Ao configurar a AWS, planeje como você pretende que as pessoas acessem sua conta e recursos da AWS para configurar uma solução de gerenciamento de identidade segura e bem projetada.
Fontes de identidade
De acordo com as práticas recomendadas do IAM, os usuários humanos e workloads devem usar credenciais temporárias ao acessar os recursos da AWS. As credenciais temporárias são concedidas às identidades que acessam os recursos usando um perfil do IAM. Tanto os usuários federados no IAM quanto os usuários no Centro de Identidade do IAM (federados ou criados no diretório do Centro de Identidade do IAM) usam perfis do IAM para acessar recursos.
Antes de começar a usar a AWS, planeje como configurar suas identidades de duas formas:
-
Habilite o Centro de Identidade do IAM com o Organizations e adicione usuários no Centro de Identidade do IAM diretamente ao diretório organizacional.
Para saber mais como adicionar usuários diretamente ao diretório organizacional do Centro de Identidade do IAM, consulte Adicionar usuários.
-
Federe seu provedor de identidade externo existente com o Centro de Identidade do IAM ou o IAM.
Para saber mais como federar um provedor de identidade externo no diretório organizacional do Centro de Identidade do IAM, use o Tutorial de conceitos básicos apropriado.
Gerenciamento de acesso
Identifique os recursos e serviços da AWS que seus usuários acessarão e defina as permissões e políticas de acesso necessárias para cada usuário, grupo ou perfil.
-
Se você usa o Centro de Identidade do IAM, um provedor de identidade do IAM, bem como as permissões e perfis do IAM, as políticas são criadas automaticamente em cada conta da AWS da sua organização. Esses perfis e permissões se alinham às permissões que você especifica ao atribuir pessoas ou grupos a aplicações ou contas da AWS específicas.
Para obter mais informações, consulte Assign user access e Set up single sign-on access to your applications.
-
Se você federar seu provedor de identidade diretamente com o IAM em sua Conta da AWS, será preciso criar um perfil para seus usuários assumirem e duas políticas: uma política de confiança que especifica quem pode assumir o perfil e uma política de permissões que especifica as ações e os recursos da AWS aos quais a pessoa que assume o perfil tem acesso permitido ou negado.
Para ter mais informações, consulte Provedores de identidade e federação.