# Conceitos básicos do IAM
<a name="getting-started"></a>

O AWS Identity and Access Management (IAM) ajuda você a controlar com segurança o acesso à Amazon Web Services (AWS) e aos recursos de sua conta. O IAM também pode manter privadas as credenciais de login. Você não precisa se cadastrar especificamente para usar o IAM. Não há custo pelo uso do IAM. 

Use o IAM para fornecer identidades, como usuários e perfis, e acesso a recursos de sua conta. Por exemplo, você pode usar o IAM com usuários existentes no diretório corporativo que você gerencia externamente para a AWS ou criar usuários na AWS usando o Centro de Identidade do AWS IAM. As identidades federadas assumem perfis do IAM definidos para acessar os recursos necessários. Para obter mais informações sobre o IAM Identity Center, consulte [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) (O que é o IAM Identity Center?) no *Guia do usuário do Centro de Identidade do AWS IAM*.

**nota**  
O IAM é integrado a vários produtos da AWS. Para obter uma lista de serviços compatíveis com o IAM, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md).

Para saber como começar com a AWS, criar um usuário administrativo, um AWS Organizations e usar vários serviços para resolver um problema, como criar e lançar seu primeiro projeto, consulte o [Centro de recursos de conceitos básicos](https://aws.amazon.com/getting-started/). 

# Configurar a Conta da AWS
<a name="getting-started-account-iam"></a>

Antes de começar a trabalhar com o IAM, certifique-se de que concluiu a configuração inicial do seu ambiente da AWS.

A AWS envia um e-mail de confirmação depois que o processo de inscrição é concluído. A qualquer momento, é possível exibir as atividades da conta atual e gerenciar sua conta acessando [https://aws.amazon.com/](https://aws.amazon.com/) e selecionando **Minha conta**.

Quando se cadastrou no serviço, você criou uma Conta da AWS usando um endereço de e-mail e uma senha. Estas são as suas credenciais de usuário raiz da AWS. Como prática recomendada, você não deve usar as credenciais de usuário-raiz para acessar a AWS e realizar tarefas diárias. Só use suas credenciais de usuário-raiz para realizar [tarefas que exijam as credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html). Além disso, não compartilhe suas credenciais com ninguém. Em vez disso, adicione as pessoas ao seu diretório e dê a elas acesso à sua Conta da AWS.

**Para proteger seu Usuário raiz da conta da AWS**

1.  Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/) como o proprietário da conta ao escolher a opção **Usuário-raiz** e inserir o endereço de e-mail da Conta da AWS. Na próxima página, insira a senha.

   Para obter ajuda ao fazer login usando o usuário-raiz, consulte [Fazer login como usuário-raiz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) no *Guia do usuário do Início de Sessão da AWS*.

1. Habilite a autenticação multifator (MFA) para o usuário-raiz.

   Para obter instruções, consulte [Habilitar um dispositivo MFA virtual para sua Conta da AWS de usuário-raiz (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) no *Guia do usuário do IAM*.

**Conceder acesso ao console de faturamento**

Por padrão, os usuários e perfis do IAM em uma Conta da AWS não têm acesso ao console do Gerenciamento de Faturamento e Custos. Isso acontece mesmo que eles tenham políticas do IAM que concedam acesso a determinados atributos de Faturamento. Para conceder acesso, o usuário-raiz da Conta da AWS deve primeiro ativar o acesso ao IAM.
**nota**  
Como prática recomendada de segurança, recomendamos que você ofereça acesso aos seus recursos por meio da federação de identidades, com o [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Quando você habilita o Centro de Identidade do IAM em conjunto com o AWS Organizations, o console do Gerenciamento de Faturamento e Custos é habilitado por padrão com o faturamento consolidado para todas as Contas da AWS de sua organização. Para obter mais informações, consulte [Consolidating billing for AWS Organizations](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) no *Guia do usuário do Gerenciamento de Faturamento e Custos*.

1. Faça login no Console de gerenciamento da AWS com suas credenciais de usuário raiz (especificamente, o endereço de e-mail e a senha usados para criar sua AWS).

1. Na barra de navegação, escolha o nome da conta e, depois, escolha [Minha conta](https://console.aws.amazon.com/billing/home#/account).

1. Role a página para baixo até encontrar a seção **Acesso do usuário e do perfil do IAM a informações de faturamento** e selecione **Editar**.

1. Marque a caixa de seleção **Ativar acesso ao IAM** para ativar o acesso às páginas do console do Gerenciamento de Faturamento e Custos.

1. Selecione **Atualizar**.

    A página exibe a mensagem de que o **acesso do usuário/perfil do IAM às informações de faturamento está ativado**.
**Importante**  
Ativar o acesso ao IAM isoladamente não concede aos usuários e perfis do IAM as permissões para visualizar as páginas do console do Gerenciamento de Faturamento e Custos. Você também deve anexar as políticas baseadas em identidade necessárias aos perfis do IAM para conceder acesso ao console de faturamento. Os perfis fornecem credenciais temporárias que os usuários podem assumir quando necessário.

1. Use o Console de gerenciamento da AWS para [criar um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) que um usuário possa assumir para acessar o console de faturamento.

1. Na página **Adicionar permissões** para o perfil, adicione permissões para listar e visualizar detalhes sobre os recursos de faturamento na sua Conta da AWS.

   A política gerenciada de [Faturamento](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/managed-policies.html#security-iam-awsmanpol-Billing) da AWS concede aos usuários permissão para visualizar e editar o console do Gerenciamento de Faturamento e Custos. Isso inclui visualizar o uso da conta, modificar orçamentos e métodos de pagamento. Para ver mais exemplos de políticas que você pode anexar aos perfis do IAM para controlar o acesso às informações de faturamento da sua conta, consulte [AWS Billing policy examples](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) no *Guia do usuário do Gerenciamento de Faturamento e Custos*.

# Visualizar o ID da Conta da AWS
<a name="console-account-id"></a>

Caso esteja conectado ao console, você pode visualizar o ID da conta da Conta da AWS usando os métodos a seguir.

## Para visualizar sua ID da Conta da AWS
<a name="console-account-id-section-1"></a>

------
#### [ Console ]

O ID da conta da AWS é exibido quando você vai para o **Painel** do IAM na seção Conta da AWS. Você também pode ver o ID da sua conta na barra de navegação no canto superior direito. Escolha seu nome de usuário e o ID da conta será exibido acima do seu nome de usuário.

![\[Caixa suspensa de informações da conta com o ID da conta destacado\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/find-account-id.png)


------
#### [ AWS CLI ]

Use o comando a seguir para visualizar o ID do usuário, o ID da conta e o ARN do usuário:
+ [aws sts get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)

------
#### [ API ]

Use a API a seguir para visualizar o ID do usuário, o ID da conta e o ARN do usuário:
+ [GetCallerIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetCallerIdentity.html) 

------

# Usar um alias para seu ID da Conta da AWS
<a name="console-account-alias"></a>

O ID da sua conta da é um número de 12 dígitos que identifica sua conta de maneira exclusiva. Por padrão, os usuários do IAM na conta fazem login usando um URL da web que inclui o ID da conta. Se não tiverem a URL, ao entrar, eles poderão fornecer o ID da conta na página de entrada da AWS.

