Recursos do AWS Identity and Access Management (IAM)
Principais recursos
Abrir tudoAs permissões permitem que você especifique e controle o acesso aos serviços e recursos da AWS. Para conceder permissões às funções do IAM, você poderá anexar uma política que especifique o tipo de acesso, as ações que poderão ser executadas e os recursos em que as ações poderão ser executadas.
Usando políticas do IAM, é possível conceder acesso a APIs e recursos específicos da AWS. Também é possível definir condições específicas nas quais o acesso é concedido, como conceder acesso a identidades de uma organização específica da AWS ou acesso por meio de um serviço da AWS específico.
Com as funções do IAM, você delega acesso a usuários ou serviços da AWS para operar em sua conta da AWS. Os usuários do seu provedor de identidade ou dos serviços da AWS podem assumir uma função para obter credenciais temporárias de segurança que podem ser usadas para fazer uma solicitação à AWS na conta da função do IAM. Consequentemente, as funções do IAM fornecem uma maneira de confiar em credenciais de curto prazo para usuários, workloads e serviços da AWS que precisam executar ações nas suas contas da AWS.
Use o IAM Roles Anywhere para permitir que workloads executadas fora da AWS, como ambientes on-premises, híbridos e multinuvem, acessem os recursos da AWS usando certificados digitais X.509 emitidos por autoridades certificadoras registradas. Com o IAM Roles Anywhere, é possível obter credenciais temporárias da AWS e usar os mesmos perfis e políticas do IAM configurados para suas workloads da AWS para acessar os recursos da AWS.
Obter o menor privilégio é um ciclo contínuo para conceder as permissões corretas e refinadas à medida que seus requisitos evoluem. O IAM Access Analyzer ajuda a simplificar o gerenciamento de permissões já que elas podem ser definidas, verificadas e refinadas.
Com o AWS Organizations , você pode usar políticas de controle de serviços (SCPs) e políticas de controle de recursos (RCPs) para estabelecer barreiras de permissões que todos os diretores e recursos nas contas de uma organização cumprem. Você pode usar SCPs para controlar centralmente o acesso das entidades principais (usuários e perfis do IAM) em suas contas. Você pode usar RCPs para controlar centralmente o acesso aos recursos da AWS em toda a sua organização. Você pode optar por habilitar somente SCPs ou RCPs ou usar os dois tipos de política juntos para ajudar a alcançar seus objetivos de segurança.
O controle de acesso baseado em atributo (ABAC) é uma estratégia de autorização que pode ser usada para criar permissões minuciosas com base nos atributos do usuário, como departamento, função de trabalho e nome da equipe. Usando o ABAC é possível reduzir o número de permissões diferentes necessárias para criar controles minuciosos em sua conta da AWS.
Com o gerenciamento centralizado de acesso-raiz às contas dos membros nas AWS Organizations, você pode gerenciar facilmente as credenciais-raiz e realizar tarefas com altos níveis de privilégio.