é possível aumentar o limite de uma função por instância.

P: O que acontecerá se eu excluir uma função do IAM que está associada a uma instância EC2 em execução?
Será negado o acesso imediatamente a qualquer aplicativo em execução naquela instância que esteja usando a função.

P: Posso controlar quais funções do IAM um usuário do IAM pode associar a uma instância do EC2?
Sim. Para obter detalhes, consulte o tópico sobre Permissões exigidas para o uso de funções com o Amazon EC2.

P: Quais permissões são necessárias para executar instâncias do EC2 com uma função do IAM?
Você deve conceder a um usuário do IAM duas permissões distintas para iniciar com sucesso as instâncias do EC2 com funções:

  • Permissão para executar instâncias do EC2.
  • Permissão para associar uma função do IAM a instâncias do EC2.

Para obter detalhes, consulte o tópico sobre Permissões exigidas para o uso de funções com o Amazon EC2.

P: Quem pode acessar as chaves de acesso em uma instância do EC2?
Qualquer usuário local na instância pode acessar as chaves de acesso associadas à função do IAM.

P: Como eu uso a função do IAM com meu aplicativo na instância do EC2?
Se você desenvolver seu aplicativo com o SDK da AWS, ele usará automaticamente as chaves de acesso da AWS que foram disponibilizadas na instância do EC2. Se você não estiver usando o SDK da AWS, poderá recuperar as chaves de acesso do serviço de metadados da instância do EC2. Para obter detalhes, consulte o tópico sobre Uso de uma função do IAM para conceder permissões aos aplicativos executando em instâncias do Amazon EC2.

P: Como faço para alternar as credenciais de segurança temporárias na instância do EC2?
As credenciais de segurança temporárias da AWS associadas a uma função do IAM são automaticamente alternadas várias vezes por dia. Novas credenciais de segurança temporárias são disponibilizadas em até cinco minutos antes de as credenciais de segurança temporárias existentes expirarem.

P: Posso usar as funções do IAM para instâncias do EC2 com qualquer tipo de instância ou Amazon Machine Image?
Sim. As funções do IAM para instâncias do EC2 também funcionam no Amazon Virtual Private Cloud (VPC), com instâncias reservadas e spot.

P: O que é uma atribuição vinculada a serviços?
Uma atribuição vinculada a serviços é um tipo de atribuição vinculada a um Serviço da AWS (também conhecido como serviço vinculado) de modo que apenas o serviço vinculado poderá assumir a atribuição. Ao usar essas atribuições, você poderá delegar permissões a Serviços da AWS para criar e gerenciar recursos da AWS automaticamente.

P: Posso assumir uma atribuição vinculada a serviços?
Não. Uma atribuição vinculada a serviços pode ser assumida apenas pelo serviço vinculado. Esse é o motivo pelo qual uma política confiável de uma atribuição vinculada a serviços não pode ser modificada.

P: Posso excluir uma função vinculada a serviços?
Sim. Se você não quiser que um serviço da AWS continue a executar ações em seu nome, poderá excluir sua função vinculada a serviços. Antes de excluir a função, você deve excluir todos os recursos da AWS que dependem dessa função. Essa etapa garante que você não excluirá acidentalmente uma função necessária para o funcionamento correto dos seus recursos da AWS.

P: Como faço para excluir uma função vinculada a serviço?
Você pode excluir uma função vinculada a serviço no console do IAM. Escolha Roles no painel de navegação, escolha a função vinculada a serviço que você deseja excluir e escolha Delete role. (Observação: para o Amazon Lex, é necessário usar o console do Amazon Lex para excluir a função vinculada a serviço.)


P: Como funcionam as permissões?

As políticas de controle de acesso são anexadas a usuários, grupos e funções para atribuir permissões a recursos da AWS. Por padrão, os usuários, grupos e funções do IAM não têm permissões. Usuários com permissões suficientes devem usar uma política para conceder as permissões desejadas.

P: Como atribuir permissões usando uma política?

Para definir permissões, você pode criar e anexar políticas usando o Console de Gerenciamento da AWS, a API do IAM ou a CLI da AWS. Usuários que receberam as permissões necessárias podem criar políticas e atribuí-las a usuários, grupos e funções do IAM.

P: O que são políticas gerenciadas?

Políticas gerenciadas são recursos do IAM que exprimem permissões usando a linguagem de políticas do IAM. Você pode criar, editar e gerenciar as políticas separadamente dos usuários, grupos e funções do IAM aos quais estão anexadas. Após anexar uma política gerenciada a vários usuários, grupos ou funções do IAM, você pode atualizar essa política em um único lugar e as permissões serão automaticamente aplicadas a todas as entidades anexadas. As políticas gerenciadas são gerenciadas por você (são denominadas políticas gerenciadas pelo cliente) ou pela AWS (´são denominadas políticas gerenciadas pela AWS). Para obter mais informações sobre políticas gerenciadas, consulte o tópico sobre Políticas gerenciadas e em linha.

P: Como faço para criar uma política gerenciada pelo cliente?

Você pode usar o editor visual ou o editor de JSON no console do IAM. O editor visual é um editor do tipo apontar e clicar que guia você durante o processo de concessão de permissões em uma política, sem necessidade de escrever a política em JSON. Você pode criar políticas no JSON usando a CLI e o SDK.

P: Como atribuir as permissões mais usadas?

A AWS oferece um conjunto de permissões mais usadas que podem ser anexadas a usuários, grupos e funções do IAM na sua conta. Essas políticas são denominadas políticas gerenciadas pela AWS. Um exemplo, é acesso somente leitura ao Amazon S3. Quando a AWS atualiza essas políticas, as permissões são automaticamente aplicadas aos usuários, grupos e funções aos quais a política está anexada. As políticas gerenciadas pela AWS aparecem automaticamente na seção Policies do console do IAM. Quando você atribui permissões, pode usar uma política gerenciada da AWS ou criar sua própria política gerenciada de cliente. Crie uma nova política com base em uma política gerenciada da AWS ou defina a sua própria política.

P: Como funcionam as permissões baseadas em grupo?

Use grupos do IAM para atribuir o mesmo conjunto de permissões a vários usuários do IAM. Além disso, é possível atribuir permissões individuais a um usuário. As duas formas de anexar permissões a usuários funcionam em conjunto para definir permissões gerais.

P: Qual é a diferença entre a atribuição de permissões usando grupos do IAM e a atribuição de permissões usando políticas gerenciadas?

Use grupos do IAM para agrupar usuários do IAM e definir permissões comuns para esses usuários. Use políticas gerenciadas para compartilhar permissões entre usuários, grupos e funções do IAM. Por exemplo, se você quer que um grupo de usuários seja capaz de executar uma instância do Amazon EC2 e que a função dessa instância tenha as mesmas permissões dos usuários no grupo, você pode criar uma política gerenciada e atribuí-la ao grupo de usuários e à função dessa instância do Amazon EC2.

P: Como as políticas do IAM são avaliadas juntamente com as políticas baseadas em recursos dos serviços Amazon S3, Amazon SQS, Amazon SNS e AWS KMS?