O URL de uma página de login tem o seguinte formato, por padrão.

```
https://Your_Account_ID.signin.aws.amazon.com/console/
```

Muitas pessoas acham mais fácil lembrar de palavras que de números; portanto, criar um alias para o ID da conta pode ajudar os usuários do IAM a entrar com mais facilidade.

Se você criar um alias da Conta da AWS para o ID da sua Conta da AWS, o URL da página de login terá a aparência do exemplo a seguir.

```
https://Your_Account_Alias.signin.aws.amazon.com/console/
```

**Considerações antes de criar um alias de conta**
+ Sua Conta da AWS pode ter apenas um alias. Se você criar um novo alias para sua conta da AWS, o novo alias substituirá o anterior, e o URL que contém o alias anterior deixará de funcionar.
+ O alias da conta deve conter apenas dígitos, letras minúsculas e hifens. Para obter mais informações sobre as limitações de entidades de contas da AWS, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).
+ O alias da conta deve ser exclusivo em todos os produtos da Amazon Web Services em uma determinada *partição* de rede.

  Uma *partição* é um grupo de regiões da AWS. Cada conta da AWS tem escopo para uma partição.

  Estas são as partições compatíveis:
  + `aws`: regiões da AWS
  + `aws-cn`: regiões da China
  + `aws-us-gov`: regiões da AWS GovCloud (US)

**nota**  
Os aliases de conta não são segredos e aparecerão na URL da página de login visível ao público. Não inclua nenhuma informação confidencial no alias da conta.  
O URL original que contém o ID da sua Conta da AWS permanece ativo e poderá ser usado depois que você cria o alias da sua Conta da AWS.

# Criar um alias de conta
<a name="account-alias-create"></a>

Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:
+ `iam:ListAccountAliases`
+ `iam:CreateAccountAlias`

## Para criar um alias da Conta da AWS
<a name="console-account-alias-section-1"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Painel**.

1. Na seção **Conta da AWS**, ao lado de **Alias da conta**, escolha **Criar**. Se um alias já existir, escolha **Edit** (Editar).

1. Na caixa de diálogo, digite o nome que você deseja usar para o alias e, em seguida, escolha **Salvar alterações**.

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ `[aws iam create-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/create-account-alias.html)`

------
#### [ API ]

Para criar um alias para o URL da página de login do Console de gerenciamento da AWS, chame a seguinte operação:
+ `[CreateAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccountAlias.html)` 

------

# Excluir um alias de conta
<a name="account-alias-delete"></a>

Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:
+ `iam:ListAccountAliases`
+ `iam:DeleteAccountAlias`

## Como excluir um alias da conta
<a name="console-account-alias-section-2"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Painel**.

1. Na sessão **Conta da AWS**, ao lado de **Alias da conta**, escolha **Excluir**. 

------
#### [ AWS CLI ]

Para excluir um alias de ID da Conta da AWS, execute o seguinte comando:
+ `[aws iam delete-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-alias.html)`

Para confirmar que o alias de conta foi excluído, tente exibir seu alias de ID da Conta da AWS, executando o seguinte comando: 
+ `[aws iam list-account-aliases](https://docs.aws.amazon.com/cli/latest/reference/iam/list-account-aliases.html)`

------
#### [ API ]

Para excluir um alias de ID da sua Conta da AWS, chame a seguinte operação:
+ `[DeleteAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountAlias.html)` 

Para confirmar que o alias de conta foi excluído, tente exibir seu alias de ID da Conta da AWS, chamando a seguinte operação:
+ `[ListAccountAliases](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccountAliases.html)` 

------

**nota**  
Após excluir o alias de conta, o único URL de login para sua conta é baseada no ID da conta. Qualquer tentativa de se conectar ao URL do alias falhará e não será redirecionada.

# Planeje o acesso à sua conta da AWS
<a name="gs-identities"></a>

Ao configurar a AWS, planeje como você pretende que as pessoas acessem sua conta e recursos da AWS para configurar uma solução de gerenciamento de identidade segura e bem projetada. 

**Fontes de identidade**

De acordo com as práticas recomendadas do IAM, os usuários humanos e workloads devem usar credenciais temporárias ao acessar os recursos da AWS. As credenciais temporárias são concedidas às identidades que acessam os recursos usando um perfil do IAM. Tanto os usuários federados no IAM quanto os usuários no Centro de Identidade do IAM (federados ou criados no diretório do Centro de Identidade do IAM) usam perfis do IAM para acessar recursos.

Antes de começar a usar a AWS, planeje como configurar suas identidades de duas formas:
+ Habilite o Centro de Identidade do IAM com o AWS Organizations e adicione usuários no Centro de Identidade do IAM diretamente ao diretório organizacional.

  Para saber mais como adicionar usuários diretamente ao diretório organizacional do Centro de Identidade do IAM, consulte [Adicionar usuários](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html).
+ Federe seu provedor de identidade externo existente com o Centro de Identidade do IAM ou o IAM.

  Para saber mais como federar um provedor de identidade externo no diretório organizacional do Centro de Identidade do IAM, use o [Tutorial de conceitos básicos](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) apropriado.

**Gerenciamento de acesso**

Identifique os recursos e serviços da AWS que seus usuários acessarão e defina as permissões e políticas de acesso necessárias para cada usuário, grupo ou perfil.
+ Se você usa o Centro de Identidade do IAM, um provedor de identidade do IAM, bem como as permissões e perfis do IAM, as políticas são criadas automaticamente em cada conta da AWS da sua organização. Esses perfis e permissões se alinham às permissões que você especifica ao atribuir pessoas ou grupos a aplicações ou contas da AWS específicas.

  Para obter mais informações, consulte [Assign user access](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-assign-account-access-user.html) e [Set up single sign-on access to your applications](https://docs.aws.amazon.com/singlesignon/latest/userguide/set-up-single-sign-on-access-to-applications.html).
+ Se você federar seu provedor de identidade diretamente com o IAM em sua Conta da AWS, será preciso criar um perfil para seus usuários assumirem e duas políticas: uma política de confiança que especifica quem pode assumir o perfil e uma política de permissões que especifica as ações e os recursos da AWS aos quais a pessoa que assume o perfil tem acesso permitido ou negado.

  Para obter mais informações, consulte [Federação e provedores de identidade na AWS](id_roles_providers.md).

# Casos de uso de usuários do IAM
<a name="gs-identities-iam-users"></a>

Os usuários do IAM criados na sua Conta da AWS têm credenciais de longo prazo que você gerencia diretamente.

Quando se trata de gerenciar o acesso na AWS, os usuários do IAM geralmente não são a melhor escolha. Há alguns motivos principais pelos quais você deve evitar depender dos usuários do IAM na maioria dos seus casos de uso.

Primeiro, os usuários do IAM são projetados para contas individuais, então eles não escalam bem à medida que sua organização cresce. Gerenciar permissões e segurança para um grande número de usuários do IAM pode rapidamente se tornar um desafio.

Os usuários do IAM também não têm os recursos centralizados de visibilidade e auditoria que você obtém com outras soluções de gerenciamento de identidade da AWS. Isso pode fazer com que manter a segurança e a conformidade regulatória seja mais difícil.

Por fim, implementar as práticas recomendadas de segurança, como autenticação multifatorial, políticas de senha e separação de perfis, é muito mais fácil com abordagens de gerenciamento de identidade mais escaláveis.

