# Usuários do IAM
<a name="id_users"></a>

**Importante**  
 As [práticas recomendadas](best-practices.md) do IAM aconselham exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias em vez de usuários do IAM com credenciais de longo prazo. Recomendamos usar somente usuários do IAM para [casos de uso específicos](gs-identities-iam-users.md) não compatíveis com usuários federados.

Um *usuário do IAM* é uma entidade que você cria na sua Conta da AWS. O usuário do IAM representa a pessoa ou a workload que usa o usuário do IAM para interagir com a AWS. Um usuário do IAM consiste em um nome e credenciais.

Um usuário do IAM com permissões de administrador não é o mesmo que um Usuário raiz da conta da AWS. Para obter mais informações sobre o usuário raiz, consulte [Usuário raiz da conta da AWS](id_root-user.md).

## Como a AWS identifica um usuário do IAM
<a name="id_users_create_aws-identifiers"></a>

Quando você cria um usuário do IAM, o IAM cria as seguintes maneiras de identificar esse usuário:
+ Um "nome amigável" para o usuário do IAM, que é o nome que você especificou ao criar esse usuário, como `Richard` ou `Anaya`. Esses são os nomes que você vê no Console de gerenciamento da AWS. Como os nomes de usuário do IAM aparecem nos nomes dos recursos da Amazon (ARNs), não recomendamos incluir informações de identificação pessoal no nome do IAM. Consulte [Requisitos de nome do IAM](reference_iam-quotas.md#reference_iam-quotas-names) para obter requisitos e restrições de nomes do IAM.
+ Um nome de recurso da Amazon (ARN) para o usuário do IAM. Você usa o ARN quando precisa identificar exclusivamente esse usuário do IAM em toda a AWS. Por exemplo, você pode usar um ARN para especificar o usuário do IAM como uma `Principal` em uma política do IAM para um bucket do Amazon S3. Um ARN para um usuário do IAM pode se parecer com o seguinte: 

  `arn:aws:iam::account-ID-without-hyphens:user/Richard`
+ Um identificador exclusivo para o usuário do IAM. Esse ID é retornado somente quando você usa a API, o Tools for Windows PowerShell ou a AWS CLI para criar o usuário do IAM. Ele não está visível no console.

Para obter mais informações sobre esses identificadores, consulte [Identificadores do IAM](reference_identifiers.md).

## Usuários do IAM e credenciais
<a name="id_users_creds"></a>

Você pode acessar a AWS de diferentes maneiras dependendo das credenciais do usuário do IAM:
+ [**Senha do console**](id_credentials_passwords.md): uma senha que o usuário do IAM pode digitar para fazer login em sessões interativas, como o Console de gerenciamento da AWS. Desabilitar a senha (acesso ao console) de um usuário do IAM impede que ele faça login no Console de gerenciamento da AWS usando suas credenciais de login. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida. Os usuários do IAM com acesso ao console habilitado também podem usar essas mesmas credenciais para autenticar a AWS CLI e acessar o SDK usando o comando `aws login` da AWS CLI. Esses usuários precisarão ter permissões [SignInLocalDevelopmentAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SignInLocalDevelopmentAccess.html). Para obter mais detalhes, consulte [Autenticação e credenciais de acesso para a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) no *Guia do usuário da AWS Command Line Interface*. 
+ [**Chaves de acesso**](id_credentials_access-keys.md): usadas para fazer chamadas programáticas para a AWS. Porém, existem alternativas mais seguras a serem consideradas antes de criar chaves de acesso para usuários do IAM. Para obter mais informações, consulte [Considerações e alternativas para chaves de acesso de longo prazo](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) na *Referência geral da AWS*. Se o usuário do IAM tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell, da API da AWS ou do AWS Console Mobile Application.
+ [**Chaves SSH para uso com CodeCommit**](id_credentials_ssh-keys.md): uma chave SSH pública no formato OpenSSH que pode ser usada para autenticação com CodeCommit.
+ [**Certificados de servidor**](id_credentials_server-certs.md): Certificados SSL/TLS que você pode usar para autenticar com alguns serviços da AWS. Recomendamos que você use o AWS Certificate Manager (ACM) para provisionar, gerenciar e implantar seus certificados de servidor. Use o IAM apenas quando precisar oferecer suporte a conexões HTTPS em uma região que não seja compatível com o ACM. Para saber quais regiões são compatíveis com o ACM, consulte [Cotas e endpoints do AWS Certificate Manager](https://docs.aws.amazon.com/general/latest/gr/acm.html) na *Referência geral da AWS*.

Você pode escolher as credenciais certas para o seu usuário do IAM. Quando você usa o Console de gerenciamento da AWS para criar um usuário do IAM, é necessário pelo menos incluir uma senha ou chaves de acesso para o console. Por padrão, um novo usuário do IAM criado usando a AWS CLI ou a API da AWS não tem nenhum tipo de credencial. Você deve criar o tipo de credencial para um usuário do IAM com base na seu caso de uso. 

