Gerenciar senhas para usuários do IAM - AWS Identity and Access Management
Criar, alterar ou excluir uma senha de usuário do IAM (console)

Gerenciar senhas para usuários do IAM

Os usuários do IAM que usarem o AWS Management Console para trabalhar com recursos da AWS deverão ter uma senha para fazer login. Você pode criar, alterar ou excluir uma senha de um usuário do IAM em sua conta da AWS.

Depois de ter atribuído uma senha a um usuário, o usuário pode fazer login no AWS Management Console usando o URL de login para a sua conta, que é semelhante a: 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Para obter mais informações sobre como usuários do IAM fazem login no AWS Management Console, consulte Como fazer login na conta da AWS no Guia do usuário do Início de Sessão da AWS.

Mesmo que os usuários tenham suas próprias senhas, eles ainda precisarão de permissões para acessar seus recursos da AWS. Por padrão, um usuário não tem nenhuma permissão. Para conceder aos seus usuários as permissões de que precisam, atribua políticas a eles ou aos grupos aos quais pertencem. Para obter informações sobre a criação de usuários e grupos, consulte Identidades do IAM . Para obter informações sobre o uso de políticas para definir permissões, consulte Alterar permissões de um usuário do IAM.

É possível conceder aos usuários permissão para alterar as próprias senhas. Para ter mais informações, consulte Permitir que os usuários do IAM alterem as próprias senhas. Para obter informações sobre como os usuários acessam a página de login, consulte Como fazer login na AWS, no Guia do usuário do Início de Sessão da AWS.

Criar, alterar ou excluir uma senha de usuário do IAM (console)

Você pode usar o AWS Management Console para gerenciar senhas de seus usuários do IAM.

As necessidades de acesso dos usuários podem mudar com o tempo. Talvez seja necessário habilitar um usuário destinado ao acesso à CLI para ter acesso ao console, alterar a senha de um usuário porque ele recebeu o e-mail com suas credenciais ou excluir um usuário quando ele sair da organização ou não precisar mais de acesso à AWS.

Para criar uma senha de usuário do IAM (console)

Use este procedimento para conceder acesso ao console a um usuário, criando uma senha associada ao nome de usuário.

IAM console

  1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.

  2. Na página inicial do console, selecione o serviço do IAM.

  3. No painel de navegação, escolha Users.

  4. Escolha o nome do usuário cuja senha você deseja criar.

  5. Escolha a guia Credenciais de segurança e, em Login no console, escolha Habilitar acesso ao console.

  6. Na caixa de diálogo Habilitar acesso ao console, selecione Redefinir senha e escolha se o IAM deve gerar uma senha ou criar uma senha personalizada:

    • Para que o IAM gere uma senha, escolha a opção Autogenerated password (Senha gerada automaticamente).

    • Para criar uma senha personalizada, escolha Senha personalizada e digite a senha.

      nota

      A senha que você criou deve cumprir a política de senhas da conta.

  7. Para exigir que o usuário crie uma nova senha ao fazer login, escolha Exigir alteração de senha no próximo login.

  8. Para exigir que o usuário use a nova senha imediatamente, selecione Revogar sessões ativas do console. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

  9. Escolha Redefinir senha

  10. A caixa de diálogo Senha do console informa que você habilitou a nova senha do usuário. Para visualizar a senha e compartilhá-la com o usuário, escolha Mostrar na caixa de diálogo Senha do console. Selecione Baixar arquivo .csv para baixar um arquivo com as credenciais do usuário.

    Importante

    Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

O console exibe uma mensagem de status informando que o acesso ao console foi habilitado.

Para alterar a senha para um usuário do IAM (console)

Use este procedimento para atualizar uma senha associada ao nome de usuário.

IAM console

  1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.

  2. Na página inicial do console, selecione o serviço do IAM.

  3. No painel de navegação, escolha Users.

  4. Escolha o nome do usuário cuja senha você deseja alterar.

  5. Escolha a guia Credenciais de segurança e, em Login no console, escolha Gerenciar acesso ao console.

  6. Na caixa de diálogo Gerenciar acesso ao console, selecione Redefinir senha e, em seguida, escolha se deseja que o IAM gere uma senha ou crie uma senha personalizada:

    • Para que o IAM gere uma senha, escolha a opção Autogenerated password (Senha gerada automaticamente).