Em vez de utilizar usuários do IAM, recomendamos o uso de soluções mais robustas, como o IAM Identity Center com o AWS Organizations, ou de identidades federadas fornecidas por provedores externos. Essas opções proporcionarão melhor controle, segurança e eficiência operacional à medida que seu ambiente da AWS cresce.

Sendo assim, recomendamos usar somente usuários do IAM para [casos de uso não compatíveis com usuários federados](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html#id_which-to-choose). 

A lista seguinte identifica casos de uso específicos que exigem credenciais de longo prazo com usuários do IAM na AWS. Você pode usar o IAM para criar esses usuários do IAM sob o controle da sua conta da AWS e usar o IAM para gerenciar as permissões deles. 
+ Acesso emergencial à sua conta da AWS
+ Workloads que não podem usar perfis do IAM
  + AWS CodeCommitacesso do 
  + Acesso ao Amazon Keyspaces (para Apache Cassandra)
+ Clientes da AWS de terceiros
+ O Centro de Identidade do AWS IAM não está disponível para sua conta, e você não tem outro provedor de identidade



# Criar um acesso de emergência para um usuário do IAM
<a name="getting-started-emergency-iam-user"></a>

Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade dentro da Conta da AWS que tem permissões específicas para uma única pessoa ou aplicação. 

Ter um usuário do IAM para acesso de emergência é um dos motivos recomendados para criar um usuário do IAM. Assim, você possa acessar sua Conta da AWS caso seu provedor de identidade não esteja acessível.

**nota**  
Como [prática recomendada de segurança](best-practices.md), recomendamos que você forneça acesso aos seus recursos por meio da federação de identidades, em vez de criar usuários do IAM. Para obter informações sobre situações específicas em que um usuário do IAM é necessário, consulte [Quando criar um usuário do IAM (em vez de um perfil)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose).

## Para criar um acesso de emergência para um usuário do IAM
<a name="getting-started-emergency-iam-user-section-1"></a>

**Permissões mínimas**  
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:  
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`

------
#### [ Console ]<a name="gs-proc-iam-user-user"></a>

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Usuários** e escolha **Criar usuário**.
**nota**  
Se o Centro de Identidade do IAM estiver habilitado, o Console de gerenciamento da AWS exibirá um lembrete de que é melhor gerenciar o acesso dos usuários no Centro de Identidade do IAM. Nesse procedimento, o usuário do IAM que você criar será usado especificamente apenas quando seu provedor de identidade não estiver disponível.

1. Na página **Especificar detalhes do usuário**, em **Detalhes do usuário**, em **Nome de usuário**, insira o nome do novo usuário. É o nome de login para a AWS. Neste exemplo, insira **EmergencyAccess**.
**nota**  
Os nomes de usuário podem ser uma combinação de até 64 letras, dígitos e estes caracteres: adição (\$1), igual (=), vírgula (,), ponto (.), arroba (@), sublinhado (\$1) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois usuários denominados TESTUSER e testuser. Quando o nome de usuário é usado em uma política ou como parte de um ARN, o nome diferencia maiúsculas de minúsculas. Quando é exibido para os clientes no console, por exemplo, como durante o processo de login, o nome de usuário não diferencia maiúsculas de minúsculas.

1. Marque a caixa de seleção ao lado de **Fornecer acesso ao Console de gerenciamento da AWS: *opcional*** e escolha **Quero criar um usuário do IAM**.

1. Em **Senha do console**, selecione **Senha gerada automaticamente**.

1. Desmarque a caixa de seleção ao lado de **O usuário deverá criar uma nova senha no próximo login (recomendado)**. Como esse usuário do IAM serve para acesso emergencial, um administrador confiável retém a senha e a fornece somente quando necessário.

1. Na página **Definir permissões**, em **Opções de permissões**, selecione **Adicionar usuário ao grupo**. Em seguida, em **Grupos de usuários**, selecione **Criar grupo**.

1. Na página **Criar grupo de usuários**, em **Nome do grupo de usuários**, insira **EmergencyAccessGroup**. Em seguida, em **Políticas de permissões**, selecione **AdministratorAccess**.

1. Selecione **Criar grupo de usuários** para voltar à página **Definir permissões**. 

1. Em **Grupos de usuários**, selecione o nome do **EmergencyAccessGroup** que você criou anteriormente.

1. Selecione **Avançar** para prosseguir para a página **Revisar e criar**.

1. Na página **Revisar e criar**, revise a lista de associações de grupos de usuários a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione **Criar usuário**.

1. Na página **Recuperar senha**, selecione **Baixar arquivo .csv** para salvar um arquivo .csv com as informações de credencial do usuário (URL da conexão, nome de usuário e senha).

1. Salve esse arquivo para usar caso precise fazer login no IAM e não tenha acesso ao provedor de identidade.

O novo usuário do IAM será exibido na lista **Usuários**. Selecione o link **Nome de usuário** para ver os detalhes do usuário. 

------
#### [ AWS CLI ]

