# Controle o uso de chaves de acesso anexando uma política em linha a um usuário do IAM Outra prática recomendada é exigir que as [workloads usem credenciais temporárias com perfis do IAM](best-practices.md#bp-workloads-use-roles) para acessar a AWS. Os usuários do IAM com chaves de acesso devem ter acesso com privilégios mínimos e ter a [autenticação multifator (MFA](id_credentials_mfa.md)) ativada. Para obter mais informações sobre como presumir um perfil do IAM, consulte [Métodos para assumir um perfil](id_roles_manage-assume.md). No entanto, se você estiver criando um teste de prova de conceito de uma automação de serviço ou outro caso de uso de curto prazo e optar por executar workloads usando um usuário do IAM com chaves de acesso, recomendamos [usar condições de políticas para restringir ainda mais o acesso](best-practices.md#use-policy-conditions) das credenciais de usuário do IAM. Nessa situação, você pode criar uma política com limite de tempo que expira as credenciais após o tempo especificado ou, se estiver executando uma workload em uma rede segura, você pode usar uma política de restrição de IP. Para ambos os casos de uso, você pode usar uma política em linha anexada ao usuário do IAM que tem chaves de acesso. **Para configurar uma política com limite de tempo para um usuário do IAM** 1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. No painel de navegação, selecione **Usuários** e escolha o usuário para o caso de uso de curto prazo. Se você ainda não criou o usuário, pode [criar o usuário](getting-started-workloads.md) agora. 1. Na página **Detalhes** do usuário, selecione a guia **Permissões**. 1. Escolha **Adicionar permissões** e, em seguida, selecione **Criar política em linha**. 1. Na seção **Editor de políticas**, selecione **JSON** para exibir o editor JSON. 1. No editor JSON, insira a política a seguir, substituindo o valor do `aws:CurrentTime`carimbo de data/hora pela data e hora de expiração desejadas: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2025-03-01T00:12:00Z" } } } ] } ``` ------ Essa política usa o efeito `Deny` para restringir todas as ações em todos os recursos após a data especificada. A condição `DateGreaterThan` compara a hora atual com o carimbo de data/hora que você definiu. 1. Selecione **Avançar** para ir para a página **Revisar e criar**. Em detalhes da **Política**, em **Nome da política**, insira um nome para a política e escolha **Criar política**. Depois que a política é criada, ela é exibida na guia **Permissões** do usuário. Quando a hora atual for maior ou igual à hora especificada na política, o usuário não terá mais acesso aos recursos da AWS. Certifique-se de informar os desenvolvedores da workload sobre a data de expiração que você especificou para essas chaves de acesso. **Para configurar uma política de restrição de IP para um usuário do IAM** 1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. No painel de navegação, escolha **Usuários** e selecione o usuário que executará a workload na rede segura. Se você ainda não criou o usuário, pode [criar o usuário](getting-started-workloads.md) agora. 1. Na página **Detalhes** do usuário, selecione a guia **Permissões**. 1. Escolha **Adicionar permissões** e, em seguida, selecione **Criar política em linha**. 1. Na seção **Editor de políticas**, selecione **JSON** para exibir o editor JSON. 1. Copie a seguinte política do IAM para o editor JSON e altere os endereços IPv4 ou IPv6 públicos ou os intervalos de acordo com suas necessidades. Você pode usar [https://checkip.amazonaws.com](https://checkip.amazonaws.com/) para determinar seu endereço IP público. Você pode especificar endereços IP individuais ou intervalos de endereços IP usando a notação de barra. Para obter mais informações, consulte [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). **nota** Os endereços IP não devem ser ofuscados por uma VPN ou um servidor proxy. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid":"IpRestrictionIAMPolicyForIAMUser", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" } } } ] } ``` ------ Este exemplo de política nega o uso das chaves de acesso de um usuário do IAM com essa política aplicada, a menos que a solicitação tenha sido originada das redes (especificadas na notação CIDR) "203.0.113.0/24", "2001:DB8:1234:5678::/64" ou do endereço IP específico "203.0.114.1" 1. Selecione **Avançar** para ir para a página **Revisar e criar**. Em detalhes da **Política**, em **Nome da política**, insira um nome para a política e escolha **Criar política**. Depois que a política é criada, ela é exibida na guia **Permissões** do usuário. Você também pode aplicar essa política como uma política de controle de serviço (SCP) em várias contas da AWS bo AWS Organizations. Recomendamos usar uma condição adicional, `aws:PrincipalArn`, para que essa declaração de política se aplique apenas aos usuários do IAM nas contas da AWS sujeitas a esse SCP. A política a seguir inclui essa atualização: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IpRestrictionServiceControlPolicyForIAMUsers", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:user/*" } } } ] } ``` ------