# Crie um usuário do IAM para workloads que não podem usar perfis do IAM
**Importante**
Como [prática recomendada](best-practices.md#lock-away-credentials), recomendamos que você exija que os usuários humanos usem [credenciais temporárias](id_credentials_temp.md) ao acessar a AWS.
Como alternativa, você pode gerenciar as identidades de usuário, incluindo o usuário administrativo, com o [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html). Recomendamos usar o Centro de Identidade do IAM para gerenciar o acesso às contas e as permissões nelas. Se estiver usando um provedor de identidade externo, você também poderá configurar as permissões de acesso para identidades de usuário no Centro de Identidade do IAM.
Se o seu caso de uso exigir usuários do IAM com acesso programático e credenciais de longo prazo, recomendamos que você estabeleça procedimentos para atualizar as chaves de acesso quando necessário. Para obter mais informações, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md).
Para executar algumas tarefas de gerenciamento de contas e serviços, é necessário fazer login usando as credenciais de usuário-raiz. Para visualizar as tarefas que exigem que você faça login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](id_root-user.md#root-user-tasks).
## Para criar um usuário do IAM para workloads que não podem usar perfis do IAM
**Permissões mínimas**
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`
------
#### [ Console ]
1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.
1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.
1. No painel de navegação, selecione **Usuários** e depois escolha **Criar usuários**.
1. Na página **Especificar detalhes do usuário**, faça o seguinte:
1. Em **Nome de usuário**, digite ***WorkloadName***. Substitua ***WorkloadName*** pelo nome da workload que usará a conta.
1. Escolha **Próximo**.
1. (Opcional) Na página **Definir permissões**, faça o seguinte:
1. Escolha **Add user to group**.
1. Escolha **Criar grupo**.
1. Na caixa de diálogo **Criar grupo de usuários**, em **Nome do grupo de usuários**, digite um nome que represente o uso das workloads no grupo. Para este exemplo, use o nome **Automation**.
1. Em **Políticas de permissões**, marque a caixa de seleção da política gerenciada **PowerUserAccess**.
**dica**
Insira *Power* na caixa de pesquisa **Políticas de permissões** para encontrar rapidamente a política gerenciada.
1. Escolha **Criar grupo de usuários**.
1. De volta à página com a lista de grupos do IAM, marque a caixa de seleção do novo grupo de usuários. Escolha **Refresh** (Atualizar) se não vir o novo grupo de usuários na lista.
1. Escolha **Próximo**.
1. (Opcional) Na seção **Tags**, adicione metadados ao usuário associando tags como pares de chave/valor. Para obter mais informações, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).
1. Verifique as associações de grupos de usuários para o novo usuário. Quando você estiver pronto para continuar, escolha **Create user** (Criar usuário).
1. É exibida uma notificação de status informando que o usuário foi criado com êxito. Selecione **Visualizar usuário** para acessar a página de detalhes do usuário
1. Selecione a guia **Credenciais de segurança**. Em seguida, crie as credenciais necessárias para a workload.
+ **Chaves de acesso**: selecione **Criar chave de acesso** para gerar e baixar chaves de acesso para o usuário.
**Importante**
Esta é a única oportunidade de visualizar ou fazer download das chaves de acesso secretas, e você deve fornecer essas informações aos usuários para que eles possam usar a AWS API. Salve a nova ID da chave de acesso do usuário e a chave de acesso secreta em um local seguro e protegido. **Você não terá acesso às chaves secretas novamente depois dessa etapa.**
+ **Chaves públicas SSH para o AWS CodeCommit**: selecione **Fazer upload da chave pública SSH** para carregar uma chave pública SSH para que o usuário possa se comunicar com os repositórios do CodeCommit via SSH.
+ **Credenciais do Git para o AWS CodeCommit**: selecione **Gerar credenciais** para gerar um conjunto exclusivo de credenciais de usuário para uso com os repositórios Git. Selecione **Baixar credenciais** para salvar o nome de usuário e a senha em um arquivo .csv. Esse é o único momento em que essa informação está disponível. Se você esquecer ou perder a senha, precisará redefini-la.
+ **Credenciais para Amazon Keyspaces (para Apache Cassandra**): selecione **Gerar credenciais** para gerar credenciais de usuário específicas do serviço para usar com o Amazon Keyspaces. Selecione **Baixar credenciais** para salvar o nome de usuário e a senha em um arquivo .csv. Esse é o único momento em que essa informação está disponível. Se você esquecer ou perder a senha, precisará redefini-la.
**Importante**
Credenciais específicas do serviço são credenciais de longo prazo associadas a um usuário do IAM específico e só podem ser usadas para o serviço para o qual foram criadas. Para conceder permissões aos perfis do IAM ou às identidades federadas para acessar todos os seus recursos do AWS usando credenciais temporárias, use a autenticação da AWS com o plug-in de autenticação SigV4 para o Amazon Keyspaces. Para obter mais informações, consulte [Usar credenciais temporárias para se conectar ao Amazon Keyspaces (para Apache Cassandra) usando um perfil do IAM e o plug-in SigV4](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM), no *Guia do desenvolvedor do Amazon Keyspaces (para Apache Cassandra)*.