Você tem as seguintes opções para administrar senhas, chaves de acesso e dispositivos com senhas, chaves de acesso e dispositivos de autenticação multifator (MFA):
+ **[Gerenciar senhas para seus usuários do IAM](id_credentials_passwords.md).** Crie e altere as senhas que permitem acesso ao Console de gerenciamento da AWS. Definir uma política de senha para impor uma complexidade mínima para a senha. Permita que os usuários do IAM alterem suas próprias senhas. 
+ **[Gerenciar chaves de acesso para seus usuários do IAM](id_credentials_access-keys.md).** Criar e atualizar as chaves de acesso para acesso programático aos recursos na sua conta. 
+ **[Habilite a autenticação multifator (MFA) para o usuário do IAM](id_credentials_mfa.md).** Como [prática recomendada](best-practices.md), recomendamos exigir a autenticação multifator de todos os usuários do IAM na sua conta. Com a MFA, os usuários do IAM devem fornecer duas formas de identificação: primeiro, eles fornecem as credenciais que fazem parte de sua identidade de usuário (uma senha ou uma chave de acesso). Além disso, eles fornecem um código numérico temporário que é gerado em um dispositivo de hardware ou por uma aplicação em um smartphone ou tablet.
+ **[Localizar senhas e chaves de acesso não utilizadas](id_credentials_finding-unused.md).** Qualquer pessoa que tenha uma senha ou chaves de acesso da sua conta ou de um usuário do IAM em sua conta terá acesso aos seus recursos da AWS. A [prática recomendada](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) de segurança é remover as senhas e as chaves de acesso quando os usuários do IAM não precisarem mais delas.
+ **[Fazer download de um relatório de credenciais para sua conta](id_credentials_getting-report.md).** Você pode gerar e baixar um relatório de credenciais que lista todos os usuários do IAM em sua conta e o status de diversas credenciais deles, incluindo senhas, chaves de acesso e dispositivos com MFA. Em caso de senhas e chaves de acesso, o relatório de credenciais mostra quando uma senha ou chave de acesso foi usada recentemente.

## Usuários do IAM e permissões
<a name="id_users_perms"></a>

Por padrão, um novo usuário do IAM não tem [permissões](access.md) para fazer nada. Ele não está autorizado a executar nenhuma operação da AWS ou a acessar qualquer recurso da AWS. Uma vantagem de ter usuários do IAM individuais é que você pode atribuir permissões individualmente para cada usuário. Você pode atribuir permissões administrativas para alguns usuários que, por sua vez, podem administrar seus recursos da AWS e até mesmo criar e gerenciar outros usuários do IAM. Na maioria dos casos, entretanto, você deseja limitar as permissões de um usuário apenas às tarefas (ações ou operações da AWS) e aos recursos necessários para o trabalho. 

Imagine um usuário chamado Diego. Ao criar o usuário do IAM `Diego`, você cria uma senha para ele e anexa permissões que permitem que ele execute determinada instância do Amazon EC2 e leia (`GET`) informações de uma tabela em um banco de dados do Amazon RDS. Para conhecer os procedimentos para criar usuários do IAM e conceder as credenciais e as permissões iniciais, consulte [Criar um usuário do IAM na Conta da AWS](id_users_create.md). Para obter os procedimentos sobre como alterar as permissões para usuários existentes, consulte [Alterar permissões de um usuário do IAM](id_users_change-permissions.md). Para obter os procedimentos sobre como alterar a senha ou chaves de acesso do usuário, consulte [Senhas de usuários na AWS](id_credentials_passwords.md) e [Gerenciar chaves de acesso para usuários do IAM](id_credentials_access-keys.md).

Você também pode adicionar um limite de permissões para seus usuários do IAM. Um limite de permissões é um recurso avançado que permite usar políticas gerenciadas da AWS para limitar as permissões máximas que uma política com base em identidade pode conceder a um usuário ou perfil do IAM. Para obter mais informações sobre os tipos e os usos de políticas, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md).

## Usuários do IAM e contas
<a name="id_users_accounts"></a>

Cada usuário do IAM está associado a uma única Conta da AWS. Como os usuários da IAM são definidos na sua Conta da AWS, não precisam ter um método de pagamento registrado na AWS. Qualquer atividade da AWS executada pelos usuários do IAM na sua conta é cobrada na sua conta.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

## Usuários do IAM como contas de serviço
<a name="id_users_service_accounts"></a>

Um usuário do IAM é um recurso no IAM que tem credenciais e permissões associadas. Um usuário do IAM pode representar uma pessoa ou uma aplicação que usa credenciais para fazer solicitações da AWS. Isso é geralmente chamado de *conta de serviço*. Se você optar por usar as credenciais de longo prazo de um usuário do IAM em sua aplicação, **não incorpore chaves de acesso diretamente no código da aplicação.** Os SDKs da AWS a AWS Command Line Interface permitem que você coloque as chaves de acesso em locais conhecidos, para que não seja necessário mantê-las em código. Para obter mais informações, consulte [Gerenciar chaves de acesso de usuários do IAM corretamente](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#iam-user-access-keys) na *Referência geral da AWS*. Como alternativa, e como uma prática recomendada, você pode [usar credenciais de segurança temporárias (funções do IAM), em vez de chaves de acesso de longo prazo](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#use-roles).

# Como os usuários do IAM fazem login na AWS
<a name="id_users_sign-in"></a>

Para fazer login no Console de gerenciamento da AWS como usuário do IAM, você deve fornecer seu ID de conta ou alias de conta, além de seu nome de usuário e senha. Quando o administrador criou seu usuário do IAM no console, ele deve ter enviado suas credenciais de login, incluindo seu nome de usuário e o URL para a página de login da sua conta, que inclui o ID ou o alias da sua conta. 

```
https://My_AWS_Account_ID.signin.aws.amazon.com/console/
```

**Dica**  
Para criar um marcador para a página de login da conta no navegador da web, digite manualmente o URL de login da conta na entrada do marcador. Não use o recurso de marcador do navegador da web, pois os redirecionamentos podem ocultar o URL de login. 