As políticas do IAM são avaliadas juntamente com as políticas baseadas em recursos dos serviços. Se uma política de qualquer tipo concede acesso (sem negá-lo explicitamente), a ação é permitida. Para obter mais informações sobre a lógica de avaliação de políticas, consulte o tópico sobre a Lógica de avaliação de políticas do IAM

P: Posso usar uma política gerenciada como uma política baseada em recursos?

As políticas gerenciadas podem ser anexadas apenas a usuários, grupos ou funções do IAM. Não é possível usá-las como políticas baseadas em recursos.

P: Como definir permissões granulares usando políticas?

O uso de políticas permite especificar diversas camadas de granularidade de permissões. Primeiro, você pode definir ações específicas de serviços da AWS às quais você deseja conceder ou negar acesso de forma explícita. Segundo, dependendo da ação, você pode definir recursos específicos da AWS nos quais as ações podem ser executadas. Terceiro, você pode definir condições para especificar quando a política vigorará (por exemplo, se o MFA está habilitado ou não).

P: Como remover facilmente permissões desnecessárias?

Para ajudar a determinar quais permissões são necessárias, o console do IAM agora exibe dados sobre o último acesso ao serviço, que mostram a hora em que uma entidade do IAM (usuário, grupo ou função) acessou pela última vez um serviço da AWS. Saber se e quando uma entidade do IAM utilizou uma permissão pela última vez pode ajudar a remover permissões desnecessárias e a fortalecer as políticas do IAM com maior facilidade.

P: Posso conceder permissões para acessar ou alterar informações de contas (por exemplo, modo de pagamento, endereço de e-mail de contato e histórico de faturamento)?

Sim, a capacidade de visualizar dados de faturamento da AWS e modificar informações da conta da AWS pode ser delegada a um usuário ou usuário federado do IAM. Para obter mais informações sobre como controlar o acesso às informações de faturamento, consulte o tópico sobre Controle de acesso.

P: Quem pode criar e gerenciar chaves de acesso em uma conta da AWS?

Somente o proprietário da conta da AWS pode gerenciar as chaves de acesso para a conta raiz. O proprietário da conta e os usuários ou funções do IAM que receberam as permissões necessárias podem gerenciar as chaves de acesso para os usuários do IAM.

P: Posso conceder permissões de acesso a recursos da AWS de propriedade de outra conta da AWS?
Sim. Usando funções do IAM, usuários e usuários federados do IAM podem acessar recursos em outra conta da AWS por meio do Console de Gerenciamento da AWS, da ILC da AWS ou das APIs. Consulte o tópico sobre como Gerenciar funções do IAM para obter mais informações.

P: Qual a aparência de uma política?

A política a seguir concede acesso para adicionar, atualizar e excluir objetos de uma pasta específica, example_folder, em um bucket específico, example_bucket.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

P: O que é o resumo de uma política?

Se você estiver usando o console do IAM e escolher uma política, verá o resumo de uma política. O resumo de uma política lista o nível de acesso, os recursos e as condições de cada serviço definido em uma política (veja a seguir a captura de tela de um exemplo). O nível de acesso (visualização, leitura, gravação ou gerenciamento de permissões) será definido pelas ações concedidas a cada serviço na política. Você poderá ver a política no JSON ao selecionar o botão JSON .

Screenshot do resumo de uma política

P: O que é o simulador de políticas do IAM?
O simulador de políticas do IAM é uma ferramenta para ajudar a entender, testar e validar os efeitos das políticas de controle de acesso.

P: Como o simulador de políticas pode ser usado?
Você pode usar o simulador de políticas de diversas maneiras. É possível testar alterações de políticas para garantir que tenham o efeito esperado antes de implantá-las em produção. Você pode validar políticas existentes anexadas a usuários, grupos e funções para verificar e resolver problemas de permissões. Além disso, é possível usar o simulador de políticas para entender como as políticas do IAM e as políticas baseadas em recursos funcionam em conjunto para conceder ou negar acesso a recursos da AWS.

P: Quem pode usar o simulador de políticas?
O simulador de políticas está disponível para todos os clientes da AWS.

P: Qual é o custo do simulador de políticas?
O simulador de políticas está disponível sem custo extra.

P: Como posso começar?
Acesse https://policysim.aws.amazon.com ou clique no link do console do IAM, abaixo de "Additional Information". Especifique uma nova política ou escolha um conjunto de políticas existente de um usuário, grupo ou função que você gostaria de avaliar. Selecione um conjunto de ações na lista de serviços da AWS, forneça as informações necessárias para simular a solicitação de acesso e execute a simulação para determinar se a política permite ou nega permissão às ações e recursos selecionados. Para saber mais sobre o simulador de políticas do IAM, assista ao Vídeo sobre conceitos básicos ou consulte a documentação.

P: Com que tipos de políticas o simulador de políticas do IAM é compatível?
O simulador de políticas é compatível com o teste de políticas recém-inseridas e políticas atuais, relacionadas a usuários, grupos ou funções. Além disso, você pode simular se as políticas no nível do recurso concedem acesso a um recurso particular dos buckets do Amazon S3, cofres do Amazon Glacier, tópicos do Amazon SNS e das filas do Amazon SQS. Eles são incluídos na simulação quando um nome de recurso da Amazon (ARN) é especificado no campo Resource de Simulation Settings para um serviço que oferece suporte para políticas de recurso.

P: Se eu alterar uma política no simulador de políticas, essas alterações persistem na produção?
Não. Para aplicar alterações em produção, copie a política que você modificou no simulador de políticas e conecte-a ao usuário, grupo ou função do IAM desejada.

P: Posso usar o simulador de políticas programaticamente?
Sim. Você pode usar o simulador de políticas por meio dos AWS SDKs ou da CLI da AWS, além do console do simulador de políticas. Use a API iam:SimulatePrincipalPolicy para testar programaticamente as políticas do IAM existentes. Para testar os efeitos de políticas novas ou atualizadas que ainda não foram anexadas a um usuário, grupo ou função, chame a API iam:SimulateCustomPolicy.  


P: Como um usuário do IAM pode fazer login?

Para fazer login no Console de Gerenciamento da AWS como usuário do IAM, você deve disponibilizar o ID ou o alias da sua conta, além do nome de usuário e da senha. Quando o administrador criar o usuário do IAM no console, ele deverá disponibilizar o seu nome de usuário e o URL da página de login da conta. Esse URL inclui o ID ou o alias da conta.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

Você também pode entrar no Console usando o endpoint geral de login a seguir, digitando o ID ou o alias da conta manualmente:

https://console.aws.amazon.com/

Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar as informações da conta e o nome de usuário do IAM. A próxima vez que o usuário acessar qualquer página no Console de Gerenciamento da AWS, o console usará o cookie para redirecionar o usuário para a página de login da conta.

Observação: os usuários do IAM ainda podem usar o link do URL disponibilizado a eles pelo administrador para fazer login no Console de Gerenciamento da AWS.

P: O que é um apelido da conta da AWS?

O apelido da conta é um nome definido para torná-lo mais conveniente para identificar a conta. Você pode criar um apelido usando APIs do IAM, Ferramentas de linha de comando da AWS ou por meio do console do IAM. É possível ter um apelido por conta da AWS.