1. Crie um usuário chamado **EmergencyAccess**.
   + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
   aws iam create-user \
      --user-name EmergencyAccess
   ```

1. (Opcional) Forneça ao usuário acesso ao Console de gerenciamento da AWS. Isso requer uma senha. Para criar uma senha de um usuário do IAM, você pode usar o parâmetro `--cli-input-json` para transmitir um arquivo JSON que contém a senha. Você também deve fornecer ao usuário o [URL da página de login da sua conta.](id_users_sign-in.md)
   +  [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

     ```
      
     aws iam create-login-profile \
        --generate-cli-skeleton > create-login-profile.json
     ```
   + Abra o arquivo `create-login-profile.json` em um editor de texto e digite uma senha que esteja em conformidade com sua política de senha. Depois, salve o arquivo. Por exemplo: 

     ```
     {
      "UserName": "EmergencyAccess",
      "Password": "Ex@3dRA0djs",
      "PasswordResetRequired": false
     }
     ```
   + Use o comando `aws iam create-login-profile` novamente, passando o parâmetro `--cli-input-json` para especificar seu arquivo JSON.

     ```
     aws iam create-login-profile \
        --cli-input-json file://create-login-profile.json
     ```
**nota**  
Se a senha que você forneceu no arquivo JSON violar a política de senha da sua conta, você receberá um erro de `PassworPolicyViolation`. Se isso acontecer, revise a [política de senha](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details) da sua conta e atualize a senha no arquivo JSON para atender aos requisitos.

1. Crie o **EmergencyAccessGroup**, anexe a política `AdministratorAccess` gerenciada pela AWS ao grupo e adicione o usuário **EmergencyAccess** ao grupo. 
**nota**  
Uma *política gerenciada pela AWS* é uma política independente que é criada e administrada pela AWS. Cada política tem seu próprio nome do recurso da Amazon (ARN) que inclui o nome da política. Por exemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` é uma política gerenciada da AWS. Para obter mais informações sobre ARNs do , consulte [ARNs do IAM](reference_identifiers.md#identifiers-arns). Para obter uma lista das políticas gerenciadas pela AWS dos Serviços da AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
   + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
     aws iam create-group \
        --group-name EmergencyAccessGroup
     ```
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
     aws iam attach-group-policy \
        --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
        --group-name >EmergencyAccessGroup
     ```
   + [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
     aws iam add-user-to-group \
        --user-name EmergencyAccess \
        --group-name EmergencyAccessGroup
     ```
   + Execute o comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) para listar o **EmergencyAccessGroup** e seus membros.

     ```
     aws iam get-group \
        --group-name EmergencyAccessGroup
     ```

------

# Crie um usuário do IAM para workloads que não podem usar perfis do IAM
<a name="getting-started-workloads"></a>

**Importante**  
Como [prática recomendada](best-practices.md#lock-away-credentials), recomendamos que você exija que os usuários humanos usem [credenciais temporárias](id_credentials_temp.md) ao acessar a AWS.  
Como alternativa, você pode gerenciar as identidades de usuário, incluindo o usuário administrativo, com o [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html). Recomendamos usar o Centro de Identidade do IAM para gerenciar o acesso às contas e as permissões nelas. Se estiver usando um provedor de identidade externo, você também poderá configurar as permissões de acesso para identidades de usuário no Centro de Identidade do IAM.

Se o seu caso de uso exigir usuários do IAM com acesso programático e credenciais de longo prazo, recomendamos que você estabeleça procedimentos para atualizar as chaves de acesso quando necessário. Para obter mais informações, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md).

Para executar algumas tarefas de gerenciamento de contas e serviços, é necessário fazer login usando as credenciais de usuário-raiz. Para visualizar as tarefas que exigem que você faça login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](id_root-user.md#root-user-tasks).

## Para criar um usuário do IAM para workloads que não podem usar perfis do IAM
<a name="getting-started-workloads-section-1"></a>

**Permissões mínimas**  
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:  
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Usuários** e depois escolha **Criar usuários**.

1. Na página **Especificar detalhes do usuário**, faça o seguinte:

   1. Em **Nome de usuário**, digite ***WorkloadName***. Substitua ***WorkloadName*** pelo nome da workload que usará a conta.

   1. Escolha **Próximo**.

1. (Opcional) Na página **Definir permissões**, faça o seguinte:

   1. Escolha **Add user to group**.

   1. Escolha **Criar grupo**.

   1. Na caixa de diálogo **Criar grupo de usuários**, em **Nome do grupo de usuários**, digite um nome que represente o uso das workloads no grupo. Para este exemplo, use o nome **Automation**.

   1. Em **Políticas de permissões**, marque a caixa de seleção da política gerenciada **PowerUserAccess**.
**dica**  
Insira *Power* na caixa de pesquisa **Políticas de permissões** para encontrar rapidamente a política gerenciada.

   1. Escolha **Criar grupo de usuários**.

   1. De volta à página com a lista de grupos do IAM, marque a caixa de seleção do novo grupo de usuários. Escolha **Refresh** (Atualizar) se não vir o novo grupo de usuários na lista.

   1. Escolha **Próximo**.

1. (Opcional) Na seção **Tags**, adicione metadados ao usuário associando tags como pares de chave/valor. Para obter mais informações, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

1. Verifique as associações de grupos de usuários para o novo usuário. Quando você estiver pronto para continuar, escolha **Create user** (Criar usuário).

1. É exibida uma notificação de status informando que o usuário foi criado com êxito. Selecione **Visualizar usuário** para acessar a página de detalhes do usuário

1. Selecione a guia **Credenciais de segurança**. Em seguida, crie as credenciais necessárias para a workload.
   + **Chaves de acesso**: selecione **Criar chave de acesso** para gerar e baixar chaves de acesso para o usuário.
**Importante**  
Esta é a única oportunidade de visualizar ou fazer download das chaves de acesso secretas, e você deve fornecer essas informações aos usuários para que eles possam usar a AWS API. Salve a nova ID da chave de acesso do usuário e a chave de acesso secreta em um local seguro e protegido. **Você não terá acesso às chaves secretas novamente depois dessa etapa.** 
   + **Chaves públicas SSH para o AWS CodeCommit**: selecione **Fazer upload da chave pública SSH** para carregar uma chave pública SSH para que o usuário possa se comunicar com os repositórios do CodeCommit via SSH.
   + **Credenciais do Git para o AWS CodeCommit**: selecione **Gerar credenciais** para gerar um conjunto exclusivo de credenciais de usuário para uso com os repositórios Git. Selecione **Baixar credenciais** para salvar o nome de usuário e a senha em um arquivo .csv. Esse é o único momento em que essa informação está disponível. Se você esquecer ou perder a senha, precisará redefini-la.
   + **Credenciais para Amazon Keyspaces (para Apache Cassandra**): selecione **Gerar credenciais** para gerar credenciais de usuário específicas do serviço para usar com o Amazon Keyspaces. Selecione **Baixar credenciais** para salvar o nome de usuário e a senha em um arquivo .csv. Esse é o único momento em que essa informação está disponível. Se você esquecer ou perder a senha, precisará redefini-la.
**Importante**  
Credenciais específicas do serviço são credenciais de longo prazo associadas a um usuário do IAM específico e só podem ser usadas para o serviço para o qual foram criadas. Para conceder permissões aos perfis do IAM ou às identidades federadas para acessar todos os seus recursos do AWS usando credenciais temporárias, use a autenticação da AWS com o plug-in de autenticação SigV4 para o Amazon Keyspaces. Para obter mais informações, consulte [Usar credenciais temporárias para se conectar ao Amazon Keyspaces (para Apache Cassandra) usando um perfil do IAM e o plug-in SigV4](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM), no *Guia do desenvolvedor do Amazon Keyspaces (para Apache Cassandra)*. 
   + **Certificados de assinatura X.509**: selecione **Criar certificado X.509** se precisar fazer solicitações seguras do protocolo SOAP e estiver em uma região que não tem suporte pelo AWS Certificate Manager. O ACM é a ferramenta preferencial para provisionar, gerenciar e implantar seus certificados de servidor. Para obter mais informações sobre o ACM, consulte o [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).

Você criou um usuário com acesso programático e o configurou com a função de trabalho **PowerUserAccess**. A política de permissões desse usuário concede acesso total a todos os serviços, exceto para o IAM e o AWS Organizations.

Você pode usar esse mesmo processo para dar às workloads adicionais acesso programático aos seus recursos da Conta da AWS, caso as workloads não consigam assumir os perfis do IAM. Esse procedimento usou a política gerenciada **PowerUserAccess** para atribuir permissões. Para seguir a melhor prática de privilégio mínimo, considere usar uma política mais restritiva ou criar uma política personalizada que restrinja o acesso somente aos recursos exigidos pelo programa. Para saber mais sobre o uso de políticas que restringem as permissões do usuário a recursos específicos da AWS, consulte [Gerenciamento de acesso para recursos da AWS](access.md) e [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md). Para adicionar outros usuários ao grupo de usuários após a sua criação, consulte [Editar usuários em grupos do IAM](id_groups_manage_add-remove-users.md).

------
#### [ AWS CLI ]

1. Crie um usuário chamado **Automation**.
   + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
                 aws iam create-user \
                     --user-name Automation
   ```

1. Crie um grupo de usuários do IAM chamado **AutomationGroup**, anexe a política `PowerUserAccess` gerenciada pela AWS ao grupo e adicione o usuário **Automation** ao grupo. 
**nota**  
Uma *política gerenciada pela AWS* é uma política independente que é criada e administrada pela AWS. Cada política tem seu próprio nome do recurso da Amazon (ARN) que inclui o nome da política. Por exemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` é uma política gerenciada da AWS. Para obter mais informações sobre ARNs do , consulte [ARNs do IAM](reference_identifiers.md#identifiers-arns). Para obter uma lista das políticas gerenciadas pela AWS dos Serviços da AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
   + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
                       aws iam create-group \
                           --group-name AutomationGroup
     ```
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
                       aws iam attach-group-policy \
                           --policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
                           --group-name AutomationGroup
     ```
   + [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
                      aws iam add-user-to-group \
                          --user-name Automation \
                          --group-name AutomationGroup
     ```
   + Execute o comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) para listar o **AutomationGroup** e seus membros.