Você também pode fazer login no seguinte endpoint geral de login e digitar o ID ou o alias da conta manualmente:

```
[https://console.aws.amazon.com/](https://console.aws.amazon.com/)
```

Para maior conveniência, a página de login da AWS usa um cookie de navegador para lembrar o nome de usuário e as informações da conta do IAM. Na próxima vez que o usuário acessar qualquer página no Console de gerenciamento da AWS, o console usará o cookie para redirecionar o usuário para a página de login da conta.

Você tem acesso apenas aos recursos da AWS que seu administrador especifica na política anexada à sua identidade de usuário do IAM. Para trabalhar no console, você deve ter permissões para executar as ações que o console executa, como listar e criar recursos da AWS. Para ter mais informações, consulte [Gerenciamento de acesso para recursos da AWS](access.md) e [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md).

**nota**  
Se sua organização tiver um sistema de identidade existente, você poderá criar uma opção de autenticação única (SSO). A SSO fornece aos usuários acesso ao Console de gerenciamento da AWS de sua conta sem exigir que eles tenham uma identidade de usuário do IAM. O SSO também elimina a necessidade do login dos usuários no site da organização e na AWS separadamente. Para ter mais informações, consulte [Habilitar o acesso do intermediador de identidades personalizado ao console da AWS](id_roles_providers_enable-console-custom-url.md). 

**Registrar detalhes de login no CloudTrail**  
Se você habilitar o CloudTrail para registrar eventos de login em seus logs, você deverá estar ciente de como o CloudTrail escolhe onde os eventos devem ser registrados.
+ Se fizerem login diretamente em um console, os usuários serão redirecionados para um endpoint de login global ou regional, com base no suporte a regiões pelo console de serviço selecionado. Por exemplo, a página inicial do console principal é compatível com regiões, logo, se você fizer login no seguinte URL:

  ```
  https://alias.signin.aws.amazon.com/console
  ```

  você será redirecionado para um endpoint de login regional como `https://us-east-2.signin.aws.amazon.com`, o que resulta em um registro em log do CloudTrail no log da região do usuário:

  Por outro lado, o console do Amazon S3 não oferece suporte a regiões, logo, se você fizer login no URL a seguir

  ```
  https://alias.signin.aws.amazon.com/console/s3
  ```

  A AWS redirecionará você para o endpoint de login global em `https://signin.aws.amazon.com`, o que resulta em um registro em log do CloudTrail global.
+ Você pode solicitar manualmente um determinado endpoint de login regional fazendo login na página inicial do console compatível com a região usando uma sintaxe de URL como a seguinte:

  ```
  https://alias.signin.aws.amazon.com/console?region=ap-southeast-1
  ```

  A AWS redirecionará você para o endpoint de login regional `ap-southeast-1` e isso resultará em um evento de log do CloudTrail regional.

Para obter mais informações sobre o CloudTrail e o IAM, consulte [Registrar eventos do IAM no CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html).

Caso os usuários precisem de acesso programático para trabalhar com a conta, você pode criar um par de chaves de acesso (uma ID de chave de acesso e uma chave de acesso secreta) para cada usuário. Porém, existem alternativas mais seguras a serem consideradas antes de criar chaves de acesso para os usuários. Para obter mais informações, consulte [Considerações e alternativas para chaves de acesso de longo prazo](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) na *Referência geral da AWS*.

## Recursos adicionais
<a name="id_users_sign-in-additional-resources"></a>

Os recursos a seguir podem ajudar você a saber mais sobre o login da AWS.
+ O [Guia de usuário do Início de Sessão da AWS](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html) ajuda a entender as diferentes maneiras pelas quais você pode fazer login na Amazon Web Services (AWS), dependendo do tipo de usuário que você é.
+ Você pode fazer login com até cinco identidades diferentes simultaneamente em um único navegador da Web no Console de gerenciamento da AWS. Para obter detalhes, consulte [Signing in to multiple accounts](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html) no *Guia de conceitos básicos do Console de gerenciamento da AWS*.

# Login habilitado para MFA
<a name="console_sign-in-mfa"></a>

Os usuários configurados com dispositivos de [autenticação multifator (MFA)](id_credentials_mfa.md) devem usar esses dispositivos para fazer login no Console de gerenciamento da AWS. Depois que o usuário insere suas credenciais de login, a AWS verifica a conta do usuário para ver se a MFA é necessária. 

**Importante**  
Se você usar credenciais da chave secreta e chave de acesso para acesso direto ao Console de gerenciamento da AWS com a chamada de API AWS STS[https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html), o MFA NÃO será necessário. Para ter mais informações, consulte [Usar credenciais da chave secreta e chave de acesso para acesso ao console](securing_access-keys.md#console-access-security-keys).

Os tópicos a seguir fornecem informações sobre como os usuários concluem o login quando a MFA é necessária. 

**Topics**
+ [Vários dispositivos com MFA habilitados](#console_sign-in-multiple-mfa)
+ [Chave de segurança FIDO](#console_sign-in-mfa-fido)
+ [Dispositivo com MFA virtual](#console_sign-in-mfa-virtual)
+ [Token físico de TOTP](#console_sign-in-mfa-hardware)

## Vários dispositivos com MFA habilitados
<a name="console_sign-in-multiple-mfa"></a>

Ao fazer login no Console de gerenciamento da AWS como usuário raiz de uma Conta da AWS ou usuário do IAM com vários dispositivos de MFA habilitados para essa conta, o usuário só precisará usar um dispositivo de MFA para fazer login. Depois de fazer a autenticação com a senha do usuário, o usuário seleciona o tipo de dispositivo de MFA que gostaria de usar para concluir a autenticação. Em seguida, solicita-se que o usuário faça a autenticação com o tipo de dispositivo selecionado. 

