Gerenciar senhas para usuários do IAM - AWS Identity and Access Management
Criar, alterar ou excluir uma senha de usuário do IAM (console)Criar, alterar ou excluir uma senha de usuário do IAM (AWS CLI)Criar, alterar ou excluir uma senha de usuário do IAM (API da AWS)

Gerenciar senhas para usuários do IAM

Os usuários do IAM que usarem o AWS Management Console para trabalhar com recursos da AWS deverão ter uma senha para fazer login. Você pode criar, alterar ou excluir uma senha de um usuário do IAM em sua conta da AWS.

Depois de ter atribuído uma senha a um usuário, o usuário pode fazer login no AWS Management Console usando o URL de login para a sua conta, que é semelhante a: 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Para obter mais informações sobre como usuários do IAM fazem login no AWS Management Console, consulte Como fazer login na conta da AWS no Guia do usuário do Início de Sessão da AWS.

Mesmo que os usuários tenham suas próprias senhas, eles ainda precisarão de permissões para acessar seus recursos da AWS. Por padrão, um usuário não tem nenhuma permissão. Para conceder aos seus usuários as permissões de que precisam, atribua políticas a eles ou aos grupos aos quais pertencem. Para obter informações sobre a criação de usuários e grupos, consulte Identidades do IAM . Para obter informações sobre o uso de políticas para definir permissões, consulte Alterar permissões de um usuário do IAM.

É possível conceder aos usuários permissão para alterar as próprias senhas. Para ter mais informações, consulte Permitir que os usuários do IAM alterem as próprias senhas. Para obter informações sobre como os usuários acessam a página de login, consulte Como fazer login na AWS, no Guia do usuário do Início de Sessão da AWS.

Criar, alterar ou excluir uma senha de usuário do IAM (console)

Você pode usar o AWS Management Console para gerenciar senhas de seus usuários do IAM.

Quando os usuários deixam sua organização ou não precisam mais de acesso à AWS, é importante localizar as credenciais que eles estavam utilizando e garantir que elas não estejam mais funcionando. O ideal é que você exclua as credenciais se não forem mais necessárias. Você pode sempre recriá-las em posteriormente, se necessário. No mínimo, você deve alterar as credenciais para que os usuários antigos não possam mais ter acesso.

Para adicionar uma senha para um usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cuja senha você deseja criar.

  4. Escolha a guia Credenciais de segurança e, em Login no console, escolha Habilitar acesso ao console.

  5. No Habilitar o acesso ao console, no Senha do console, escolha se deseja que o IAM gere uma senha ou crie uma senha personalizada:

    • Para que o IAM gere uma senha, escolha a opção Autogenerated password (Senha gerada automaticamente).

    • Para criar uma senha personalizada, escolha Senha personalizada e digite a senha.

      nota

      A senha que você criou deve cumprir a política de senhas da conta.

  6. Para exigir que o usuário crie uma nova senha ao fazer login, escolha O usuário deverá criar uma senha no próximo login. Após, escolha Habilitar o acesso ao console.

    Importante

    Se você selecionar a opção O usuário deverá criar uma senha no próximo login, certifique-se de que o usuário tenha permissão para alterar a senha. Para ter mais informações, consulte Permitir que os usuários do IAM alterem as próprias senhas.

  7. Para visualizar a senha e compartilhá-la com o usuário, escolha Mostrar na caixa de diálogo Senha do console.

    Importante

    Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

Para alterar a senha para um usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cuja senha você deseja alterar.

  4. Escolha a guia Credenciais de segurança e, em Login no console, escolha Gerenciar acesso ao console.

  5. Em Gerenciar acesso ao console, escolha Redefinir senha se ainda não estiver selecionado. Se o acesso ao console estiver desativado, nenhuma senha será necessária.

  6. Em Acesso ao console, escolha se deseja que o IAM gere uma senha ou crie uma senha personalizada:

    • Para que o IAM gere uma senha, escolha a opção Autogenerated password (Senha gerada automaticamente).

    • Para criar uma senha personalizada, escolha Senha personalizada e digite a senha.

      nota

      A senha que você criou deve cumprir a política de senhas da conta, se houver uma definida.

  7. Para exigir que o usuário crie uma nova senha ao fazer login, escolha O usuário deverá criar uma senha no próximo login.

    Importante

    Se você selecionar a opção O usuário deverá criar uma senha no próximo login, certifique-se de que o usuário tenha permissão para alterar a senha. Para ter mais informações, consulte Permitir que os usuários do IAM alterem as próprias senhas.

  8. Para revogar as sessões ativas do console do usuário, escolha Revogar sessões ativas do console. Em seguida, escolha Aplicar.