+ **Certificados de assinatura X.509**: selecione **Criar certificado X.509** se precisar fazer solicitações seguras do protocolo SOAP e estiver em uma região que não tem suporte pelo AWS Certificate Manager. O ACM é a ferramenta preferencial para provisionar, gerenciar e implantar seus certificados de servidor. Para obter mais informações sobre o ACM, consulte o [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Você criou um usuário com acesso programático e o configurou com a função de trabalho **PowerUserAccess**. A política de permissões desse usuário concede acesso total a todos os serviços, exceto para o IAM e o AWS Organizations.
Você pode usar esse mesmo processo para dar às workloads adicionais acesso programático aos seus recursos da Conta da AWS, caso as workloads não consigam assumir os perfis do IAM. Esse procedimento usou a política gerenciada **PowerUserAccess** para atribuir permissões. Para seguir a melhor prática de privilégio mínimo, considere usar uma política mais restritiva ou criar uma política personalizada que restrinja o acesso somente aos recursos exigidos pelo programa. Para saber mais sobre o uso de políticas que restringem as permissões do usuário a recursos específicos da AWS, consulte [Gerenciamento de acesso para recursos da AWS](access.md) e [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md). Para adicionar outros usuários ao grupo de usuários após a sua criação, consulte [Editar usuários em grupos do IAM](id_groups_manage_add-remove-users.md).
------
#### [ AWS CLI ]
1. Crie um usuário chamado **Automation**.
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name Automation
```
1. Crie um grupo de usuários do IAM chamado **AutomationGroup**, anexe a política `PowerUserAccess` gerenciada pela AWS ao grupo e adicione o usuário **Automation** ao grupo.
**nota**
Uma *política gerenciada pela AWS* é uma política independente que é criada e administrada pela AWS. Cada política tem seu próprio nome do recurso da Amazon (ARN) que inclui o nome da política. Por exemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` é uma política gerenciada da AWS. Para obter mais informações sobre ARNs do , consulte [ARNs do IAM](reference_identifiers.md#identifiers-arns). Para obter uma lista das políticas gerenciadas pela AWS dos Serviços da AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name AutomationGroup
```
+ [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
--group-name AutomationGroup
```
+ [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name Automation \
--group-name AutomationGroup
```
+ Execute o comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) para listar o **AutomationGroup** e seus membros.
```
aws iam get-group \
--group-name AutomationGroup
```
1. Crie as credenciais de segurança necessárias para a workload.
+ **Crie chaves de acesso para testes**: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
```
aws iam create-access-key \
--user-name Automation
```
A saída desse comando exibe a chave de acesso secreta e o ID da chave de acesso. Registre e armazene essas informações em um local seguro. Se essas credenciais forem perdidas, não será possível recuperá-las e você deverá criar uma nova chave de acesso.
**Importante**
Essas chaves de acesso do usuário do IAM são credenciais de longo prazo que apresentam um risco de segurança para sua conta. Depois de concluir o teste, recomendamos excluir essas chaves de acesso. Se você tiver cenários em que esteja considerando chaves de acesso, investigue se você pode habilitar o MFA para seu usuário do IAM da workload e usar o [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) para obter credenciais temporárias para a sessão em vez de usar as chaves de acesso do IAM.
+ **Faça upload de chaves públicas SSH para o AWS CodeCommit**: [aws iam upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)
O exemplo a seguir pressupõe que você tenha suas chaves públicas SSH armazenadas no arquivo `sshkey.pub`.
```
aws upload-ssh-public-key \
--user-name Automation \
--ssh-public-key-body file://sshkey.pub
```
+ **Faça upload de um certificado de assinatura X.509**: [aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)
Faça upload de um certificado X.509 se precisar fazer solicitações seguras do protocolo SOAP e estiver em uma região que não seja compatível com o AWS Certificate Manager. O ACM é a ferramenta preferencial para provisionar, gerenciar e implantar seus certificados de servidor. Para obter mais informações sobre o ACM, consulte o [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
O exemplo a seguir pressupõe que você tenha seu certificado de assinatura X.509 armazenado no arquivo `certificate.pem`.
```
aws iam upload-signing-certificate \
--user-name Automation \
--certificate-body file://certificate.pem
```
Você pode usar esse mesmo processo para dar às workloads adicionais acesso programático aos seus recursos da Conta da AWS, caso as workloads não consigam assumir os perfis do IAM. Esse procedimento usou a política gerenciada **PowerUserAccess** para atribuir permissões. Para seguir a melhor prática de privilégio mínimo, considere usar uma política mais restritiva ou criar uma política personalizada que restrinja o acesso somente aos recursos exigidos pelo programa. Para saber mais sobre o uso de políticas que restringem as permissões do usuário a recursos específicos da AWS, consulte [Gerenciamento de acesso para recursos da AWS](access.md) e [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md). Para adicionar outros usuários ao grupo de usuários após a sua criação, consulte [Editar usuários em grupos do IAM](id_groups_manage_add-remove-users.md).
------