As permissões deixam que você especifique o acesso aos recursos da AWS. As permissões são concedidas às entidades do IAM (usuários, grupos e funções) e, como padrão, essas entidades inicialmente não têm permissões. Em outras palavras, as entidades do IAM não podem fazer nada na AWS até que você conceda a elas as permissões desejadas. Para disponibilizar permissões às entidades, você poderá anexar uma política que especifique o tipo de acesso, as ações que poderão ser executadas e os recursos em que as ações poderão ser executadas. Além disso, você poderá especificar qualquer condição que deva ser definida para que o acesso seja permitido ou negado.

How to Become an IAM Policy Ninja in 60 Minutes or Less (55:35)

Para atribuir permissões a um usuário, grupo, função ou recurso, você deverá criar uma política que deixe especificar o seguinte:

  • Ações – que ações de Serviços da AWS são permitidas. Por exemplo, você pode permitir que um usuário chame a ação ListBucket do Amazon S3. Qualquer ação que você não permita explicitamente é negada.
  • Recursos – em que recursos da AWS você permite que ações sejam desempenhadas. Por exemplo, em quais buckets do Amazon S3 você permitirá que o usuário execute a ação ListBucket? Os usuários não podem acessar nenhum recurso ao qual você não tenha concedido permissões explicitamente.
  • Efeito – se deseja permitir ou negar o acesso. Visto que o acesso é negado como padrão, você normalmente escreverá políticas em que o efeito será de permissão.
  • Condições – quais condições deverão estar presentes para que a política entre em vigor. Por exemplo, você poderá permitir acesso apenas para buckets específicos do S3 se o usuário estiver fazendo a conexão por meio de um intervalo IP específico ou tiver usado a autenticação multifator ao fazer login.

Você cria políticas usando o editor visual ou o JSON. Uma política é composta por uma ou mais instruções, cada qual descrevendo um conjunto de permissões. Para saber mais sobre a linguagem de políticas, consulte AWS IAM Policy Reference.

O editor virtual orienta você durante a concessão de permissões usando políticas do IAM, sem necessidade de escrever as políticas em JSON (mas você poderá continuar a criar e editar políticas em JSON, se preferir). A política desta captura de tela foi criada usando o editor virtual. A política concederá cinco ações List e Read do Amazon S3 ao bucket e aos objetos do S3 em SampleBucket, se o prefixo começar com MyPrefix.

ManagePermissions_JC_1117_a

Se você usar o Console de Gerenciamento da AWS para gerenciar permissões, poderá ver os resumos de políticas. O resumo de uma política lista o nível de acesso, os recursos e as condições de cada serviço definido em uma política (veja a seguir a captura de tela de um exemplo). Para ajudar a compreender as permissões definidas em uma política, as ações de cada serviço da AWS são categorizadas em quatro níveis de acesso: List, Read, Write e Permissions management.

JC1final-UPDATED031017-a

Você poderá selecionar uma política pré-definida gerenciada pela AWS ou criar sua própria usando o gerador de políticas. Para obter mais informações, consulte a seção Overview of IAM Policies do guia Using IAM.

Saiba como gerenciar as credenciais do AWS IAM

Acesse a página de gerenciamento de credenciais
Pronto para criar?
Comece a usar o AWS IAM
Mais dúvidas?
Entre em contato conosco