     ```
                     aws iam get-group \
                          --group-name AutomationGroup
     ```

1. Crie as credenciais de segurança necessárias para a workload.
   + **Crie chaves de acesso para testes**: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     ```
                            aws iam create-access-key \
                                --user-name Automation
     ```

     A saída desse comando exibe a chave de acesso secreta e o ID da chave de acesso. Registre e armazene essas informações em um local seguro. Se essas credenciais forem perdidas, não será possível recuperá-las e você deverá criar uma nova chave de acesso.
**Importante**  
Essas chaves de acesso do usuário do IAM são credenciais de longo prazo que apresentam um risco de segurança para sua conta. Depois de concluir o teste, recomendamos excluir essas chaves de acesso. Se você tiver cenários em que esteja considerando chaves de acesso, investigue se você pode habilitar o MFA para seu usuário do IAM da workload e usar o [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) para obter credenciais temporárias para a sessão em vez de usar as chaves de acesso do IAM.
   + **Faça upload de chaves públicas SSH para o AWS CodeCommit**: [aws iam upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)

     O exemplo a seguir pressupõe que você tenha suas chaves públicas SSH armazenadas no arquivo `sshkey.pub`.

     ```
                            aws upload-ssh-public-key \
                                --user-name Automation \
                                --ssh-public-key-body file://sshkey.pub
     ```
   + **Faça upload de um certificado de assinatura X.509**: [aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)

     Faça upload de um certificado X.509 se precisar fazer solicitações seguras do protocolo SOAP e estiver em uma região que não seja compatível com o AWS Certificate Manager. O ACM é a ferramenta preferencial para provisionar, gerenciar e implantar seus certificados de servidor. Para obter mais informações sobre o ACM, consulte o [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).

     O exemplo a seguir pressupõe que você tenha seu certificado de assinatura X.509 armazenado no arquivo `certificate.pem`.

     ```
                           aws iam upload-signing-certificate \
                           --user-name Automation \
                           --certificate-body file://certificate.pem
     ```

Você pode usar esse mesmo processo para dar às workloads adicionais acesso programático aos seus recursos da Conta da AWS, caso as workloads não consigam assumir os perfis do IAM. Esse procedimento usou a política gerenciada **PowerUserAccess** para atribuir permissões. Para seguir a melhor prática de privilégio mínimo, considere usar uma política mais restritiva ou criar uma política personalizada que restrinja o acesso somente aos recursos exigidos pelo programa. Para saber mais sobre o uso de políticas que restringem as permissões do usuário a recursos específicos da AWS, consulte [Gerenciamento de acesso para recursos da AWS](access.md) e [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md). Para adicionar outros usuários ao grupo de usuários após a sua criação, consulte [Editar usuários em grupos do IAM](id_groups_manage_add-remove-users.md).

------

# Usar autenticação multifator com suas identidades
<a name="gs-identities-mfa"></a>

Usar autenticação multifator (MFA) com suas identidades é outra prática recomendada do IAM. A MFA é uma camada de segurança adicional que exige que os usuários forneçam fatores de autenticação adicionais após fornecerem seu nome de usuário e senha para verificar a identidade. Ela aumenta significativamente a segurança, tornando muito mais difícil para os invasores obterem acesso não autorizado, mesmo que a senha do usuário esteja comprometida. A MFA é amplamente adotada como uma prática recomendada para garantir o acesso a contas online, serviços em nuvem e outros recursos confidenciais. A AWS oferece suporte a MFA para o usuário-raiz, usuários do IAM, usuários no Centro de Identidade do IAM, ID do builder e usuários federados. Para segurança adicional, você pode criar políticas que exijam que a MFA seja configurada antes de permitir que um usuário acesse recursos ou realize ações específicas e anexe essas políticas aos perfis do IAM. O Centro de Identidade do IAM é pré-configurado com a MFA ativada por padrão para que todos os usuários no Centro de Identidade do IAM precisem iniciar sessão com a MFA além do nome de usuário e a senha.

**nota**  
Todos os tipos de Conta da AWS (contas autônomas, de gerenciamento e de membros) exigem que a MFA seja configurada para o usuário-raiz. Os usuários precisarão registrar a MFA em até 35 dias após a primeira tentativa de login, para acessar o Console de gerenciamento da AWS, se a MFA ainda não estiver habilitada.

Para obter mais informações, consulte [Configurar MFA no Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html) e [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).

# Preparar para permissões de privilégio mínimo
<a name="getting-started-reduce-permissions"></a>

Usar *permissões com privilégio mínimo* é uma indicação de prática recomendada do IAM. O conceito de permissões de privilégio mínimo é conceder aos usuários somente as permissões necessárias para realizar uma tarefa. Ao configurar, considere como você oferecerá suporte às permissões de privilégio mínimo. O usuário-raiz, o usuário administrador e o usuário de acesso de emergência do IAM têm permissões avançadas que não são necessárias para tarefas diárias. Enquanto você está aprendendo sobre a AWS e testando diferentes serviços, recomendamos criar pelo menos um usuário adicional no Centro de Identidade do IAM com permissões menores, que possa ser usado em diferentes cenários. É possível usar as políticas do IAM para definir as ações que podem ser executadas em recursos específicos sob condições específicas e se conectar a esses recursos com sua conta de privilégio menor.

Se você estiver usando o Centro de Identidade do IAM, considere usar conjuntos de permissões dele para começar. Para saber mais, consulte [Criar um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do IAM*. 

Caso não esteja usando o Centro de Identidade do IAM, use perfis do IAM para definir as permissões para diferentes entidades do IAM. Para saber mais, consulte [Criar um perfil do IAM](id_roles_create.md).

Tanto os perfis do IAM como os conjuntos de permissões do Centro de Identidade do IAM podem usar políticas gerenciadas pela AWS com base em funções de trabalho. Para obter detalhes sobre as permissões concedidas por essas políticas, consulte [AWSPolíticas gerenciadas pela para funções de trabalho](access_policies_job-functions.md). 

**Importante**  
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso por todos os clientes da AWS. Depois de configurar, recomendamos usar o IAM Access Analyzer para gerar políticas de privilégio mínimo com base na atividade de acesso que está registrada no AWS CloudTrail. Para obter mais informações sobre a geração de políticas, consulte [Geração de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

Ao começar, recomendamos usar políticas gerenciadas pela AWS para conceder permissões. Depois de um período de amostra de atividade predefinido (por exemplo, 90 dias), você poderá revisar os serviços que as pessoas e workloads acessaram. Em seguida, você poderá criar uma nova política gerenciada pelo cliente com permissões reduzidas para substituir a política gerenciada pela AWS. A nova política deve incluir somente os serviços que foram acessados durante o período da amostra. Atualize suas permissões para remover a política gerenciada pela AWS e anexe a nova política gerenciada pelo cliente que você criou. 