P: Os usuários do IAM podem acessar quais sites da AWS?

Os usuários do IAM podem fazer login nos seguintes sites da AWS:

P: Os usuários do IAM podem fazer login em outras propriedades da Amazon.com usando suas credenciais?
Não. Os usuários criados com o IAM são reconhecidos somente pelos serviços e aplicativos da AWS.

P: Há uma API de autenticação para verificar os logins dos usuários do IAM?
Não. Não há uma forma programática para verificar logins de usuário.

P: Os usuários podem atribuir SSH a instâncias do EC2 usando seu nome de usuário e senha da AWS?
Não. As credenciais de segurança criadas com o IAM não são compatíveis com a autenticação direta para instâncias do EC2 do cliente. O gerenciamento de credenciais SHH do EC2 é de responsabilidade do cliente no console do EC2.


P: O que são credenciais de segurança temporárias?
As credenciais de segurança temporárias são compostas pelo ID da chave de acesso da AWS, por uma chave de acesso secreta e um token de segurança. Elas são válidas por um período específico e para um conjunto específico de permissões. Às vezes, as credenciais de segurança temporárias são chamadas simplesmente de tokens. Os tokens podem ser solicitados para usuários do IAM ou para usuários federados que você gerencia no seu próprio diretório corporativo. Para obter mais informações, consulte o tópico sobre Cenários comuns para credenciais temporárias.

P: Quais são os benefícios das credenciais de segurança temporárias?
As credenciais de segurança temporárias permitem:

  • Estender seus diretórios de usuário internos para permitir a federação para a AWS, possibilitando que seus funcionários e aplicativos acessem com segurança as APIs de serviço da AWS, sem precisar criar uma identidade da AWS para eles.
  • Solicitar credenciais de segurança temporárias para um número ilimitado de usuários federados.
  • Configure o período depois do qual as credenciais de segurança temporárias expiram, oferecendo segurança aprimorada ao acessar APIs de serviço da AWS por meio de dispositivos móveis onde há risco de perda do dispositivo.

P: Como posso solicitar credenciais de segurança temporárias para usuários federados?
Você pode chamar as APIs do STS GetFederationToken, AssumeRole, AssumeRoleWithSAML ou AssumeRoleWithWebIdentity.

P: Como os usuários do IAM podem solicitar credenciais de segurança temporárias para uso próprio?
Os usuários do IAM podem solicitar credenciais de segurança temporárias para seu próprio uso chamando a API GetSessionToken do AWS STS. A expiração padrão dessas credenciais temporárias é de 12 horas; a mínima é de 15 minutos e a máxima é de 36 horas.

Você também pode usar credenciais temporárias com Acesso a APIs protegidas por MFA (Multi-Factor Authentication).

P: Como faço para usar credenciais de segurança temporárias para chamar APIs de serviço da AWS?
Se você estiver fazendo solicitações diretas de API de HTTPS para a AWS, é possível assinar essas solicitações com as credenciais temporárias de segurança que você obtém do AWS Security Token Service (AWS STS). Para isso, faça o seguinte:

  • Use o ID de chave de acesso e a chave de acesso secreta, que são disponibilizadas com as credenciais temporárias de segurança, do mesmo modo que você usaria credenciais de longa duração para assinar uma solicitação. Para obter mais informações sobre a assinatura de solicitações de API de HTTPS, consulte o tópico sobre Como assinar solicitações de API da AWS na referência geral da AWS.
  • Use o token da sessão disponibilizado com as credenciais temporárias de segurança. Inclua o token da sessão no cabeçalho "x-amz-security-token". Veja o seguinte exemplo de solicitação.
    • Para o Amazon S3, por meio do cabeçalho HTTP "x-amz- security-token". 
    • Para outros serviços da AWS, por meio do parâmetro SecurityToken.

P: Quais serviços da AWS aceitam credenciais de segurança temporárias?
Para obter uma lista dos serviços suportados, consulte o tópico sobre Serviços da AWS que trabalham com o IAM.

P: Qual é o tamanho máximo da política de acesso que pode ser especificada ao solicitar credenciais de segurança temporárias (GetFederationToken ou AssumeRole)?
A política plaintext deve ter no máximo 2.048 bytes. No entanto, uma conversão interna faz a sua compactação em um formato binário empacotado com um limite separado.

P: Uma credencial de segurança temporária pode ser revogada antes que expire?
Não. Ao solicitar credenciais temporárias, recomendamos o seguinte:

  • Quando criar credenciais de segurança temporárias, defina a expiração para um valor que seja apropriado para seu aplicativo.
  • Como as permissões de conta root não podem ser restritas, utilize um usuário do IAM e não a conta root para criar credenciais de segurança temporárias. Você pode revogar permissões de um usuário do IAM que emitiu a chamada original para solicitá-la. Essa ação revoga quase que imediatamente os privilégios de todas as credenciais de segurança temporárias emitidas por aquele usuário do IAM

P: Posso reativar ou estender a validade das credenciais de segurança temporárias?
Não. Recomenda-se verificar sempre a expiração e solicitar uma nova credencial de segurança temporária antes que a antiga expire. Este processo de rodízio é gerenciado automaticamente para você quando as credenciais de segurança temporárias são usadas para funções de instâncias do EC2.

P: As credenciais de segurança temporárias têm suporte em todas as regiões?
Os clientes podem solicitar tokens de endpoints do AWS STS em todas as regiões, incluindo AWS GovCloud (EUA) e China (Pequim). As credenciais temporárias das regiões AWS GovCloud (EUA) e China (Pequim) podem ser usadas apenas na sua região de origem. Credenciais temporárias solicitadas em qualquer outra região, como Leste dos EUA (Norte da Virgínia) ou UE (Irlanda), podem ser usadas em todas as regiões, exceto AWS GovCloud (EUA) e China (Pequim).

P: Posso restringir o uso de credenciais de segurança temporárias a uma região ou subconjunto de regiões?

Não. Não é possível restringir as credenciais de segurança temporárias a uma determinada região ou subconjunto de regiões, exceto as credenciais de segurança temporária das regiões AWS GovCloud (EUA) e China (Pequim), que podem ser usadas apenas nas regiões onde foram originadas.

P: O que preciso fazer antes de começar a usar um endpoint do AWS STS?

Como padrão, os endpoints do AWS STS ficam ativos em todas as regiões, e você pode começar a usá-los sem ter de realizar nenhuma ação adicional.

P: O que acontece se eu tentar usar um endpoint regional do AWS STS que tenha sido desativado para a minha conta da AWS?

Se você tentar usar um endpoint regional do AWS STS que tenha sido desativado para a sua conta da AWS, obterá a exceção AccessDenied do AWS STS com a seguinte mensagem: "O AWS STS não foi ativado nesta região para a conta: AccountID. Seu administrador de contas pode ativar o AWS STS nesta região usando o console do IAM."

P: Quais permissões são necessárias para ativar ou desativar regiões do AWS STS na página Account Settings?

