As funções do IAM permitem que você delegue acesso aos usuários e serviços que normalmente não têm acesso aos recursos da AWS da sua organização. Os usuários do IAM ou os Serviços da AWS poderão assumir uma função para obter credenciais temporárias de segurança que possam ser usadas para fazer chamadas de API da AWS. Consequentemente, você não precisará compartilhar credenciais em longo prazo ou definir permissões para cada entidade que necessite de acesso a um recurso.

Conceitos básicos das funções do IAM para instâncias do EC2

Os seguintes cenários destacam alguns dos desafios que você poderá gerenciar delegando acesso:

  • Conceder acesso aos recursos da AWS para as aplicações executadas nas instâncias do Amazon EC2

Para conceder aos aplicativos em uma instância do Amazon EC2 acesso aos recursos da AWS, os desenvolvedores podem distribuir suas credenciais para cada instância. Os aplicativos podem usar, por sua vez, essas credenciais para acessar recursos como os buckets do Amazon S3 ou os dados do Amazon DynamoDB. No entanto, a distribuição de credenciais de longo prazo para cada instância é um desafio para o gerenciamento e um risco potencial a segurança. O vídeo acima descreve em mais detalhes como usar as funções para resolver este problema de segurança.

  • Acesso entre contas
Para controlar ou gerenciar o acesso aos recursos, por exemplo, isolando um ambiente de desenvolvimento de um ambiente de produção, você poderá ter várias contas da AWS. No entanto, em alguns casos, os usuários de uma conta talvez precisem acessar recursos em outra conta. Por exemplo, um usuário do ambiente de desenvolvimento poderá precisar de acesso ao ambiente de produção para promover uma atualização. Assim, os usuários devem ter as credenciais de cada conta, mas o gerenciamento de várias credenciais para várias contas torna o gerenciamento de identidade difícil. O uso de uma função do IAM pode simplificar isso. Consulte o estudo de caso da Trend Micro para ver o funcionamento do acesso entre contas.
  • Como conceder permissões para Serviços da AWS
Antes que os Serviços da AWS possam executar ações por você, será necessário conceder permissões para que eles possam fazer isso. Você pode usar atribuições do AWS IAM para conceder permissões para que Serviços da AWS realizem chamadas para outros Serviços da AWS automaticamente, como também criem e gerenciem recursos da AWS na sua conta. Os Serviços da AWS, como o Amazon Lex, também oferecem funções vinculadas a serviços que são predefinidas e podem ser assumidas pelo serviço em questão.

Para obter mais informações sobre como gerenciar funções no IAM, veja a seção Roles do guia Using IAM.

Saiba como gerenciar as permissões com AWS IAM

Acesse a página de gerenciamento de permissões
Pronto para criar?
Comece a usar o AWS IAM
Mais dúvidas?
Entre em contato conosco