# Revisar informações acessadas por último da sua conta da AWS
<a name="getting-started-reduce-permissions-last-accessed"></a>

Você pode visualizar as informações sobre o último acesso ao serviço para o IAM usando o console do IAM, a AWS CLI ou a API da AWS. Para obter informações importantes sobre os dados, permissões necessárias, solução de problemas e regiões com suporte, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

É possível visualizar as informações para os tipos de recurso a seguir no IAM. Em cada caso, as informações abrangem serviços permitidos para o período de geração de relatórios indicado:
+ **Usuário do IAM**: visualize a última vez em que o usuário tentou acessar cada serviço permitido.
+ **Grupo do IAM**: visualize as informações sobre a última vez em que um membro do grupo do IAM tentou acessar cada serviço permitido. Esse relatório também inclui o número total de membros que tentou acessar.
+ **Perfil do IAM**: visualize a última vez em que alguém usou o perfil em uma tentativa de acessar cada serviço permitido.
+ **Política**: visualize informações sobre a última vez em que um usuário ou uma função tentou acessar cada serviço permitido. Esse relatório também inclui o número total de entidades que tentou acessar.

**nota**  
Para visualizar as informações de acesso de um recurso no IAM, compreenda o período de geração de relatórios, as entidades relatadas e os tipos de política avaliados para as informações. Para obter mais detalhes, consulte [Coisas para saber sobre as informações acessadas por último](access_policies_last-accessed.md#access_policies_last-accessed-know).

Para obter mais informações sobre as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Para revisar as informações acessadas por último em uma Conta da AWS
<a name="getting-started-reduce-permissions-last-accessed-proc"></a>

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **User groups** (Grupos de usuários), **Users** (USuários), **Roles** (Funções) ou **Policies** (Políticas).

1. Escolha qualquer nome de usuário, grupo de usuários, perfil ou política para abrir a página **Resumo** correspondente e escolha a guia **Acessados recentemente**. Exiba as seguintes informações com base no recurso escolhido:
   + **User group** (Grupo de usuários): exibe a lista de serviços que os membros do grupo de usuários podem acessar. Você também pode visualizar quando um membro acessou o serviço pela última vez, quais políticas de grupo de usuário ele usou e qual membro do grupo de usuários fez a solicitação. Escolha o nome da política para saber se ela é uma política gerenciada ou uma política de grupo de usuários em linha. Escolha o nome do membro do grupo de usuários para ver todos os membros do grupo de usuários e quando eles acessaram o serviço mais recentemente.
   + **User** (Usuário): exibe a lista de serviços que o usuário pode acessar. Também é possível exibir quando ele acessou o serviço pela última vez e quais políticas estão associadas ao usuário no momento. Escolha o nome da política para saber se é uma política gerenciada, uma política de usuário em linha ou uma política em linha para o grupo.
   + **Role** (Função): exibe a lista de serviços que a função pode acessar, quando a função acessou o serviço mais recentemente e quais políticas foram usadas. Escolha o nome da política para saber se ela é uma política gerenciada ou uma política de função em linha.
   + **Policy** (Política): exibe a lista de serviços com ações permitidas na política. Você também pode exibir quando a política foi usada pela última vez para acessar o serviço e qual entidade (usuário ou função) usou a política. A data de **Último acesso** também inclui quando o acesso é concedido a essa política por meio de outra política. Escolha o nome da entidade para saber quais entidades têm essa política anexada e quando elas acessaram o serviço mais recentemente.

1. Na coluna **Serviço** da tabela, escolha o nome de [um dos serviços que inclui informações acessadas pela última vez pela ação](access_policies_last-accessed-action-last-accessed.md) para visualizar uma lista de ações de gerenciamento que as entidades do IAM tentaram acessar. É possível visualizar a Região da AWS e um carimbo de data/hora que mostre quando alguém tentou executar a ação pela última vez.

1. A coluna **Último acesso** é exibida para serviços e ações de gerenciamento dos [serviços que incluem informações acessadas pela última vez pela ação](access_policies_last-accessed-action-last-accessed.md). Revise os seguintes resultados possíveis que são retornados nessa coluna. Esses resultados variam dependendo se um serviço ou ação é permitido, foi acessado e se ele é rastreado pela AWS quanto a informações acessadas por último.   
**<number of> dias atrás**  
O número de dias desde que o serviço ou a ação foi usado no período de rastreamento. O período de rastreamento dos serviços é para os últimos 400 dias. O período de rastreamento das ações do Amazon S3 começou em 12 de abril de 2020. O período de rastreamento das ações do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. O período de rastreamento para todos os outros serviços começou em 23 de maio de 2023. Para saber mais sobre as datas de início de rastreamento para cada Região da AWS, consulte [Onde a AWS rastreia informações acessadas por último](access_policies_last-accessed.md#last-accessed_tracking-period).  
**Não acessado no período de rastreamento**  
O serviço ou ação rastreado não foi usado por uma entidade no período de rastreamento.

   É possível que você tenha permissões para uma ação que não aparece na lista. Isso poderá acontecer se as informações de rastreamento da ação não tiverem sido incluídas pela AWS. Você não deve tomar decisões de permissões com base apenas na ausência de informações de rastreamento. Em vez disso, recomendamos que você use essas informações para informar e apoiar sua estratégia geral de concessão de privilégios mínimos. Verifique suas políticas para confirmar se o nível de acesso é apropriado.

------
#### [ AWS CLI ]

Você pode usar a AWS CLI para recuperar informações sobre a última vez que um recurso do IAM em sua Conta da AWS foi usado para tentar acessar serviços da AWS e ações do Amazon S3, Amazon EC2, IAM e Lambda. Um recurso do IAM pode ser um usuário, grupo de usuários, função ou política.
+ Gere um relatório para recursos do IAM em uma Conta da AWS. A solicitação deve incluir o ARN do recurso do IAM (usuário, grupo de usuários, função ou política) para o qual você deseja um relatório. Você pode especificar o nível de granularidade que deseja gerar no relatório para exibir detalhes de acesso para serviços ou serviços e ações. A solicitação retorna um `job-id` que você pode acabar usando nas operações `get-service-last-accessed-details` e `get-service-last-accessed-details-with-entities` para monitorar o `job-status` até o trabalho estar concluído.
  + [aws iam generate-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

  1. Recupere detalhes sobre o relatório usando o parâmetro `job-id` da etapa anterior.
     + [aws iam get-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

     Essa operação retorna as seguintes informações, com base no tipo de recurso e nível de granularidade que você solicitou na operação `generate-service-last-accessed-details`:
     + **Usuário**: retorna uma lista de serviços que o usuário especificado pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa do usuário e o ARN do usuário.
     + **Grupo de usuários**:retorna uma lista de serviços que os membros do grupo de usuários especificado podem acessar usando políticas anexadas ao grupo de usuários. Para cada serviço, a operação retorna a data e a hora da última tentativa feita por qualquer membro do grupo de usuários. Ela também retorna o ARN do usuário e o número total de membros do grupode usuários que tentou acessar o serviço. Use a operação [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar uma lista de todos os membros.
     + **Função**: retorna uma lista de serviços que a função especificada pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa da função e o ARN da função.
     + **Política**: retorna uma lista de serviços para os quais a política especificada permite o acesso. Para cada serviço, a operação retorna a data e a hora em que uma entidade (usuário ou função) tentou acessar mais recentemente o serviço usando a política. Ele também retorna o ARN dessa entidade e o número total de entidades que tentou acessar.