Somente usuários com permissão mínima de iam:* podem ativar ou desativar regiões do AWS STS na página Account Settings do console do IAM. Observe que os endpoints do AWS STS nas regiões Leste dos EUA (Norte da Virgínia), AWS GovCloud (EUA) e China (Pequim) estão sempre ativos e não é possível desativá-los.

P: Posso usar a API ou a ILC para ativar ou desativar regiões do AWS STS?

Não. No momento, não há suporte à ativação ou desativação de regiões do AWS STS por meio de API ou ILC. Pretendemos oferecer suporte à API e à ILC em uma versão futura.


P: O que é a unificação de identidades?
O AWS Identity and Access Management (IAM) aceita a federação de identidades para acesso delegado ao Console de Gerenciamento da AWS ou às APIs da AWS. Com a federação de identidades, as identidades externas recebem acesso seguro aos recursos na sua conta da AWS, sem a necessidade de criar usuários do IAM. Essas identidades externas podem ser oriundas do seu provedor de identidade corporativo (como Microsoft Active Directory ou AWS Directory Service) ou de um provedor de identidade da web (como Amazon Cognito, Login with Amazon, Facebook, Google ou qualquer provedor compatível com OpenID Connect).

P: O que são usuários federados?
Usuários federados (identidades externas) são usuários gerenciados fora da AWS no diretório corporativo, mas que recebem acesso à sua conta da AWS usando credenciais de segurança temporárias. Eles diferem dos usuários do IAM que são criados e mantidos na sua conta da AWS.

P: A AWS é compatível com o SAML?
Sim, a AWS é compatível com o Security Assertion Markup Language (SAML) 2.0.

P: Com quais perfis do SAML a AWS é compatível?
O endpoint do AWS Single Sign-on (SSO) é compatível com o perfil de provedor de identidade WebSSO iniciado por HTTP pós-vinculação do SAML. Isso permite a um usuário federado fazer o login no Console de Gerenciamento da AWS usando uma asserção do SAML. Uma asserção do SAML também pode ser usada para solicitar credenciais de segurança temporárias usando a API AssumeRoleWithSAML. Para obter mais informações, consulte Sobre a federação baseada no SAML 2.0.

P: Os usuários federados podem acessar APIs da AWS?
Sim. Você pode solicitar credenciais de segurança temporárias para os usuários federados para lhes fornecer acesso seguro e direto às APIs da AWS. Fornecemos um aplicativo de exemplo que demonstra como você pode permitir a federação de identidades, fornecendo aos usuários mantidos pelo Microsoft Active Directory acesso às APIs de serviço da AWS. Para obter mais informações, consulte Uso de credenciais de segurança temporárias para solicitar acesso aos recursos da AWS.

P: Os usuários unificados podem acessar o Console de Gerenciamento da AWS?
Sim. Há algumas maneiras de obter isso. Uma maneira é, por programação, solicitar credenciais de segurança temporárias (por exemplo, GetFederationToken ou AssumeRole) para seus usuários federados e incluindo essas credenciais como parte da solicitação de acesso ao Console de Gerenciamento da AWS. Após autenticar um usuário e conceder-lhe credencial de segurança temporária, é possível gerar um token de sign-in que é usado para o endpoint do AWS Single Sign-on (SSO). As ações do usuário são limitadas à política de controle de acesso associadas com as credenciais de segurança temporárias. Para obter mais detalhes, consulte o tópico sobre Como criar um URL que permita que usuários federados acessem o Console de Gerenciamento da AWS (Viabilizadores de federação personalizada).

Como alternativa, você pode publicar uma asserção do SAML diretamente no login da AWS (https://signin.aws.amazon.com/saml). As ações do usuário no console são limitadas à política de controle de acesso associada com a função do IAM que é assumida usando a asserção do SAML. Para obter mais detalhes, consulte o tópico sobre Permissão para usuários federados do SAML 2.0 para acessar o Console de Gerenciamento da AWS.

O uso de qualquer uma das abordagens permite ao usuário federado o acesso ao console sem ter que efetuar o login com nome de usuário e senha. Fornecemos um aplicativo de exemplo que demonstra como você pode permitir a federação de identidades, fornecendo aos usuários mantidos pelo Microsoft Active Directory acesso ao Console de Gerenciamento da AWS. 

P: Como posso controlar o que um usuário federado pode fazer quando conectado ao console?
Quando você solicita credenciais de segurança temporárias para seu usuário federado usando uma API AssumeRole, você pode opcionalmente incluir uma política de acesso com a solicitação. Os privilégios de usuário federado são a intercessão de permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada à função do IAM que foi assumida. A política de acesso passada com a solicitação não pode elevar os privilégios associados com a função do IAM sendo assumida. Quando você solicita credenciais de segurança temporárias para seu usuário federado usando a API GetFederationToken, você deve fornecer uma política de controle de acesso com a solicitação. Os privilégios de usuário federado são a intercessão de permissões concedidas pela política de acesso passada com a solicitação e a política de acesso anexada ao usuários do IAM que foi usado para fazer solicitação. A política de acesso passada com a solicitação não pode elevar os privilégios associados com o usuário do IAM usado para fazer a solicitação. Essas permissões de usuários federados aplicam-se tanto ao acesso da API quanto as ações tomadas no Console de Gerenciamento da AWS.

P: Quais permissões um usuário federado necessita para usar o console?
Um usuário solicita permissões às APIs do serviço da AWS chamadas pelo Console de Gerenciamento da AWS. Permissões comuns necessárias para acessar os serviços da AWS são documentadas em Uso de credenciais de segurança temporárias para solicitar acesso aos recursos da AWS.

P: Como posso controlar a quantidade de tempo que um usuário federado tem acesso ao Console de Gerenciamento da AWS?
Dependendo da API usada para criar as credenciais de segurança temporárias, você pode especificar um limite de sessão entre 15 minutos e 36 horas (para GetFederationToken e GetSessionToken) e entre 15 minutos e 12 horas (para APIs AssumeRole*), período em que o usuário federado poderá acessar o console. Quando a sessão expirar, o usuário federado deverá solicitar uma nova sessão ao retornar para o seu provedor de identidade, no qual você poderá conceder acesso novamente a ele. Saiba mais sobre como definir a duração da sessão

P: O que acontece quando a sessão do console de unificação de identidades expira?
Uma mensagem é exibida ao usuário esclarecendo que a sessão do console expirou e que ele precisa solicitar uma nova sessão. É possível especificar o URL para direcionar os usuários para sua página da intranet local onde podem solicitar uma nova sessão. Adicione esse URL quando especificar um emissor de parâmetros como parte de sua solicitação de cadastro. Para obter mais informações, consulte o tópico sobre Permissão para usuários federados do SAML 2.0 para acessar o Console de Gerenciamento da AWS.

P: A quantos usuários unificados posso conceder acesso ao Console de Gerenciamento da AWS?
Não há limite para o número de usuários federados que podem receber acesso ao console.

P: O que é a federação de identidades da web?

