Gerenciamento de acesso para recursos da AWS

O AWS Identity and Access Management (IAM) é um serviço da Web que ajuda você a controlar o acesso aos recursos da AWS de forma segura. Quando um principal faz uma solicitação no AWS, o código de aplicação do AWS verifica se o principal está autenticado (fez login) e autorizado (tem permissões). Você gerencia o acesso na AWS criando políticas e anexando-as às identidades do IAM ou aos recursos da AWS. As políticas são documentos JSON no AWS que, quando anexadas a uma identidade ou recurso, definem suas permissões. Para obter mais informações sobre os tipos e os usos de políticas, consulte Políticas e permissões no AWS Identity and Access Management.

Para obter mais detalhes sobre o restante do processo de autenticação e autorização, consulte Como o IAM funciona.

Ao fazer uma autorização, o código de aplicação do AWS usa os valores do contexto da solicitação para buscar as políticas correspondentes e determinar se ela será permitida ou negada.

O AWS verifica cada política que se aplica ao contexto da solicitação. Se uma única política negar a solicitação, a AWS negará toda a solicitação e interromperá a avaliação de políticas. Esse processo é chamado de negação explícita. Como as solicitações são negadas por padrão, o IAM autorizará sua solicitação apenas se todas as partes de sua solicitação forem permitidas pelas políticas aplicáveis. A lógica de avaliação para uma solicitação em uma única conta segue estas regras:

Por padrão, todas as solicitações são implicitamente negadas. (Opcionalmente, por padrão, Usuário raiz da conta da AWS tem acesso total.)
Uma permissão explícita em uma política baseada em recurso ou identidade substitui esse padrão.
Se houver um limite de permissões, uma SCP do Organizations ou uma política de sessão, isso poderá substituir a permissão com uma negação implícita.
Uma negação explícita em qualquer política substitui todas as permissões.

Depois que sua solicitação for autenticada e autorizada, a AWS aprovará a solicitação. Se você precisar fazer uma solicitação em uma conta diferente, uma política na outra conta deverá permitir que você acesse o recurso. Além disso, a entidade do IAM que você usa para fazer a solicitação deve ter uma política baseada em identidade que permita a solicitação.

Recursos de gerenciamento de acesso

Para obter mais informações sobre permissões e criação de políticas, consulte os seguintes recursos:

Os registroa a seguir no AWS Security Blog abrangem formas comuns de gravar políticas para acesso a buckets e objetos do Amazon S3.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Passar tags de sessão

Políticas e permissões