Criar políticas do IAM (console) - AWS Identity and Access Management

Criar políticas do IAM (console)

Uma política é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. Você pode usar a AWS Management Console para criar políticas gerenciadas pelo cliente no IAM. Políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Você pode anexar as políticas a identidades (usuários, grupos e perfis) na sua conta Conta da AWS.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte IAM e cotas do AWS STS.

Criação de políticas do IAM

Você pode criar uma política gerenciada pelo cliente no AWS Management Console usando um dos seguintes métodos:

  • JSON: cole e personalize uma política baseada em identidade de exemplo publicada.

  • Editor visual: crie uma nova política do zero no editor visual. Se você usar o editor visual, não precisará entender a sintaxe JSON.

  • Importar: importe e personalize uma política gerenciada na sua conta. Você pode importar uma política gerenciada da AWS ou uma política gerenciada pelo cliente criada anteriormente.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte IAM e cotas do AWS STS.

Criar políticas usando o editor de JSON

Você pode digitar ou colar políticas em JSON escolhendo a opção JSON. Este método é útil para copiar um exemplo de política para usar na sua conta. Você também pode digitar o seu próprio documento de política JSON no editor JSON. Você também pode usar a opção JSON para alternar entre o editor visual e JSON para comparar as visualizações.

Quando você cria ou edita uma política no editor JSON, o IAM executa a validação da política para ajudar você a criar uma política eficaz. O IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de política adicionais com recomendações práticas para ajudar você a refinar ainda mais a política.

Uma política JSON consiste em uma ou mais instruções. Cada instrução deve conter todas as ações que compartilham o mesmo efeito (Allow ou Deny) e oferecem suporte aos mesmos recursos e condições. Se uma ação exigir que você especifique todos os recursos ("*") e outra ação oferecer suporte ao nome de recurso da Amazon (ARN) de um recurso específico, elas devem ficar em duas instruções JSON separadas. Para obter detalhes sobre formatos de ARN, consulte Nome de recurso da Amazon (ARN) no Guia de Referência geral da AWS. Para obter informações gerais sobre políticas do IAM, consulte Políticas e permissões no AWS Identity and Access Management. Para obter informações sobre a linguagem de políticas do IAM, consulte Referência de política JSON do IAM.

Para usar o editor de políticas JSON para criar uma política
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Criar política.

  4. Na seção Editor de políticas, escolha a opção JSON.

  5. Digite ou cole um documento de política JSON. Para obter detalhes sobre a linguagem de políticas do IAM, consulte Referência de política JSON do IAM.

  6. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Próximo.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para ter mais informações, consulte Reestruturação da política.

  7. (Opcional) Ao criar ou editar uma política no AWS Management Console, você pode gerar um modelo de política JSON ou YAML que pode ser usado em modelos do AWS CloudFormation.

    Para isso, no editor de políticas, escolha Ações e depois escolha Gerar modelo do CloudFormation. Para saber mais sobre o AWS CloudFormation, consulte Referência de tipos de recurso do AWS Identity and Access Management no Guia do usuário do AWS CloudFormation.

  8. Quando terminar de adicionar as permissões à política, escolha Avançar.

  9. Na página Revisar e criar, digite um nome de política e uma descrição (opcional) para a política que você está criando. Revise Permissões definidas nessa política para ver as permissões que são concedidas pela política.

  10. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Tags para recursos do AWS Identity and Access Management.

  11. Escolha Criar política para salvar sua nova política.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para ter mais informações, consulte Adicionar e remover permissões de identidade do IAM.

Criar políticas com o editor visual

O editor visual no console do IAM oferece orientação para a criação de uma política sem que seja necessário escrever usando a sintaxe JSON. Para visualizar um exemplo de como usar o editor visual para criar uma política, consulte Controle de acesso a identidades.

Para usar o editor visual para criar uma política
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Criar política.

  4. Na seção Editor de políticas, localize a seção Selecionar um serviço e escolha um serviço da AWS. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de serviços. Você pode escolher apenas um serviço em um bloco de permissões no editor visual. Para conceder acesso a mais de um serviço, adicione vários blocos de permissões escolhendo Adicionar mais permissões.

  5. Em Ações permitidas, escolha as ações a serem adicionadas à política. Você pode escolher as ações das seguintes maneiras:

    • Marque a caixa de seleção para todas as ações.

    • Escolha adicionar ações para digitar o nome de uma ação específica. Você pode usar curingas (*) para especificar várias ações.

    • Selecione um dos grupos de Nível de acesso para escolher todas as ações do nível de acesso (por exemplo, Leitura, Gravação ou Lista).

    • Expanda cada um dos grupos de Access level para escolher as ações individuais.

    Por padrão, a política que você está criando permite as ações que você escolhe. Para negar as ações escolhidas, selecione Alternar para negar permissões. Como o IAM nega por padrão, a prática recomendada de segurança é que você conceda permissões somente para as ações e os recursos de que um usuário precisa. Você só deverá criar uma instrução JSON para negar permissões se desejar substituir, separadamente, uma permissão que é concedida por uma outra instrução ou política. Recomendamos que você limite ao mínimo o número de permissões de negação, pois elas podem aumentar a dificuldade de solucionar problemas nas permissões.

  6. Para Recursos, se o serviço e as ações que você selecionou nas etapas anteriores não oferecerem suporte à escolha de recursos específicos, todos os recursos serão permitidos e você não poderá editar esta seção.

    Se você escolher uma ou mais ações que ofereçam suporte a permissões no nível de recursos, o editor visual listará esses recursos. Você poderá expandir Recursos para especificar os recursos para sua política.