  1. Saiba mais sobre as entidades que usaram permissões de grupo de usuários ou política em uma tentativa de acessar um serviço específico. Essa operação retorna uma lista de entidades com ARN, ID, nome, caminho, tipo (usuário ou função) de cada entidade e quando eles tentaram acessar o serviço mais recentemente. Você também pode usar essa operação para usuários e funções, mas ela só retorna informações sobre essa entidade.
     + [aws iam get-service-last-accessed-details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

  1. Saiba mais sobre as políticas baseadas em identidade que uma identidade (usuário, grupo de usuários ou função) usou em uma tentativa de acessar um serviço específico. Quando você especifica uma identidade e um serviço, essa operação retorna uma lista de políticas de permissões que a identidade pode usar para acessar o serviço especificado. Essa operação indica o estado atual de políticas e não depende do relatório gerado. Isso também não retorna outros tipos de política, como políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para ter mais informações, consulte [Tipos de políticas](access_policies.md#access_policy-types) ou [Avaliação de políticas para solicitações em uma única conta](reference_policies_evaluation-logic_policy-eval-basics.md).
     + [aws iam list-policies-granting-service-access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

------
#### [ API ]

Você pode usar a API da AWS para recuperar informações sobre a última vez que um recurso do IAM foi usado para tentar acessar produtos da AWS e ações do Amazon S3, do Amazon EC2, do IAM e do Lambda. Um recurso do IAM pode ser um usuário, grupo de usuários, função ou política. Você pode especificar o nível de granularidade a ser gerado no relatório para exibir detalhes de serviços ou serviços e ações. 

1. Gere um relatório. A solicitação deve incluir o ARN do recurso do IAM (usuário, grupo de usuários, função ou política) para o qual você deseja um relatório. Ele retorna um `JobId` que você pode acabar usando nas operações `GetServiceLastAccessedDetails` e `GetServiceLastAccessedDetailsWithEntities` para monitorar o `JobStatus` até o trabalho estar concluído.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Recupere detalhes sobre o relatório usando o parâmetro `JobId` da etapa anterior.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Essa operação retorna as seguintes informações, com base no tipo de recurso e nível de granularidade que você solicitou na operação `GenerateServiceLastAccessedDetails`:
   + **Usuário**: retorna uma lista de serviços que o usuário especificado pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa do usuário e o ARN do usuário.
   + **Grupo de usuários**:retorna uma lista de serviços que os membros do grupo de usuários especificado podem acessar usando políticas anexadas ao grupo de usuários. Para cada serviço, a operação retorna a data e a hora da última tentativa feita por qualquer membro do grupo de usuários. Ela também retorna o ARN do usuário e o número total de membros do grupode usuários que tentou acessar o serviço. Use a operação [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar uma lista de todos os membros.
   + **Função**: retorna uma lista de serviços que a função especificada pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa da função e o ARN da função.
   + **Política**: retorna uma lista de serviços para os quais a política especificada permite o acesso. Para cada serviço, a operação retorna a data e a hora em que uma entidade (usuário ou função) tentou acessar mais recentemente o serviço usando a política. Ele também retorna o ARN dessa entidade e o número total de entidades que tentou acessar.

1. Saiba mais sobre as entidades que usaram permissões de grupo de usuários ou política em uma tentativa de acessar um serviço específico. Essa operação retorna uma lista de entidades com ARN, ID, nome, caminho, tipo (usuário ou função) de cada entidade e quando eles tentaram acessar o serviço mais recentemente. Você também pode usar essa operação para usuários e funções, mas ela só retorna informações sobre essa entidade.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Saiba mais sobre as políticas baseadas em identidade que uma identidade (usuário, grupo de usuários ou função) usou em uma tentativa de acessar um serviço específico. Quando você especifica uma identidade e um serviço, essa operação retorna uma lista de políticas de permissões que a identidade pode usar para acessar o serviço especificado. Essa operação indica o estado atual de políticas e não depende do relatório gerado. Isso também não retorna outros tipos de política, como políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para ter mais informações, consulte [Tipos de políticas](access_policies.md#access_policy-types) ou [Avaliação de políticas para solicitações em uma única conta](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

------

# Gerar uma política com base na atividade de acesso
<a name="getting-started_reduce-permissions-edit-policy"></a>

Você pode usar a atividade de acesso registrada no AWS CloudTrail para um usuário do IAM ou perfil do IAM para que o IAM Access Analyzer gere uma política gerenciada pelo cliente para permitir acesso apenas aos serviços de que usuários e perfis específicos precisam. 

Quando IAM Access Analyzer gera uma política do IAM, as informações são retornadas para ajudar você a personalizar ainda mais a política. Duas categorias de informações podem ser retornadas quando uma política é gerada:
+ **Policy with action-level information** (Política com informações no nível de ação): para alguns produtos da AWS, como o Amazon EC2, o IAM o Access Analyzer podem identificar as ações encontradas nos eventos do CloudTrail e listar as ações usadas na política gerada. Para obter uma lista dos serviços compatíveis, consulte [Serviços de geração de política do IAM Access Analyzer](access-analyzer-policy-generation-action-last-accessed-support.md). Para alguns serviços, o IAM Access Analyzer solicita que você adicione ações para os serviços à política gerada.
+ A **política com informações em nível de serviço –** IAM Access Analyzer usa as [últimas informações acessadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) para criar um modelo de política com todos os serviços usados recentemente. Ao usar o Console de gerenciamento da AWS, solicitamos que você revise os serviços e adicione ações para concluir a política.

## Para gerar uma política com base na atividade de acesso
<a name="getting-started_reduce-permissions-edit-policy-section-1"></a>

No procedimento seguinte, reduziremos as permissões concedidas a um perfil para corresponder ao uso de um usuário. Ao escolher um usuário, escolha um usuário cujo uso exemplifique o perfil. Muitos clientes configuram contas de usuário de teste com permissões **PowerUser** e, em seguida, fazem com que realizem um conjunto específico de tarefas por um curto período de tempo para determinar qual acesso é necessário para realizar essas tarefas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Usuários** e, em seguida, escolha o nome de usuário para acessar a página de detalhes do usuário.

1. Na guia **Permissões**, em Gerar política com base em eventos do CloudTrail, escolha **Gerar política**. 

1. Na página **Gerar política**, configure os seguintes itens:
   + Em **Selecionar período**, escolha **Últimos sete dias**.
   + Para **Trilha do CloudTrail a ser analisada**, selecione a região e a trilha em que a atividade desse usuário é registrada.
   + Escolha **Criar e usar um novo perfil de serviço**.

1. Escolha **Gerar política** e aguarde até que o perfil seja criado. Não atualize nem saia da página do console até que a mensagem de notificação **Geração de política em andamento** apareça.