## Chave de segurança FIDO
<a name="console_sign-in-mfa-fido"></a>

Se a MFA for necessária para o usuário, uma segunda página de login será exibida. O usuário precisa tocar na chave de segurança FIDO.

**nota**  
Os usuários do Google Chrome não devem escolher nenhuma das opções disponíveis no pop-up que solicite **Verify your identity with amazon.com** (Confirmar sua identidade na amazon.com). Você só precisa tocar na chave de segurança.

Ao contrário de outros dispositivos de MFA, as chaves de segurança FIDO não perdem a sincronia. Os administradores podem desativar uma chave de segurança FIDO se ela for perdida ou quebrada. Para ter mais informações, consulte [Desativar dispositivos MFA (console)](id_credentials_mfa_disable.md#deactive-mfa-console).

Para obter informações sobre os navegadores compatíveis com WebAuthn e FIDO compatíveis com a AWS, consulte [Configurações compatíveis com o uso de chaves de acesso e chaves de segurança](id_credentials_mfa_fido_supported_configurations.md).

## Dispositivo com MFA virtual
<a name="console_sign-in-mfa-virtual"></a>

Se a MFA for necessária para o usuário, uma segunda página de login será exibida. Na caixa **código MFA**, o usuário deve informar o código numérico fornecido pelo aplicativo de MFA.

Se o código de MFA estiver correto, o usuário poderá acessar o Console de gerenciamento da AWS. Se o código estiver incorreto, o usuário poderá tentar novamente com outro código. 

Um dispositivo MFA virtual pode estar fora de sincronia. Se após várias tentativas sem êxito um usuário não conseguir fazer login no Console de gerenciamento da AWS, será solicitado que ele sincronize o dispositivo MFA virtual. O usuário pode seguir as instruções na tela para sincronizar o dispositivo MFA virtual. Para obter informações sobre como sincronizar um dispositivo em nome de um usuário na Conta da AWS, consulte [Sincronizar novamente os dispositivos MFA virtuais e de hardware](id_credentials_mfa_sync.md). 

## Token físico de TOTP
<a name="console_sign-in-mfa-hardware"></a>

Se a MFA for necessária para o usuário, uma segunda página de login será exibida. Na caixa **MFA code** (Código de MFA), o usuário deve informar o código numérico fornecido por um token de hardware TOTP. 

Se o código de MFA estiver correto, o usuário poderá acessar o Console de gerenciamento da AWS. Se o código estiver incorreto, o usuário poderá tentar novamente com outro código. 

Um token de hardware TOTP pode perder a sincronia. Se, após várias tentativas, o usuário não conseguir fazer login no Console de gerenciamento da AWS, será solicitado que ele sincronize o dispositivo de token MFA. O usuário pode seguir as instruções na tela para sincronizar o dispositivo de token de MFA. Para obter informações sobre como sincronizar um dispositivo em nome de um usuário na Conta da AWS, consulte [Sincronizar novamente os dispositivos MFA virtuais e de hardware](id_credentials_mfa_sync.md). 

# Criar um usuário do IAM na Conta da AWS
<a name="id_users_create"></a>

**Importante**  
 As [práticas recomendadas](best-practices.md) do IAM aconselham exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias em vez de usuários do IAM com credenciais de longo prazo. Recomendamos usar somente usuários do IAM para [casos de uso específicos](gs-identities-iam-users.md) não compatíveis com usuários federados.

O processo de criar um usuário do IAM e habilitá-lo para executar tarefas consiste nas seguintes etapas:

1. Crie o [usuário no Console de gerenciamento da AWS, na AWS CLI](getting-started-workloads.md), no Tools for Windows PowerShell ou usando uma operação da API da AWS. Se você criar o usuário no Console de gerenciamento da AWS, as etapas de 1 a 4 serão tratadas automaticamente com base em suas opções. Se você criar os usuários do IAM de forma programática, deverá executar cada uma dessas etapas separadamente.

1. Crie credenciais para o usuário, dependendo do tipo de acesso que o usuário requer:
   + **Habilitar acesso ao console: *opcional***: se o usuário precisar acessar o Console de gerenciamento da AWS, [crie uma senha para o usuário](id_credentials_passwords_admin-change-user.md). Desabilitar o acesso ao console para um usuário impede que ele faça login no Console de gerenciamento da AWS usando seu próprio nome de usuário e senha. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida.
**dica**  
Crie apenas as credenciais necessárias para o usuário. Por exemplo, para um usuário que precise de acesso apenas pelo Console de gerenciamento da AWS, não crie chaves de acesso.

1. Conceda ao usuário permissões para realizar as tarefas necessárias. Recomendamos que você inclua os usuários do IAM nos grupos e gerencie as permissões por meio de políticas anexadas a esses grupos. No entanto, também é possível conceder permissões associando políticas de permissões diretamente ao usuário. Se você usar o console para adicionar o usuário, poderá copiar as permissões de um usuário existente para o novo usuário.

   Você também pode adicionar um [limite de permissões](access_policies_boundaries.md) para limitar as permissões do usuário especificando uma política que define as permissões máximas que ele pode ter. Os limites de permissões não concedem nenhuma permissão.

   Para obter instruções sobre como criar uma política de permissão personalizada a ser usada para conceder permissões ou para definir um limite de permissões, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md).