    • Para criar uma senha personalizada, escolha Senha personalizada e digite a senha.

      nota

      A senha que você criou deve cumprir a política de senhas da conta.

  7. Para exigir que o usuário crie uma nova senha ao fazer login, escolha Exigir alteração de senha no próximo login.

  8. Para exigir que o usuário use a nova senha imediatamente, selecione Revogar sessões ativas do console. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

  9. Escolha Redefinir senha

  10. A caixa de diálogo Senha do console informa que você habilitou a nova senha do usuário. Para visualizar a senha e compartilhá-la com o usuário, escolha Mostrar na caixa de diálogo Senha do console. Selecione Baixar arquivo .csv para baixar um arquivo com as credenciais do usuário.

    Importante

    Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

O console exibe uma mensagem de status informando que o acesso ao console foi atualizado.

Para excluir (desabilitar) a senha de um usuário do IAM (console)

Use este procedimento para excluir uma senha associada ao nome de usuário, removendo o acesso do usuário ao console.

Importante

Você pode impedir que um usuário do IAM acesse o AWS Management Console removendo a senha dele. Isso impede que ele faça login no AWS Management Console usando suas credenciais de login. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell, da API da AWS ou do AWS Console Mobile Application.

IAM console

  1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.

  2. Na página inicial do console, selecione o serviço do IAM.

  3. No painel de navegação, escolha Users.

  4. Escolha o nome do usuário cuja senha você deseja excluir.

  5. Escolha a guia Credenciais de segurança e, em Login no console, escolha Gerenciar acesso ao console.

  6. Para requerer que o usuário pare de usar o console imediatamente, selecione Revogar sessões ativas do console. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

  7. Escolha Desabilitar acesso

O console exibe uma mensagem de status informando que o acesso ao console foi desabilitado.

Criar, alterar ou excluir uma senha de usuário do IAM (AWS CLI)

Você pode usar a API da AWS CLI para gerenciar as senhas de seus usuários do IAM.

Para criar uma senha (AWS CLI)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: aws iam get-login-profile

  2. Para criar uma senha, execute o seguinte comando: aws iam create-login-profile

Para alterar a senha de um usuário (AWS CLI)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: aws iam get-login-profile

  2. Para alterar uma senha, execute o seguinte comando: aws iam update-login-profile

Para excluir (desabilitar) a senha de um usuário (AWS CLI)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: aws iam get-login-profile

  2. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: aws iam get-login-user

  3. Para excluir uma senha, execute o seguinte comando: aws iam delete-login-profile

Importante

Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no AWS Management Console. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para ter mais informações, consulte Exclusão de um usuário do IAM (AWS CLI).

Para revogar as sessões ativas do console de um usuário antes de um horário especificado (AWS CLI)

  1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: aws iam put-user-policy

    Essa política em linha nega todas as permissões e inclui a chave de condição aws:TokenIssueTime. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento Condition da política em linha. Substitua o valor da chave de condição aws:TokenIssueTime pelos seus próprios valores.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: aws iam list-user-policies

  3. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: aws iam list-user-policies

Criar, alterar ou excluir uma senha de usuário do IAM (API da AWS)

Você pode usar a API da AWS para gerenciar as senhas de seus usuários do IAM.

Para criar uma senha (API da AWS)

  1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: GetLoginProfile

  2. Para criar uma senha, chame esta operação: CreateLoginProfile

Para alterar a senha de um usuário (API da AWS)

  1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: GetLoginProfile

  2. Para alterar uma senha, chame esta operação: UpdateLoginProfile

Para excluir (desabilitar) a senha de um usuário (API da AWS)

  1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: GetLoginProfile

  2. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: GetUser

  3. Para excluir uma senha, execute o seguinte comando: DeleteLoginProfile

Importante

Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no AWS Management Console. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para ter mais informações, consulte Exclusão de um usuário do IAM (AWS CLI).

Para revogar as sessões ativas do console de um usuário antes de um horário especificado (API AWS)

  1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: PutUserPolicy

    Essa política em linha nega todas as permissões e inclui a chave de condição aws:TokenIssueTime. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento Condition da política em linha. Substitua o valor da chave de condição aws:TokenIssueTime pelos seus próprios valores.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: ListUserPolicies

  3. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: GetUserPolicy