1. Depois que a política for gerada, você deverá analisá-la e personalizá-la conforme necessário com os IDs da conta e os ARNs dos recursos. Além disso, a política gerada automaticamente pode não incluir as informações de nível de ação necessárias para concluir a política. Para obter mais informações, consulte [Geração de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

   Por exemplo, você pode editar a primeira instrução que inclui o efeito `Allow` e o elemento `NotAction` para permitir apenas ações do Amazon EC2 e Amazon S3. Para isso, substitua-a pela instrução com o ID `FullAccessToSomeServices`. A nova política pode ser semelhante à seguinte política de exemplo.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Sid": "FullAccessToSomeServices",
             "Effect": "Allow",
             "Action": [
                 "ec2:*",
                 "s3:*"
             ],
             "Resource": "*"
         },
         {
             "Effect": "Allow",
             "Action": [
                 "iam:CreateServiceLinkedRole",
                 "iam:DeleteServiceLinkedRole",
                 "iam:ListRoles",
                 "organizations:DescribeOrganization"
             ],
             "Resource": "*"
         }
     ]
   }
   ```

------

1. Para apoiar a prática recomendada de [concessão de privilégios mínimos](best-practices.md#grant-least-privilege), revise e corrija quaisquer erros, avisos ou sugestões retornados durante a [validação da política](access_policies_policy-validator.md).

1. Para reduzir ainda mais as permissões das políticas para ações e recursos específicos, exiba os eventos no **Event history** (Histórico de eventos) do CloudTrail. Lá você pode exibir informações detalhadas sobre as ações e os recursos específicos acessados pelo usuário. Para obter mais informações, consulte [Visualizar eventos do CloudTrail no console do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) no *Guia do usuário do AWS CloudTrail*.

1. Depois de revisar e validar sua política, salve-a com um nome descritivo. 

1. Navegue até a página **Perfis** e escolha o perfil que as pessoas assumirão quando realizarem as tarefas permitidas pela sua nova política.

1. Selecione a guia **Permissões** e depois **Adicionar permissões** e selecione **Anexar políticas**.

1. Na página **Anexar políticas de permissão**, na lista **Outras políticas de permissões**, selecione a política que você criou anteriormente e escolha **Anexar políticas**.

1. Você retornará à página de detalhes do **Perfil**. Há duas políticas associadas ao perfil, sua política previamente gerenciada pela AWS, como **PowerUserAccess**, e sua nova política. Marque a caixa de seleção da política gerenciada pela AWS e escolha **Remover**. Quando solicitado a confirmar a remoção, escolha **Remover**.

Os usuários do IAM, entidades principais de usuários federados SAML e OIDC e workloads que assumem esse perfil agora têm acesso reduzido de acordo com a nova política que você criou.

------
#### [ AWS CLI ]

Você pode usar os seguintes comandos para gerar uma política usando o AWS CLI. 

**Para gerar uma política**
+ [aws accessanalyzer start-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/start-policy-generation.html)

**Para exibir uma política gerada**
+ [aws accessanalyzer get-generated-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/get-generated-policy.html)

**Para cancelar uma solicitação de geração de política**
+ [aws accessanalyzer cancel-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/cancel-policy-generation.html)

**Para exibir uma lista de solicitações de geração de políticas**
+ [aws accessanalyzer list-policy-generations](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/list-policy-generations.html)

------
#### [ API ]

Você pode usar as seguintes operações para gerar uma política usando a API AWS.

**Para gerar uma política**
+ [StartPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartPolicyGeneration.html)

**Para exibir uma política gerada**
+ [GetGeneratedPolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetGeneratedPolicy.html)

**Para cancelar uma solicitação de geração de política**
+ [CancelPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CancelPolicyGeneration.html)

**Para exibir uma lista de solicitações de geração de políticas**
+ [ListPolicyGenerations](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListPolicyGenerations.html)

------

# Usar pesquisa para encontrar recursos do IAM
<a name="console_search"></a>

Ao analisar suas descobertas de acesso, você pode usar a página de pesquisa do console do IAM como uma opção mais rápida para localizar recursos do IAM. Você pode pesquisar recursos usando nomes de recursos parciais ou ARNs.

------
#### [ Console ]

O recurso de pesquisa do console do IAM pode localizar qualquer um dos seguintes itens:
+ Nomes de entidades do IAM que correspondem às suas palavras-chave de pesquisa (para usuários, grupos, funções, provedores de identidade e políticas)
+ Tarefas que atendem às suas palavras-chave de pesquisa

O recurso de pesquisa do console do IAM não retorna informações sobre o IAM Access Analyzer.

Cada linha no resultado de pesquisa é um link ativo. Por exemplo, você pode escolher o nome de usuário no resultado de pesquisa, o que o leva à página de detalhes desse usuário. Ou você pode escolher um link de ação, por exemplo, **Criar usuário**, para ir para a página **Criar usuário**.

**nota**  
A pesquisa de chave de acesso requer que você digite o ID de chave de acesso na caixa de pesquisa. O resultado da pesquisa mostra o usuário associado a essa chave. A partir daí, você pode acessar diretamente a página desse usuário, onde pode gerenciar a chave de acesso.

Use a página **Search** (Pesquisar) no console do IAM para encontrar itens relacionados a essa conta. 

**Para procurar itens no console do IAM**

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Pesquisar**. 

1. Na caixa **Search (Pesquisar)**, digite a palavra-chave de pesquisa.

1. Escolha um link na lista de resultados da pesquisa para acessar a parte correspondente do console. 

Os ícones a seguir identificam os tipos de itens que são encontradas por uma pesquisa:


****  

| Ícone | Descrição | 
| --- | --- | 
|  ![\[a portrait outline on gray background\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/search_user.png)  | Usuários do IAM | 
|  ![\[multiple portrait outlines on a blue background\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/search_group.png)  | Grupos do IAM | 
|  ![\[a magic wand icon on a navy background\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/search_role.png)  | Perfis do IAM | 
|  ![\[a document icon on an organe background\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/search_policy.png)  | Políticas do IAM | 
|  ![\[a white start on an organe background\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/search_action.png)  | Tarefas como "criar usuário" ou "anexar política" | 
|  ![\[a white X on a red background\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/search_delete.png)  | Resultados da palavra-chave delete | 

**Exemplos de frases de pesquisa**

Você pode usar as seguintes frases na pesquisa do IAM. Substitua os termos em itálico pelos nomes dos verdadeiros usuários, grupos, perfis, chaves de acesso, políticas ou provedores de identidade do IAM que você deseja localizar.
+ ***user\$1name*** ou ***group\$1name* ** ou ***role\$1name*** ou ***policy\$1name*** ou ***identity\$1provider\$1name***
+ ***access\$1key***
+ **add user *user\$1name* to groups** ou **add users to group *group\$1name***
+ **remove user *user\$1name* from groups**
+ **delete *user\$1name*** ou **delete *group\$1name*** ou **delete *role\$1name*** ou **delete *policy\$1name*** ou **delete *identity\$1provider\$1name***
+ **manage access keys *user\$1name***
+ **manage signing certificates *user\$1name***
+ **users**
+ **manage MFA for *user\$1name***
+ **manage password for *user\$1name***
+ **create role**
+ **password policy**
+ **edit trust policy for role *role\$1name***
+ **show policy document for role *role\$1name***
+ **attach policy to *role\$1name***
+ **create managed policy**
+ **create user**
+ **create group**
+ **attach policy to *group\$1name***
+ **attach entities to *policy\$1name***
+ **detach entities from *policy\$1name***

------