# Criar um acesso de emergência para um usuário do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade dentro da Conta da AWS que tem permissões específicas para uma única pessoa ou aplicação.
Ter um usuário do IAM para acesso de emergência é um dos motivos recomendados para criar um usuário do IAM. Assim, você possa acessar sua Conta da AWS caso seu provedor de identidade não esteja acessível.
**nota**
Como [prática recomendada de segurança](best-practices.md), recomendamos que você forneça acesso aos seus recursos por meio da federação de identidades, em vez de criar usuários do IAM. Para obter informações sobre situações específicas em que um usuário do IAM é necessário, consulte [Quando criar um usuário do IAM (em vez de um perfil)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose).
## Para criar um acesso de emergência para um usuário do IAM
**Permissões mínimas**
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`
------
#### [ Console ]
1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.
1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.
1. No painel de navegação, selecione **Usuários** e escolha **Criar usuário**.
**nota**
Se o Centro de Identidade do IAM estiver habilitado, o Console de gerenciamento da AWS exibirá um lembrete de que é melhor gerenciar o acesso dos usuários no Centro de Identidade do IAM. Nesse procedimento, o usuário do IAM que você criar será usado especificamente apenas quando seu provedor de identidade não estiver disponível.
1. Na página **Especificar detalhes do usuário**, em **Detalhes do usuário**, em **Nome de usuário**, insira o nome do novo usuário. É o nome de login para a AWS. Neste exemplo, insira **EmergencyAccess**.
**nota**
Os nomes de usuário podem ser uma combinação de até 64 letras, dígitos e estes caracteres: adição (\$1), igual (=), vírgula (,), ponto (.), arroba (@), sublinhado (\$1) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois usuários denominados TESTUSER e testuser. Quando o nome de usuário é usado em uma política ou como parte de um ARN, o nome diferencia maiúsculas de minúsculas. Quando é exibido para os clientes no console, por exemplo, como durante o processo de login, o nome de usuário não diferencia maiúsculas de minúsculas.
1. Marque a caixa de seleção ao lado de **Fornecer acesso ao Console de gerenciamento da AWS: *opcional*** e escolha **Quero criar um usuário do IAM**.
1. Em **Senha do console**, selecione **Senha gerada automaticamente**.
1. Desmarque a caixa de seleção ao lado de **O usuário deverá criar uma nova senha no próximo login (recomendado)**. Como esse usuário do IAM serve para acesso emergencial, um administrador confiável retém a senha e a fornece somente quando necessário.
1. Na página **Definir permissões**, em **Opções de permissões**, selecione **Adicionar usuário ao grupo**. Em seguida, em **Grupos de usuários**, selecione **Criar grupo**.
1. Na página **Criar grupo de usuários**, em **Nome do grupo de usuários**, insira **EmergencyAccessGroup**. Em seguida, em **Políticas de permissões**, selecione **AdministratorAccess**.
1. Selecione **Criar grupo de usuários** para voltar à página **Definir permissões**.
1. Em **Grupos de usuários**, selecione o nome do **EmergencyAccessGroup** que você criou anteriormente.
1. Selecione **Avançar** para prosseguir para a página **Revisar e criar**.
1. Na página **Revisar e criar**, revise a lista de associações de grupos de usuários a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione **Criar usuário**.
1. Na página **Recuperar senha**, selecione **Baixar arquivo .csv** para salvar um arquivo .csv com as informações de credencial do usuário (URL da conexão, nome de usuário e senha).
1. Salve esse arquivo para usar caso precise fazer login no IAM e não tenha acesso ao provedor de identidade.
O novo usuário do IAM será exibido na lista **Usuários**. Selecione o link **Nome de usuário** para ver os detalhes do usuário.
------
#### [ AWS CLI ]
1. Crie um usuário chamado **EmergencyAccess**.
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name EmergencyAccess
```
1. (Opcional) Forneça ao usuário acesso ao Console de gerenciamento da AWS. Isso requer uma senha. Para criar uma senha de um usuário do IAM, você pode usar o parâmetro `--cli-input-json` para transmitir um arquivo JSON que contém a senha. Você também deve fornecer ao usuário o [URL da página de login da sua conta.](id_users_sign-in.md)
+ [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)
```
aws iam create-login-profile \
--generate-cli-skeleton > create-login-profile.json
```
+ Abra o arquivo `create-login-profile.json` em um editor de texto e digite uma senha que esteja em conformidade com sua política de senha. Depois, salve o arquivo. Por exemplo:
```
{
"UserName": "EmergencyAccess",
"Password": "Ex@3dRA0djs",
"PasswordResetRequired": false
}
```
+ Use o comando `aws iam create-login-profile` novamente, passando o parâmetro `--cli-input-json` para especificar seu arquivo JSON.
```
aws iam create-login-profile \
--cli-input-json file://create-login-profile.json
```
**nota**
Se a senha que você forneceu no arquivo JSON violar a política de senha da sua conta, você receberá um erro de `PasswordPolicyViolation`. Se isso acontecer, revise a [política de senha](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details) da sua conta e atualize a senha no arquivo JSON para atender aos requisitos.
1. Crie o **EmergencyAccessGroup**, anexe a política `AdministratorAccess` gerenciada pela AWS ao grupo e adicione o usuário **EmergencyAccess** ao grupo.
**nota**
Uma *política gerenciada pela AWS* é uma política independente que é criada e administrada pela AWS. Cada política tem seu próprio nome do recurso da Amazon (ARN) que inclui o nome da política. Por exemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` é uma política gerenciada da AWS. Para obter mais informações sobre ARNs do , consulte [ARNs do IAM](reference_identifiers.md#identifiers-arns). Para obter uma lista das políticas gerenciadas pela AWS dos Serviços da AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name EmergencyAccessGroup
```
+ [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
--group-name >EmergencyAccessGroup
```
+ [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name EmergencyAccess \
--group-name EmergencyAccessGroup
```
+ Execute o comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) para listar o **EmergencyAccessGroup** e seus membros.
```
aws iam get-group \
--group-name EmergencyAccessGroup
```
------