A federação de identidades da web permite a criação de aplicativos móveis com tecnologia da AWS que usam provedores de identidade públicos (como Amazon Cognito, Login with Amazon, Facebook, Google ou qualquer provedor compatível com OpenID Connect) para autenticação. Com a federação de identidades da web, você tem uma maneira fácil de integrar o login de provedores de identidade públicos (IdPs) a seus aplicativos, sem necessidade de escrever qualquer código no servidor e sem distribuir credenciais de segurança da AWS de longo prazo com o aplicativo.

Para obter mais informações sobre a federação de identidade da web e para começar a usar, consulte Sobre o Web Identity Federation.

 

P: Como faço para ativar a federação de identidades da web com contas de provedores de IdPs?

Para obter melhores resultados, use o Amazon Cognito como seu viabilizador de identidades para praticamente todos os cenários de federação de identidades da web. O Amazon Cognito é fácil de usar e disponibiliza recursos adicionais, como acesso anônimo (sem autenticação), e sincronização de dados de usuário em dispositivos e provedores. No entanto, se você já criou um aplicativo que usa a federação de identidades da web ao chamar manualmente a API AssumeRoleWithWebIdentity, pode continuar a usá-lo e seus aplicativos continuarão funcionando.

Veja a seguir as etapas básicas para ativar a federação de identidades usando um dos IdPs da web compatíveis:

  1. Cadastre-se como um desenvolvedor com o IdP e use-o para configurar seu aplicativo. O IdP disponibiliza a você um ID exclusivo para o aplicativo.
  2. Se você usar um IdP que seja compatível com o OIDC, crie uma entidade de provedor de identidade para ele no IAM.
  3. Na AWS, crie uma ou mais funções do IAM. 
  4. No seu aplicativo, autentique os usuários com o IdP público.
  5. No aplicativo, faça uma chamada sem assinatura para a API AssumeRoleWithWebidentity para solicitar credenciais temporárias de segurança. 
  6. Usando as credenciais de segurança temporárias obtidas na resposta de AssumeRoleWithWebidentity, o aplicativo envia solicitações assinadas para as APIs da AWS.
  7. O aplicativo armazena as credenciais de segurança temporárias em cache para que não seja necessário obter novas credenciais todas as vezes que o aplicativo precisar enviar uma solicitação à AWS.

Para obter mais detalhes sobre as etapas, consulte o tópico sobre Como usar APIs de federação de identidades da web para aplicativos móveis.

P: Como a federação de identidades usando o AWS Directory Service difere do uso de uma solução de gerenciamento de identidades de terceiros?

Se você quer apenas que seus usuários federados possam acessar o Console de Gerenciamento da AWS, o uso do AWS Directory Service fornece funcionalidade semelhante em comparação com o uso de uma solução de gerenciamento de identidades de terceiros. Os usuários finais podem fazer login usando suas credenciais corporativas existentes e acessar o Console de Gerenciamento da AWS. Como o AWS Directory Service é um serviço gerenciado, os clientes não precisam configurar ou gerenciar a infraestrutura de federação. Eles precisam simplesmente criar um diretório do AD Connector para se integrar a seu diretório local. Se você está interessado em fornecer a seus usuários federados acesso às APIs da AWS, use uma oferta de terceiros ou implante seu próprio servidor de proxy.


P: O faturamento da AWS fornece decomposições agregadas de uso e custo por usuário?
Não, atualmente não é compatível.

P: Qual é o custo do serviço IAM?
Não, este é um recurso da conta da AWS fornecido gratuitamente.

P: Quem paga pelo uso incorrido pelos usuários em uma conta da AWS?
O proprietário da conta da AWS controla e é responsável pela utilização, pelos dados e recursos da conta.

P: A atividade do usuário faturável será registrada nos dados de uso da AWS?
Não no momento. Isso está planejado para um release futuro.

P: Como o IAM compara-se com o Faturamento consolidado?
O IAM e o Faturamento consolidado são recursos complementares. O Faturamento consolidado permite que você consolide o pagamento de várias contas da (AWS) dentro da sua empresa ao designar uma única conta de pagamento. O escopo do IAM não está relacionado ao Faturamento consolidado. Há um usuário na área de uma conta da AWS e não tem permissões nas contas vinculadas. Para obter mais detalhes, consulte o tópico sobre Pagamento de contas para várias contas usando a cobrança consolidada.

P: Um usuário pode acessar as informações de faturamento das contas da AWS?
Sim, mas somente de você o permitir. Para que usuários do IAM acessem informações de faturamento, você precisa primeiro conceder acesso à Atividade da conta ou Relatórios de utilização. Consulte o tópico sobre Controle de acesso.


P: O que acontecerá se um usuário tentar acessar um serviço que ainda não tiver sido integrado ao IAM?
O serviço retorna um erro "Acesso negado".

P: As ações do IAM são registrado para fins de auditoria?
Sim. Você pode registrar ações do IAM, ações do STS e cadastros no AWS Management Console ativando o AWS CloudTrail. Para saber mais sobre o registro da AWS, consulte AWS CloudTrail.

P: Há alguma distinção entre pessoas e agentes de software como entidades da AWS?
Não, as duas entidades são tratadas como usuários com credenciais de segurança e permissões. No entanto, somente as pessoas usam senha no AWS Management Console.

P: Os usuários trabalham com o AWS Support Center and Trusted Advisor?
Sim, os usuários do IAM podem criar e modificar casos de suporte, bem como usar o Trusted Advisor.

P: Há limites de cota padrão associados ao IAM?
Sim, por padrão, sua conta da AWS tem cotas iniciais definidas para todas as entidades relacionadas ao IAM. Para saber mais detalhes, consulte o tópico sobre Limitações em entidades e objetos do IAM.

Essas cotas estão sujeitas a cobranças. Se você requer um aumento, você pode acessar o Formulário de aumento de limite de serviço através da página de contato e escolha Grupos e usuários do IAM na lista suspensa Tipo de limite.


P: O que é o AWS MFA?
O AWS Multi-Factor Authentication (AWS MFA) fornece um nível extra de segurança que pode ser aplicado ao seu ambiente AWS. É possível habilitar o AWS MFA para a sua conta AWS e para usuários individuais do AWS Identity and Access Management (IAM) que você cria em sua conta.

P: Com funciona o AWS MFA?
Há duas formas principais para autenticação usando um dispositivo AWS MFA:

  • Usuários do Console de Gerenciamento da AWS: quando um usuário com MFA habilitado faz login em um site da AWS, deve informar o nome de usuário e a senha (o primeiro fator, o que ele conhece) e uma resposta de autenticação do seu dispositivo AWS MFA (o segundo fator, o que ele tem). Todos os sites da AWS que requerem login, como o Console de Gerenciamento da AWS, são totalmente compatíveis com o AWS MFA. Você também pode usar o AWS MFA em conjunto com a capacidade de exclusão segura do Amazon S3 para proteção adicional das suas versões armazenadas do S3.
  • Usuários de API da AWS: é possível aplicar a autenticação MFA adicionando restrições do MFA a políticas do IAM. Para acessar APIs e recursos protegidos dessa forma, os desenvolvedores podem usar credenciais temporárias de segurança e fornecer parâmetros opcionais de MFA em suas solicitações de API do AWS Security Token Service (STS) (o serviço que emite credenciais temporárias de segurança). As credenciais temporárias de segurança validadas por MFA podem ser usadas para acionar recursos e APIs protegidos por MFA. Observação:: no momento, o AWS STS e APIs protegidas por MFA não oferecem suporte para a chave de segurança U2F como MFA.