1. (Opcional) Adicione metadados ao usuário anexando tags. Para obter mais informações sobre como usar tags no IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

1. Forneça ao usuário as informações de login necessárias. Isso inclui a senha e a URL do console na página de login da conta em que o usuário fornece essas credenciais. Para ter mais informações, consulte [Como os usuários do IAM fazem login na AWS](id_users_sign-in.md).

1. (Opcional) Configure a [multi-factor authentication (MFA)](id_credentials_mfa.md) para o usuário. A MFA requer que o usuário forneça um código de uso único a cada vez que ele faz login no Console de gerenciamento da AWS.

1. (Opcional) Dê aos usuários do IAM permissões para gerenciar suas próprias credenciais de segurança. (Por padrão, os usuários do IAM não têm permissões para gerenciar suas próprias credenciais.) Para ter mais informações, consulte [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md).
**nota**  
Se você usar o console para criar o usuário e selecionar **O usuário deverá criar uma nova senha no próximo login (recomendado)**, o usuário receberá as permissões necessárias.

Para obter informações sobre as permissões de que você precisa para criar um usuário, consulte [Permissões necessárias para acessar recursos do IAM](access_permissions-required.md).

Para obter instruções sobre como criar usuários do IAM para casos de uso específicos, consulte os seguintes tópicos:
+ [Criar um acesso de emergência para um usuário do IAM](getting-started-emergency-iam-user.md)
+ [Crie um usuário do IAM para workloads que não podem usar perfis do IAM](getting-started-workloads.md)

# Visualizar usuários do IAM
<a name="id_users_list"></a>

Você pode listar os usuários do IAM da sua Conta da AWS ou de um determinado grupo do IAM, e listar todos os grupos do IAM a que um usuário pertence. Para obter informações sobre as permissões que você precisa para listar usuários, consulte [Permissões necessárias para acessar recursos do IAM](access_permissions-required.md). 

## Para listar todos os usuários do IAM na conta
<a name="id_users_manage_list-users"></a>

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**. 

O console exibe os usuários do IAM da sua Conta da AWS.

------
#### [ AWS CLI ]

Execute este comando:
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)`

------
#### [ API ]

Chame a seguinte operação:
+ `[ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)` 

------

## Para listar os usuários do IAM em um grupo do IAM
<a name="id_users_manage_list-users-group"></a>

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **User groups** (Grupos de usuários).

1. Escolha o nome do grupo de usuários. 

Os usuários do IAM que são membros do grupo são listados na guia **Usuários**.

------
#### [ AWS CLI ]

Execute este comando:
+ `[aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)`

------
#### [ API ]

Chame a seguinte operação:
+ `[GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)` 

------

## Para listar todos os grupos do IAM a que um usuário pertence
<a name="id_users_manage_list-groups-users"></a>

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome de usuário do IAM. 

1. Selecione a guia **Grupos** para exibir a lista de grupos que incluem o usuário atual.

------
#### [ AWS CLI ]

Execute este comando:
+ `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)`

------
#### [ API ]

Chame a seguinte operação:
+ `[ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)` 

------

## Próximas etapas
<a name="id_users_list-next-steps"></a>

Depois de ter uma lista dos usuários do IAM, você pode renomear, excluir ou desativar um usuário do IAM usando os procedimentos a seguir.
+ [Renomear um usuário do IAM](id_users_rename.md)
+ [Remover ou desativar um usuário do IAM](id_users_remove.md)

# Renomear um usuário do IAM
<a name="id_users_rename"></a>

**nota**  
Como [prática recomendada](best-practices.md), aconselhamos exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias. Seguindo as práticas recomendadas, você não gerenciará usuários e grupos do IAM. Em vez disso, seus usuários e grupos serão gerenciados fora da AWS e podem acessar recursos da AWS como *identidade federada*. Identidade federada é um usuário de seu diretório de usuários corporativos, um provedor de identidades da Web, AWS Directory Service, o diretório do Centro de Identidade ou qualquer usuário que acesse os serviços da AWS usando credenciais fornecidas por meio de uma fonte de identidade. As identidades federadas utilizam os grupos definidos pelo provedor de identidade. Se você estiver usando o Centro de Identidade do AWS IAM, consulte [Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) (Gerenciar identidades no Centro de Identidade do IAM) no *Guia do usuário do Centro de Identidade do AWS IAM* para obter informações sobre a criação de usuários e grupos no Centro de Identidade do IAM.

A Amazon Web Services oferece várias ferramentas para gerenciar os usuários do IAM na sua Conta da AWS. Você pode listar os usuários do IAM da sua conta ou de um grupo de usuários, ou listar todos os grupos do IAM a que um usuário pertence. Você pode renomear ou alterar o caminho de um usuário do IAM. Se estiver migrando para utilizar identidades federadas em vez de usuários do IAM, você poderá excluir um usuário do IAM da conta da AWS ou desativá-lo.

Para obter mais informações sobre como adicionar, alterar ou remover políticas gerenciadas para um usuário do IAM, consulte [Alterar permissões de um usuário do IAM](id_users_change-permissions.md). Para obter informações sobre como gerenciar políticas em linha para usuários do IAM, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md), [Editar políticas do IAM](access_policies_manage-edit.md) e [Excluir políticas do IAM](access_policies_manage-delete.md). Como prática recomendada, use políticas gerenciadas em vez de políticas em linha. As *políticas gerenciadas pela AWS* concedem permissões para vários casos de uso comuns. Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso por todos os clientes da AWS. Como resultado, recomendamos que você reduza ainda mais as permissões definindo as [políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para seus casos de uso. Para ter mais informações, consulte [AWSPolíticas gerenciadas pela](access_policies_managed-vs-inline.md#aws-managed-policies). Para obter mais informações sobre políticas gerenciadas pela AWS que são projetadas para funções de trabalho específicas, consulte [AWSPolíticas gerenciadas pela para funções de trabalho](access_policies_job-functions.md).