    É possível especificar recursos das seguintes maneiras:

    • Selecione Adicionar ARNs para especificar os recursos pelos nomes dos recursos da Amazon (ARN). Você pode usar o editor de ARN visual ou listar os ARNs manualmente. Para obter mais informações sobre a sintaxe do ARN, consulte Nome de recurso da Amazon (ARN) no Guia de Referência geral da AWS. Para obter informações sobre como usar ARNs no elemento Resource de uma política, consulte Elementos de política JSON do IAM: Resource.

    • Escolha Qualquer um nesta conta ao lado de um recurso para conceder permissões a qualquer recurso desse tipo.

    • Escolha Todos os recursos para escolher todos os recursos para o serviço.

  7. (Opcional) Escolha Condições de solicitação - opcional para adicionar condições à política que você está criando. As condições limitam o efeito de uma instrução de política JSON. Por exemplo, você pode especificar que um usuário só tem permissão para executar ações nos recursos quando sua solicitação ocorrer em um determinado período. Você também pode usar as condições mais usadas para limitar se um usuário deve ser autenticado usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Ou você pode exigir que a solicitação tenha origem em um determinado intervalo de endereços IP. Para obter uma lista completa das chaves de contexto que podem ser usadas na condição de uma política, consulte Ações, recursos e chaves de condição para serviços da AWS na Referência de autorização de serviços.

    Você pode escolher as condições das seguintes maneiras:

    • Use as caixas de seleção para selecionar as condições comumente utilizadas.

    • Escolha Adicionar outra condição para especificar outras condições. Escolha a Condition Key, o Qualifier e o Operator da condição e, em seguida, digite um Value. Para adicionar mais de um valor, escolha Adicionar. Você pode considerar os valores como sendo conectados por um operador lógico "OR". Quando terminar, selecione Adicionar condição.

    Para adicionar mais de uma condição, escolha novamente Adicionar outra condição. Repita conforme necessário. Cada condição se aplica apenas a um bloco de permissões do editor visual. Todas as condições devem ser verdadeiras para que o bloco de permissões seja considerado uma correspondência. Em outras palavras, considere as condições como sendo conectadas por um operador lógico "AND".

    Para obter mais informações sobre o elemento Condição, consulte Elementos de política JSON do IAM: Condition no Referência de política JSON do IAM.

  8. Para adicionar mais blocos de permissão, escolha Adicionar mais permissões. Para cada bloco, repita as etapas de 2 a 5.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para ter mais informações, consulte Reestruturação da política.

  9. (Opcional) Ao criar ou editar uma política no AWS Management Console, você pode gerar um modelo de política JSON ou YAML que pode ser usado em modelos do AWS CloudFormation.

    Para isso, no editor de políticas, escolha Ações e depois escolha Gerar modelo do CloudFormation. Para saber mais sobre o AWS CloudFormation, consulte Referência de tipos de recurso do AWS Identity and Access Management no Guia do usuário do AWS CloudFormation.

  10. Quando terminar de adicionar as permissões à política, escolha Avançar.

  11. Na página Revisar e criar, digite um nome de política e uma descrição (opcional) para a política que você está criando. Revise Permissões definidas nessa política para ter certeza de que você concedeu as permissões que pretendia.

  12. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Tags para recursos do AWS Identity and Access Management.

  13. Escolha Criar política para salvar sua nova política.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para ter mais informações, consulte Adicionar e remover permissões de identidade do IAM.

Importar políticas gerenciadas existentes

Uma maneira fácil de criar uma nova política é importar uma política gerenciada existente para sua conta que tenha pelo menos algumas das permissões de que você precisa. Em seguida, você pode personalizar a política de acordo seus novos requisitos.

Não é possível importar uma política em linha. Para saber mais sobre a diferença entre políticas gerenciadas e em linha, consulte Políticas gerenciadas e em linha.

Para importar uma política gerenciada existente no editor visual
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Criar política.

  4. Em Editor de políticas, escolha Visual e depois, no lado direito da página, escolha Ações e depois Importar política.

  5. Na janela Importar política, escolha as políticas gerenciadas que mais se aproximam da política que você deseja incluir na nova política. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

  6. Escolha Importar política.

    As políticas importadas são adicionadas em novos blocos de permissões na parte inferior da política.

  7. Use o Editor visual ou escolha JSON para personalizar a política. Em seguida, escolha Próximo.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para ter mais informações, consulte Reestruturação da política.

  8. Na página Revisar e criar, digite um nome de política e uma descrição (opcional) para a política que você está criando. Você não poderá editar essas configurações mais tarde. Revise Permissões definidas nessa política e depois escolha Criar política para salvar seu trabalho.

Para importar uma política gerenciada existente no editor JSON
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Criar política.

  4. Na seção Editor de políticas, escolha a opção JSON e depois, no lado direito da página, escolha Ações e depois Importar política.

  5. Na janela Importar política, escolha as políticas gerenciadas que mais se aproximam da política que você deseja incluir na nova política. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

  6. Escolha Importar política.

    As instruções das políticas importadas são adicionadas na parte inferior da sua política JSON.

  7. Personalize a política em JSON. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Próximo. Ou personalize sua política no Visual editor (Editar visual). Em seguida, escolha Próximo.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para ter mais informações, consulte Reestruturação da política.

  8. Na página Revisar e criar, digite um nome de política e uma descrição (opcional) para a política que você está criando. Você não poderá editá-los mais tarde. Revise Permissões definidas nessa política e escolha Criar política para salvar seu trabalho.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para ter mais informações, consulte Adicionar e remover permissões de identidade do IAM.