P: P: Como faço para proteger recursos da AWS com o MFA?
Siga esses dois passos simples:

1. Obtenha um dispositivo de MFA. Você tem três opções:

  • Comprar uma chave de segurança YubiKey de hardware da Yubico, um provedor externo.
  • Comprar um dispositivo de hardware da Gemalto, um provedor externo.
  • Instalar um aplicativo compatível com MFA virtual em um dispositivo, como seu smartphone.

Acesse a página do AWS MFA para obter mais detalhes sobre como adquirir um dispositivo de MFA de hardware ou virtual.

2. Depois de adquirir um dispositivo de MFA, você deverá ativá-lo no console do IAM. Também é possível usar a CLI da AWS para ativar o MFA virtual e o MFA de hardware (dispositivo Gemalto) para um usuário do IAM. Observação: no momento, a CLI da AWS não oferece suporte para a ativação de chaves de segurança U2F.

P: Existe uma taxa associada ao uso do AWS MFA?
A AWS não cobra qualquer taxa adicional para o uso do AWS MFA com sua conta AWS. No entanto, se quiser usar um dispositivo de MFA físico, precisará adquirir o dispositivo de MFA compatível com o AWS MFA da Gemalto ou da Yubico, que são fornecedores externos. Para obter mais detalhes, visite o site da Yubico ou da Gemalto.

P: Posso ter vários dispositivos de MFA ativos para minha conta da AWS?
Sim. Cada usuário do IAM pode ter seu próprio dispositivo de MFA. No entanto, cada identidade, (usuário do IAM ou conta root) pode estar associada a apenas um dispositivo de MFA.

P: Posso usar minha chave de segurança U2F com várias contas da AWS?

Sim. A AWS permite que você use a mesma chave de segurança U2F com vários usuários root e do IAM em várias contas.

P: Posso usar um MFA virtual, de hardware ou SMS com várias contas da AWS?
Não. O dispositivo de MFA ou o número de telefone celular associado ao MFA virtual, de hardware e SMS está vinculado a uma identidade individual da AWS (usuário do IAM ou conta root). Se você tiver um aplicativo compatível com TOTPF (senha válida uma vez, com duração predeterminada) instalado no seu smartphone, poderá criar vários dispositivos de MFA virtual no mesmo smartphone. Cada um dos dispositivos de MFA virtual está vinculado a uma única identidade, assim como o dispositivo de MFA de hardware (Gemalto). Se você dissociar (desativar) o dispositivo de MFA, poderá reutilizá-lo com uma identidade diferente da AWS. O dispositivo de MFA associado ao MFA de hardware atualmente não pode ser usado por mais de uma identidade simultaneamente.

P: Já tenho um dispositivo de MFA de hardware (Gemalto) do meu trabalho ou de outro serviço que uso. Posso reutilizar esse dispositivo com o AWS MFA?
Não. O AWS MFA depende de conhecer um segredo exclusivo associado ao seu dispositivo de MFA de hardware (Gemalto) para poder oferecer suporte ao seu uso. Devido a restrições de segurança que exigem que esses segredos nunca sejam compartilhados entre várias partes, o AWS MFA não pode oferecer suporte ao uso do seu dispositivo Gemalto existente. Apenas um dispositivo de MFA de hardware compatível adquirido da Gemalto pode ser usado com o AWS MFA. Você pode reutilizar chaves de segurança U2F existentes com o AWS MFA, pois elas não compartilham segredos entre várias partes.

P: Estou tendo problemas com um pedido de dispositivo de MFA usando o site do provedor externo. Onde posso obter ajuda?
O atendimento ao cliente da Yubico ou da Gemalto pode ajudar você.

P: Recebi um dispositivo de MFA defeituoso ou danificado do fornecedor externo. Onde posso obter ajuda?
O atendimento ao cliente da Yubico ou da Gemalto pode ajudar você.

P: Acabei de receber um dispositivo de MFA de um provedor externo. O que devo fazer?
Basta ativar o dispositivo de MFA para habilitar o AWS MFA na sua conta da AWS. Consulte o console do IAM para executar essa tarefa.

P: O que é um dispositivo de MFA virtual?
Um dispositivo de MFA virtual é uma entrada criada em um TOTP de software aplicativo compatível que pode gerar códigos de autenticação de seis dígitos. O aplicativo pode ser executado em qualquer dispositivo de hardware compatível, como um smartphone.

P: Quais são as diferenças entre um dispositivo de MFA virtual e um dispositivo de MFA físico?
Dispositivos de MFA virtual usam os mesmos protocolos que os dispositivos de MFA físico. Dispositivos de MFA virtual são baseados em software e podem ser executados em dispositivos existentes, como o seu smartphone. A maioria dos aplicativos de MFA virtual também permite que você habilite mais de um dispositivo de MFA virtual que os torna mais conveniente do que dispositivos de MFA físico.

P: Que aplicativos de MFA virtual eu posso usar com o AWS MFA?
Você pode usar aplicativos que geram códigos de autenticação em conformidade com TOTP, como o aplicativo de autenticação do Google, com o AWS MFA. Você pode preparar dispositivos de MFA virtual tanto automaticamente, lendo um código QR com a câmera do dispositivo, ou via entrada manual de semente, no aplicativo de MFA virtual.

Visite a página do MFA para obter uma lista de aplicativos compatíveis de MFA virtual.

P: O que é um código QR?
O código QR é um código de barras bidimensional que é legível por leitores de código de barras QR dedicados e pela maioria dos smartphones. O código consiste em quadrados pretos dispostos em padrões quadrados maiores sobre um fundo branco. O código QR contém as informações de configuração de segurança necessárias para configurar um dispositivo de MFA virtual em seu aplicativo de MFA virtual.

P: Como provisionar um novo dispositivo de MFA virtual?
Você pode configurar um novo dispositivo de MFA virtual no console do IAM para seus usuários do IAM, bem como para sua conta raiz da AWS. Você também pode usar o comando aws iam create-virtual-mfa-device na CLI da AWS ou a API CreateVirtualMFADevic para configurar novos dispositivos de MFA virtual na sua conta. O aws iam create-virtual-mfa-device e a API CreateVirtualMFADevice retornam as informações de configuração necessárias, chamadas de semente, para a inicialização do dispositivo de MFA virtual em seu aplicativo compatível com a AWS MFA. Você pode conceder aos seus usuários IAM as permissões para chamar essa API diretamente ou realizar o provisionamento inicial para eles.

P: Como devo lidar com e distribuir o material de semente para dispositivos de MFA virtual?

Você deve tratar as sementes como qualquer outro segredo (por exemplo chaves secretas AWS e senhas).

P: Como permitir que um usuário do IAM gerencie dispositivos de MFA virtual com a minha conta?
Conceda ao usuário do IAM a permissão para chamar a API CreateVirtualMFADevice. Você pode usar essa API para fornecer novos dispositivos de MFA virtual.