Para saber como validar políticas do IAM, consulte [Validação de política do IAM](access_policies_policy-validator.md).

**dica**  
O [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) pode analisar os serviços e as ações que seus perfis do IAM usam e, em seguida, gerar uma política aperfeiçoada que você pode utilizar. Depois de testar cada política gerada, você pode implantar a política em seu ambiente de produção. Isso garante que você conceda apenas as permissões necessárias para suas workloads. Para obter mais informações sobre a geração de políticas, consulte [Geração de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

Para obter informações sobre como gerenciar senhas de usuário do IAM, consulte [Gerenciar senhas para usuários do IAM](id_credentials_passwords_admin-change-user.md).

## Renomeação de um usuário do IAM
<a name="id_users_renaming"></a>

Para alterar o nome ou caminho de um usuário, você deve usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS. Não há opção no console para renomear um usuário. Para obter informações sobre as permissões que você precisa para renomear um usuário, consulte [Permissões necessárias para acessar recursos do IAM](access_permissions-required.md). 

Quando você altera o nome ou caminho de um usuário, acontece o seguinte: 
+ Todas as políticas anexadas ao usuário permanecem com o usuário sob o novo nome.
+ O usuário permanece nos mesmos grupos do IAM com o novo nome.
+ O ID exclusivo para o usuário permanece o mesmo. Para obter mais informações sobre IDs exclusivos, consulte [Identificadores exclusivos](reference_identifiers.md#identifiers-unique-ids).
+ Todas as políticas de recurso ou função que se refiram ao usuário *como um principal* (o usuário está sendo recebendo acesso) são automaticamente atualizadas para usar o novo nome ou caminho. Por exemplo, quaisquer políticas baseadas em fila no Amazon SQS ou políticas baseadas em recursos no Amazon S3 são atualizadas automaticamente para usar o novo nome e caminho. 

O IAM não atualiza automaticamente as políticas que se referem ao usuário *como um recurso* para usar o novo nome ou caminho; você deve fazer isso manualmente. Por exemplo, imagine que o usuário `Richard` tenha uma política anexada que lhe permite gerenciar suas credenciais de segurança. Se um administrador renomear `Richard` como `Rich`, o administrador também precisa atualizar essa política para alterar o recurso disso:

```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard
```

para isso:

```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich
```

Isso também se aplica se um administrador mudar o caminho; o administrador precisa atualizar a política para refletir o novo caminho para o usuário. 

### Para renomear um usuário
<a name="id_users_manage_list-users-rename"></a>
+ AWS CLI: [aws iam update-user](https://docs.aws.amazon.com/cli/latest/reference/iam/update-user.html)
+ API da AWS: [UpdateUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html) 

# Remover ou desativar um usuário do IAM
<a name="id_users_remove"></a>

As [práticas recomendadas](best-practices.md#remove-credentials) aconselham que você remova usuários do IAM não utilizados da Conta da AWS. Se quiser reter as credenciais dos usuários do IAM para uso futuro, em vez de excluí-las da conta, você poderá desativar o acesso do usuário. Para obter mais informações, consulte [Desativar um usuário do IAM](#id_users_deactivating).

**Atenção**  
Depois que um usuário do IAM e suas chaves de acesso são excluídos, não podem ser restaurados ou recuperados.

## Pré-requisito: visualizar o acesso do usuário do IAM
<a name="users-manage_prerequisites"></a>

Antes de remover um usuário, analise sua atividade recente em nível de serviço. Esse processo ajuda a evitar a remoção do acesso de uma entidade principal (pessoa ou aplicação) que o esteja usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Remoção de um usuário do IAM (console)
<a name="id_users_deleting_console"></a>

Quando você usa o Console de gerenciamento da AWS para remover um usuário do IAM, o IAM exclui automaticamente as seguintes informações associadas: 
+ O identificador de usuário do IAM
+ Quaisquer associações de grupo: ou seja, o usuário do IAM é removido de todos os grupos dos quais o usuário do IAM era membro
+ Qualquer senha associada ao usuário do IAM 
+ Todas as políticas em linha incorporadas no usuário do IAM (as políticas que foram aplicadas ao usuário do IAM usando permissões de grupo de usuários não são afetadas) 
**nota**  
O IAM remove todas as políticas gerenciadas anexadas ao usuário do IAM quando você exclui o usuário, mas não exclui as políticas gerenciadas. 
+ Todos os dispositivos MFA associados

### Para remover um usuário do IAM (console)
<a name="id_users_remove-section-1"></a>

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Usuários** e, em seguida, marque a caixa de seleção ao lado do nome de usuário do IAM que você deseja excluir. 

1. Na parte superior da página, escolha **Delete** (Excluir).
**nota**  
Se algum dos usuários tiver chaves de acesso ativas, será necessário desativar as chaves de acesso antes de excluir os usuários. Para obter mais informações, consulte [Para desativar uma chave de acesso para um usuário do IAM](access-keys-admin-managed.md#admin-deactivate-access-key).

1. Na caixa de diálogo de confirmação, insira o nome de usuário no campo de entrada de texto para confirmar a exclusão do usuário. Escolha **Excluir**. 

