Criação de políticas do IAM - AWS Identity and Access Management

Criação de políticas do IAM

Uma política é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. Você pode usar o AWS Management Console, a AWS CLI ou a API da AWS para criar políticas gerenciadas pelo cliente no IAM. Políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Você pode anexar as políticas a identidades (usuários, grupos e perfis) na sua conta Conta da AWS.

Uma política anexada a uma identidade no IAM é conhecida como uma política baseada em identidade. As políticas baseadas em identidade podem incluir políticas gerenciadas pela AWS, políticas gerenciadas pelo cliente e políticas em linha. As políticas gerenciadas pela AWS são criadas e gerenciadas pela AWS. Você pode usá-las, mas não é possível gerenciá-las. Uma política em linha é aquela que você cria e incorpora diretamente em um usuário, grupo ou função do IAM. As políticas em linha não podem ser reutilizadas em outras identidades ou gerenciadas fora da identidade onde existem. Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM.

Como utilizar políticas gerenciadas pelo cliente em vez de políticas em linha. Também é melhor usar políticas gerenciadas pelo cliente em vez de políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS geralmente fornecem amplas permissões administrativas ou somente leitura. Para maior segurança, conceda menos privilégios, que concedem apenas as permissões necessárias para executar tarefas de trabalho específicas.

Quando você cria ou edita políticas do IAM, a AWS pode executar automaticamente a validação de políticas para ajudar você a criar uma política eficaz com o mínimo privilégio em mente. No AWS Management Console, o IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de políticas adicionais com recomendações para ajudar você a refinar ainda mais suas políticas. Para saber mais sobre validação de política, consulte Validação de políticas do IAM. Para saber mais sobre as verificações de política do IAM Access Analyzer e as recomendações práticas, consulte Validação de política do IAM Access Analyzer.

Você pode usar o AWS Management Console, a AWS CLI ou a API da AWS para criar políticas gerenciadas pelo cliente no IAM. Para obter mais informações sobre o uso de modelos do AWS CloudFormation para adicionar ou atualizar políticas, consulte a Referência a tipos de recursos do AWS Identity and Access Management, no Guia do usuário do AWS CloudFormation.

Tópicos