P: Ainda posso solicitar acesso à demonstração do SMS MFA?

Não estamos mais aceitando novos participantes para a demonstração do SMS MFA. Incentivamos o uso do MFA na conta da AWS com uma chave de segurança U2F, um dispositivo de hardware ou um dispositivo de MFA virtual (baseado em software).

P: Quando será encerrada a demonstração do SMS MFA?

A partir de 1° de fevereiro de 2019, a AWS deixará de exigir que usuários do IAM insiram um código de seis dígitos do MFA para usuários do IAM configurados como “Um dispositivo SMS MFA”. Esses usuários deixarão de receber um código SMS durante o login. Incentivamos o uso do MFA com uma chave de segurança U2F, um dispositivo de hardware ou um dispositivo de MFA virtual (baseado em software). Você poderá continuar a usar esse recurso até 31 de janeiro de 2019.

P: Onde habilito o AWS MFA?
Você pode habilitar o AWS MFA para uma conta da AWS e seus usuários do IAM no console do IAM, na Conta da AWS ou chamando a API da AWS. Observação: atualmente, a CLI da AWS e a API da AWS não oferecem suporte para habilitar a chave de segurança U2F.

P: Quais são as informações necessárias para ativar um dispositivo de MFA de hardware ou virtual?
Se você estiver ativando o dispositivo de MFA com o console do IAM, precisará apenas do dispositivo. Se você estiver usando a CLI da AWS ou a API do IAM, precisará do seguinte:

1. O número de série do dispositivo de MFA. O formato do número de série depende de você estar usando um dispositivo de hardware ou um dispositivo virtual:

– Dispositivo de MFA de hardware: o número de série está na etiqueta de código de barras na parte de trás do dispositivo.
– Dispositivo de MFA virtual: o número de série é o valor do Amazon Resource Name (ARN) retornado quando você executa o comando iam-virtualmfadevicecreate na CLI da AWS ou chama a API CreateVirtualMFADevice.

2. Dois códigos MFA consecutivos exibidos pelo dispositivo de MFA.

P: Meu dispositivo de MFA parece estar funcionando normalmente, mas não consigo ativá-lo. O que devo fazer?
Entre em contato conosco para obter ajuda.

P: Se eu habilitar o AWS MFA para minha conta da AWS raiz ou para meus usuários do IAM, eles sempre precisarão usar o MFA para entrarem no Console de Gerenciamento da AWS?
Sim. O usuário da credencial da raiz da AWS e os usuários do IAM precisam ter seu dispositivo de MFA à mão sempre que for preciso entrar em qualquer site da AWS.

Se o dispositivo de MFA for perdido, danificado, roubado ou não estiver funcionando, você poderá fazer login usando fatores de autenticação alternativos, desativar o dispositivo de MFA e ativar um novo dispositivo. Como melhor prática de segurança, recomendamos que você altere a senha da conta raiz.

Se os usuários do IAM perderem ou danificarem seus dispositivos de MFA, ou se estes forem roubados ou pararem de funcionar, você mesmo poderá desabilitar o AWS MFA usando o console do IAM ou a CLI da AWS.

P: Se eu habilitar o AWS MFA para minha conta da AWS ou meus usuários do IAM, eles sempre precisarão inserir um desafio de MFA para chamarem diretamente as APIs da AWS?
Não, isso é opcional. No entanto, você deve concluir o desafio de MFA se planeja chamar APIs protegidas pelo acesso à API protegido por MFA.

Se estiver chamando APIs da AWS usando chaves de acesso para sua conta raiz ou seu usuário do IAM, você não precisará inserir um código de MFA. Por questões de segurança, recomendamos que você remova todas as chaves de acesso da sua conta raiz AWS e, no lugar, chame as APIs da AWS com as chaves de acesso para um usuário do IAM que tenha as permissões necessárias.

Observação: no momento, chaves de segurança U2F não funcionam com APIs protegidas por MFA e não podem ser usadas como MFA para APIs da AWS.

P: Como entrar no Portal AWS e no Console de Gerenciamento da AWS usando o meu dispositivo de MFA?
Siga estes dois passos:

Se você estiver fazendo login em uma conta raiz da AWS, faça login normalmente com seu nome de usuário e senha quando solicitado. Para fazer login como um usuário do IAM, use o URL específico da conta e informe seu nome de usuário e senha quando solicitado.

Se você tiver habilitado o MFA virtual, de hardware ou SMS MFA, insira o código de MFA de seis dígitos que aparece no seu dispositivo de MFA. Se você tiver habilitado a chave de segurança U2F, insira essa chave na porta USB do computador, aguarde até que ela pisque e, em seguida, toque no botão ou disco dourado na sua chave.

P: O AWS MFA afeta o meu acesso à APIs de serviço da AWS?
O AWS MFA mudará a forma como os usuários do IAM acessam APIs do Serviço da AWS somente se os administradores de conta escolherem habilitar o acesso a APIs protegidas por MFA. Os administradores podem habilitar esse recurso para adicionar uma camada extra de segurança no acesso a APIs importantes ao exigir que os chamadores façam a autenticação com um dispositivo AWS MFA. Para obter mais informações, consulte a documentação de acesso a APIs protegidas por MFA com mais detalhes.

Outras exceções incluem versões de bucket S3 PUT, versões do bucket GET e APIs de objeto DELETE, que permite a você exija autenticação MFA para excluir ou alterar o estado das versões do seu bucket. Para obter mais informações consulte a documentação do S3 sobre como Configurar um bucket com o MFA Delete, que discute esse assunto mais detalhadamente.

Para todos os outros casos, o AWS MFA não altera a forma como você acessa APIs de serviço da AWS.

Observação: no momento, chaves de segurança U2F não funcionam com APIs protegidas por MFA e não podem ser usadas como MFA para APIs da AWS.

P: Para um MFA virtual e de hardware, posso usar um determinado código de MFA mais de uma vez?
Não. Por motivos de segurança, você pode usar somente uma vez cada código de MFA fornecido pelo seu dispositivo de MFA virtual e de hardware.

P: Recentemente, fui solicitado a ressincronizar meu dispositivo de MFA porque meus códigos de MFA estavam sendo rejeitados. Devo me preocupar?
Não, isso pode acontecer ocasionalmente. O MFA virtual e o MFA de hardware dependem do relógio no seu dispositivo MFA estar em sincronia com o relógio em nossos servidores. Algumas vezes, esses relógios podem se afastar. Se isso acontecer, quando você usar o dispositivo de MFA para acessar as páginas protegidas no site da AWS ou no Console de Gerenciamento da AWS, a AWS tentará automaticamente ressincronizar o dispositivo de MFA, solicitando que você forneça dois códigos de MFA consecutivos (como fez durante a ativação).

Chaves de segurança U2F não ficam fora de sincronia e não precisam de ressincronização.

P: Meu dispositivo de MFA parece estar funcionando normalmente, mas não consigo usá-lo para entrar no Console de Gerenciamento da AWS. O que devo fazer?
Se você estiver usando um MFA virtual ou de hardware, sugerimos ressincronizar os dispositivos de MFA para as credenciais do seu usuário do IAM. Se você já tentou sincronizar novamente e continua com dificuldades para fazer login, pode fazer login usando fatores alternativos de autenticação e redefinir seu dispositivo de MFA.