O console exibe uma notificação de status informando que o usuário do IAM foi excluído.

------

## Exclusão de um usuário do IAM (AWS CLI)
<a name="id_users_deleting_cli"></a>

Ao contrário do Console de gerenciamento da AWS, quando você exclui um usuário do IAM com a AWS CLI, é necessário excluir manualmente os itens anexados ao usuário do IAM. Este procedimento ilustra o processo. 

**Para excluir um usuário do IAM da Conta da AWS (AWS CLI)**

1. Exclua a senha do usuário, caso ele tenha uma.

   `[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`

1. Exclui as chaves de acesso do usuário, se o usuário as tiver.

   `[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` (para listar as chaves de acesso do usuário) e `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`

1. Exclui o certificado de assinatura do usuário. Observe que ao excluir uma credencial de segurança, ela é removida permanentemente e não pode ser recuperada.

   `[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)` (para listar o certificados de assinatura do usuário) e `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`

1. Exclui a chave pública SSH do usuário, se o usuário tiver uma.

   `[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)` (para listar as chaves públicas SSH do usuário) e `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`

1. Exclui as credenciais do Git do usuário.

   `[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)` (para listar as credenciais do git do usuário) e `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`

1. Desativa o dispositivo de autenticação multifator (MFA), se o usuário tiver um.

   `[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)` (para listar os dispositivos MFA do usuário), `[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)` (para desativar o dispositivo) e `[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)` (para excluir permanentemente um dispositivo MFA virtual) 

1. Exclui as políticas em linha do usuário. 

   `[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)` (para listar as políticas em linha do usuário) e [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html) (para excluir a política) 

1. Desanexa todas as políticas gerenciadas anexadas ao usuário. 

   `[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)` (para listar as políticas gerenciadas anexadas ao usuário) e [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) (para desanexar a política) 

1. Remova o usuário de todos os grupos do IAM. 

   `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)` (para listar os grupos do IAM aos quais o usuário pertence) e `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)` 

1. Exclua o usuário.

   `[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)` 

## Desativar um usuário do IAM
<a name="id_users_deactivating"></a>

Talvez seja necessário desativar um usuário do IAM enquanto ele estiver temporariamente fora da empresa. Você pode manter as credenciais de usuário do IAM do usuário como estão e apenas bloquear o acesso dele à AWS.

Para desativar um usuário, crie e anexe uma política que negue ao usuário acesso à AWS. Você pode restaurar o acesso do usuário posteriormente.

Aqui estão dois exemplos de políticas de negação que você pode anexar a um usuário para negar seu acesso.

A política a seguir não inclui um limite de tempo. Você deve remover a política para restaurar o acesso do usuário.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}
```

------

A política a seguir inclui uma condição que inicia a política em 24 de dezembro de 2024 às 23:59 (UTC) e termina em 28 de fevereiro de 2025 às 23:59 (UTC).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}
```

------

# Controlar o acesso do usuário do IAM ao Console de gerenciamento da AWS
<a name="console_controlling-access"></a>

Os usuários do IAM com permissão que fizerem login na sua Conta da AWS por meio do Console de gerenciamento da AWS poderão acessar seus recursos da AWS. A lista a seguir mostra como conceder aos usuários do IAM acesso a recursos da sua Conta da AWS por meio do Console de gerenciamento da AWS. Ela também mostra como os usuários do IAM podem acessar outros recursos da AWS por meio do site da AWS.

**nota**  
Não há custo pelo uso do IAM.

**A Console de gerenciamento da AWS**  
Você cria uma senha para cada usuário do IAM que precisa acessar o Console de gerenciamento da AWS. Os usuários acessam o console por meio da página de login da sua Conta da AWS habilitada para o IAM. Para obter informações sobre como acessar a página de login, consulte [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html), no *Guia do usuário do Início de Sessão da AWS*. Para obter informações sobre como criar senhas, leia [Senhas de usuários na AWS](id_credentials_passwords.md).  
Você pode impedir que um usuário do IAM acesse o Console de gerenciamento da AWS removendo a senha dele. Isso impede que ele faça login no Console de gerenciamento da AWS usando suas credenciais de login. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell, da API da AWS ou do AWS Console Mobile Application.

**Seus recursos da AWS, como instâncias do Amazon EC2, buckets do Amazon S3 etc.**  
Mesmo que os usuários do IAM tenham senhas, eles ainda precisarão de permissão para acessar seus recursos da AWS. Quando você cria um usuário do IAM, ele não tem nenhuma permissão por padrão. Para dar a seus usuários do IAM as permissões que eles precisam ter, você anexa políticas a eles. Se houver muitos usuários do IAM que executam as mesmas tarefas com os mesmos recursos, você poderá lhes atribuir a um grupo. Então, atribua as permissões a esse grupo. Para obter informações sobre a criação de usuários e grupos do IAM, consulte [Identidades do IAM](id.md). Para obter informações sobre o uso de políticas para definir permissões, consulte [Gerenciamento de acesso para recursos da AWS](access.md).

**AWSFóruns de discussão da **  
Qualquer um pode ler as postagens no [Fóruns de discussão da AWS](https://forums.aws.amazon.com/). Os usuários que desejam publicar dúvidas ou comentários no Fórum de discussão da AWS podem fazê-lo usando seu nome de usuário. Na primeira vez que um usuário publica no Fórum de discussão da AWS, o usuário é solicitado a inserir um apelido e um endereço de e-mail. Somente esse usuário pode usar esse apelido nos Fóruns de discussão da AWS. 