    Quando você revoga sessões ativas do console para um usuário, o IAM anexa uma nova política em linha ao usuário que nega todas as permissões para todas as ações. Ele incluirá uma condição aplicável às restrições somente se a sessão tiver sido criada antes do momento em que você revogar as permissões, bem como em aproximadamente 30 segundos no futuro. Se o usuário criar uma nova sessão depois que você revogar as permissões, a política de negação não se aplicará a esse usuário. Se um usuário revogar suas próprias sessões ativas do console usando esse método, ele será imediatamente desconectado do AWS Management Console.

    Importante

    Para revogar com êxito as sessões ativas do console de um usuário, você deve ter a permissão PutUserPolicy do usuário. Isso permite que você anexe a política em linha AWSRevokeOlderSessions ao usuário.

  9. Para visualizar a senha e compartilhá-la com o usuário, escolha Mostrar na caixa de diálogo Senha do console.

    Importante

    Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

Para excluir (desabilitar) a senha de um usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cuja senha você deseja excluir.

  4. Escolha a guia Credenciais de segurança e, em Login no console, escolha Gerenciar acesso ao console.

  5. Em Gerenciar acesso ao console, escolha Desabilitar o acesso ao console se ainda não estiver selecionado. Se o acesso ao console estiver desativado, nenhuma senha será necessária.

  6. Para revogar as sessões ativas do console do usuário, escolha Revogar sessões ativas do console. Em seguida, escolha Desativar acesso.

    Importante

    Para revogar com êxito as sessões ativas do console de um usuário, você deve ter a permissão PutUserPolicy do usuário. Isso permite que você anexe a política em linha AWSRevokeOlderSessions ao usuário.

    Quando você revoga sessões ativas do console para um usuário, o IAM incorpora uma nova política em linha ao usuário do IAM que nega todas as permissões para todas as ações. Ele incluirá uma condição aplicável às restrições somente se a sessão tiver sido criada antes do momento em que você revogar as permissões, bem como em aproximadamente 30 segundos no futuro. Se o usuário criar uma nova sessão depois que você revogar as permissões, a política de negação não se aplicará a esse usuário. Se um usuário revogar suas próprias sessões ativas do console usando esse método, ele será imediatamente desconectado do AWS Management Console.

Importante

Você pode impedir que um usuário do IAM acesse o AWS Management Console removendo a senha dele. Isso impede que ele faça login no AWS Management Console usando suas credenciais de login. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell, da API da AWS ou do AWS Console Mobile Application.

Criar, alterar ou excluir uma senha de usuário do IAM (AWS CLI)

Você pode usar a API da AWS CLI para gerenciar as senhas de seus usuários do IAM.

Para criar uma senha (AWS CLI)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: aws iam get-login-profile

  2. Para criar uma senha, execute o seguinte comando: aws iam create-login-profile

Para alterar a senha de um usuário (AWS CLI)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: aws iam get-login-profile

  2. Para alterar uma senha, execute o seguinte comando: aws iam update-login-profile

Para excluir (desabilitar) a senha de um usuário (AWS CLI)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: aws iam get-login-profile

  2. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: aws iam get-login-user

  3. Para excluir uma senha, execute o seguinte comando: aws iam delete-login-profile

Importante

Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no AWS Management Console. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para ter mais informações, consulte Exclusão de um usuário do IAM (AWS CLI).

Para revogar as sessões ativas do console de um usuário antes de um horário especificado (AWS CLI)

  1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: aws iam put-user-policy

    Essa política em linha nega todas as permissões e inclui a chave de condição aws:TokenIssueTime. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento Condition da política em linha. Substitua o valor da chave de condição aws:TokenIssueTime pelos seus próprios valores.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: aws iam list-user-policies

  3. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: aws iam list-user-policies

Criar, alterar ou excluir uma senha de usuário do IAM (API da AWS)

Você pode usar a API da AWS para gerenciar as senhas de seus usuários do IAM.

Para criar uma senha (API da AWS)

  1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: GetLoginProfile

  2. Para criar uma senha, chame esta operação: CreateLoginProfile

Para alterar a senha de um usuário (API da AWS)

  1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: GetLoginProfile

  2. Para alterar uma senha, chame esta operação: UpdateLoginProfile

Para excluir (desabilitar) a senha de um usuário (API da AWS)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: GetLoginProfile

  2. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: GetUser

  3. Para excluir uma senha, execute o seguinte comando: DeleteLoginProfile

Importante

Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no AWS Management Console. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para ter mais informações, consulte Exclusão de um usuário do IAM (AWS CLI).

Para revogar as sessões ativas do console de um usuário antes de um horário especificado (API AWS)

  1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: PutUserPolicy

    Essa política em linha nega todas as permissões e inclui a chave de condição aws:TokenIssueTime. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento Condition da política em linha. Substitua o valor da chave de condição aws:TokenIssueTime pelos seus próprios valores.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: ListUserPolicies

  3. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: GetUserPolicy