Se estiver usando chaves de segurança U2F, poderá fazer login usando fatores alternativos de autenticação e redefinir seu dispositivo de MFA.

Se os problemas persistirem, entre em contato conosco para obter ajuda.

P: Meu dispositivo de MFA foi perdido, danificado, roubado ou deixou de funcionar, e eu não consigo fazer login no Console de Gerenciamento da AWS. O que devo fazer?
Se o seu dispositivo de MFA estiver associado a uma conta da AWS raiz:

P: Como desabilito o AWS MFA?

Para desativar o AWS MFA na sua conta da AWS, você pode desativar seu dispositivo de MFA usando a página Security Credentials. Para desabilitar o AWS MFA para os seus usuários do IAM, você precisa usar o console do IAM ou a CLI da AWS.

P: Posso usar o AWS MFA no GovCloud?
Sim, você pode usar dispositivos do AWS MFA virtuais e de hardware no GovCloud.

P: O que é o acesso a APIs protegidas por MFA?
O acesso a APIs protegidas por MFA é uma funcionalidade opcional que permite que administradores de conta apliquem autenticação adicional para APIs especificadas pelo cliente, exigindo que os usuários forneçam um segundo fator de autenticação além de uma senha. Especificamente, ele permite que os administradores incluam condições em suas políticas do IAM que exijam a autenticação de MFA para acesso a APIs selecionadas. Os usuários chamando essas APIs devem primeiro obter credenciais temporárias que indiquem que o usuário inseriu um código de MFA válido.

P: Posso usar minha chave de segurança U2F com APIs protegidas por MFA?

Não. Atualmente, as APIs protegidas por MFA não oferecem suporte a chaves de segurança U2F.

P: Qual problema o acesso a APIs protegidas por MFA resolve?
Anteriormente, os clientes podiam exigir o MFA para acessar o Console de Gerenciamento da AWS, mas não podiam impor requisitos de MFA para desenvolvedores e aplicativos interagindo diretamente com APIs de serviço da AWS. O acesso a API protegidas por MFA garante que as políticas do IAM sejam aplicadas universalmente para todos os caminhos de acesso . Consequentemente, agora você pode desenvolver seu próprio aplicativo que usa a AWS e solicita a autenticação do usuário por MFA antes de acionar APIs avançadas ou acessar recursos importantes.

P: Como faço para começar a usar o acesso a APIs protegidas por MFA?
Você pode começar o uso em duas etapas simples:

  1. Atribua um dispositivo de MFA aos seus usuários do IAM. Você pode comprar um chaveiro de hardware ou fazer download de um aplicativo gratuito compatível com TOTP para seu smartphone, tablet ou computador. Consulte a página de detalhes do MFA para saber mais sobre dispositivos do AWS MFA.
  2. Habilite o acesso a APIs protegidas por MFA criando políticas de permissão para os usuários do IAM e/ou grupos do IAM dos quais você quer exigir a autenticação por MFA. Para saber mais sobre a sintaxe da linguagem de políticas de acesso, consulte a documentação sobre a linguagem de políticas de acesso.

P: Como os desenvolvedores e usuários acessam APIs e recursos seguros com o acesso a APIs protegidas por MFA?
Os desenvolvedores e usuários interagem com o acesso a APIs protegidas por MFA no Console de Gerenciamento da AWS.

No Console de Gerenciamento da AWS, qualquer usuário do IAM habilitado com MFA deverá fazer a autenticação com seu dispositivo para fazer login. Os usuários que não tiverem o MFA não receberão acesso a recursos e APIs protegidas por MFA.

No nível de APIs, os desenvolvedores podem integrar o AWS MFA em seus aplicativos para solicitar que os usuários façam a autenticação usando seus dispositivos de MFA atribuídos antes de acionarem APIs avançadas ou acessarem recursos importantes. Os desenvolvedores habilitam essa funcionalidade adicionando parâmetros opcionais de MFA (número de série e código de MFA) a solicitações de obtenção de credenciais temporárias de segurança (essas solicitações também são chamadas de “solicitações de sessão”). Se os parâmetros forem válidos, as credenciais temporárias de segurança que indicam o status de MFA serão retornadas. Consulte a documentação dobre credenciais de segurança temporárias para obter mais informações.

P: Quem pode usar o acesso a APIs protegidas por MFA?
O acesso a APIs protegidas por MFA está disponível gratuitamente para todos os clientes da AWS.

P: Com quais serviços o acesso a API protegidas por MFA funciona?
O acesso a APIs protegidas por MFA é compatível com todos os serviços da AWS compatíveis com credenciais temporárias de segurança. Para obter uma lista de dispositivos compatíveis, consulte Serviços da AWS que funcionam com o IAM e analise a coluna chamada Compatível com credenciais temporárias de segurança.

P: O que acontecerá se um usuário fornecer informações incorretas de dispositivo de MFA ao solicitar credenciais temporárias de segurança?
A solicitação de emissão de credenciais temporárias de segurança falhará. As solicitações de credenciais temporárias de segurança que especificam parâmetros de MFA devem fornecer o número de série correto do dispositivo vinculado ao usuário do IAM, bem como um código válido de MFA.

P: O acesso a APIs protegidas por MFA controla o acesso a APIs para contas raiz da AWS?
Não, o acesso a API protegidas por MFA controla somente o acesso para usuários do IAM. As contas raiz não estão vinculadas por políticas do IAM. É por isso que a AWS recomenda que você crie usuários do IAM para interagir com APIs do serviço da AWS em vez de usar credenciais de conta.

P: Os usuários precisam ter um dispositivo de MFA atribuído a eles para usar o acesso a API protegidas por senha?
Sim, antes é necessário atribuir um dispositivo exclusivo de MFA de hardware ou virtual.

P: O acesso a APIs protegidas por MFA é compatível com objetos do S3, filas do SQS e tópicos do SNS?
Sim.

P: Como o acesso a API protegidas por MFA interagirá com casos de uso de MFA existentes, como S3 MFA Delete?
O acesso a APIs protegidas por MFA e o S3 MFA Delete não interagem entre si. Atualmente, o S3 MFA Delete não é compatível com credenciais temporárias de segurança. Em vez disso, as chamadas para a API S3 MFA Delete devem ser feitas com chaves de acesso de longo prazo.

P: O acesso a APIs protegidas por MFA funciona na região de GovCloud (EUA)?
Sim.

P: O acesso a APIs protegidas por MFA funciona para usuários federados?
Os clientes não podem usar acesso a APIs protegidas por MFA para controlar o acesso por usuários federados. A API GetFederatedSession não aceita parâmetros de MFA. Como os usuários federados não podem fazer a autenticação com dispositivos do AWS MFA, eles não podem acessar recursos designados usando o acesso a APIs protegidas por MFA.

P: Quanto custa o uso do AWS IAM?

O IAM é um recurso da sua conta da AWS disponibilizado gratuitamente. Você será cobrado somente pelo uso de outros Serviços da AWS utilizados pelos seus usuários.