**Informações de uso e faturamento da sua Conta da AWS**  
Você pode conceder aos usuários acesso às informações de uso e faturamento da sua Conta da AWS. Para obter mais informações, consulte [Controlar o acesso às suas informações de faturamento](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html) no *Guia do usuário do AWS Billing*. 

**As informações de perfil da sua Conta da AWS**  
Os usuários não podem acessar as informações de perfil da sua Conta da AWS.

**Credenciais de segurança da sua Conta da AWS**  
Os usuários não podem acessar as credenciais de segurança da sua Conta da AWS.

**nota**  
As políticas do IAM controlam o acesso, independentemente da interface. Por exemplo, você pode fornecer a um usuário uma senha para acessar o Console de gerenciamento da AWS. As políticas para esse usuário (ou qualquer grupo ao qual o usuário pertence) controlam o que o usuário pode fazer no Console de gerenciamento da AWS. Ou, você pode fornecer ao usuário chaves de acesso da AWS para fazer chamadas de API para a AWS. As políticas controlam as ações que o usuário pode chamar por meio de uma biblioteca ou cliente que usa essas chaves de acesso para autenticação.

# Alterar permissões de um usuário do IAM
<a name="id_users_change-permissions"></a>

Você pode alterar as permissões de um usuário do IAM na sua Conta da AWS alterando suas associações a grupos, copiando permissões de um usuário existente, anexando políticas diretamente a um usuário ou definindo um [limite de permissões](access_policies_boundaries.md). Um limite de permissões controla o número máximo de permissões que um usuário pode ter. Os limites de permissões são um recurso avançado da AWS.

Para obter informações sobre as permissões que você precisa para modificar as permissões de um usuário, consulte [Permissões necessárias para acessar recursos do IAM](access_permissions-required.md).

**Topics**
+ [Visualizar acesso do usuário](#users-modify_prerequisites)
+ [Gerar uma política com base na atividade de acesso de um usuário](#users_change_permissions-gen-policy)
+ [Adição de permissões a um usuário (console)](#users_change_permissions-add-console)
+ [Alteração das permissões de um usuário (console)](#users_change_permissions-change-console)
+ [Para remover uma política de permissões de um usuário (console)](#users_change_permissions-remove-policy-console)
+ [Para remover o limite de permissões de um usuário (console)](#users_change_permissions-remove-boundary-console)
+ [Adição e remoção das permissões de um usuário (AWS CLI ou API da AWS)](#users_change_permissions-add-programmatic)

## Visualizar acesso do usuário
<a name="users-modify_prerequisites"></a>

Antes de alterar as permissões de um usuário, você deve revisar a atividade no nível de serviço recente. Isso é importante porque você não deseja remover acesso de uma entidade principal (pessoa ou aplicativo) que está usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Gerar uma política com base na atividade de acesso de um usuário
<a name="users_change_permissions-gen-policy"></a>

Às vezes, você pode conceder permissões a uma entidade do IAM (usuário ou função) além do que é exigido. Para ajudar você a refinar as permissões concedidas, você pode gerar uma política do IAM baseada na atividade de acesso para uma entidade. O IAM Access Analyzer revisa seus logs do AWS CloudTrail e gera um modelo de política que contém as permissões que foram usadas pela entidade no intervalo de datas especificado. Você pode usar o modelo para criar uma política gerenciada com permissões refinadas e anexá-la à entidade do IAM. Dessa forma, você concede apenas as permissões de que o usuário ou a função precisa para interagir com os recursos da AWS para seu caso de uso específico. Para saber mais, consulte [Geração de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

## Adição de permissões a um usuário (console)
<a name="users_change_permissions-add-console"></a>

O IAM oferece três formas de adicionar políticas de permissões a um usuário:
+ **Adicionar o usuário do IAM a um grupo do IAM**: tornar o usuário membro de um grupo. As políticas do grupo são anexadas ao usuário.
+ **Copiar permissões de um usuário do IAM existente**: copiar todas as associações de grupos, políticas gerenciadas anexadas, políticas em linha e quaisquer limites de permissões existentes do usuário de origem.
+ **Anexar políticas diretamente ao usuário do IAM**: anexar uma política gerenciada diretamente ao usuário. Para facilitar o gerenciamento das permissões, anexe suas políticas a um grupo e associe os usuários do IAM aos grupos apropriados.

**Importante**  
Se o usuário tiver um limite de permissões, você não poderá adicionar mais permissões ao usuário do que as permitidas pelo limite de permissões.

### Para adicionar permissões adicionando o usuário do IAM a um grupo
<a name="users_change_permissions-add-group-console"></a>

Adicionar um usuário do IAM a um grupo do IAM atualiza imediatamente as permissões do usuário com as permissões definidas para o grupo.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome de usuário do IAM. 

1. Selecione a guia **Grupos** para exibir a lista de grupos que incluem o usuário atual.

1. Escolha **Adicionar usuário aos grupos**. 

1. Marque a caixa de seleção de cada grupo no qual você deseja que o usuário ingresse. A lista mostra o nome de cada grupo e as políticas que o usuário receberá se tornar membro desse grupo.

1. (Opcional) Você pode escolher **Criar grupo** para definir um novo grupo. Esse recurso é útil se você quiser adicionar o usuário a um grupo com políticas de anexo diferentes das dos grupos existentes:

   1. Na nova guia, em **Nome do grupo de usuários**, digite um nome para o novo grupo.
**nota**  
O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md). Os nomes de grupos podem ser uma combinação de até 128 letras, dígitos e estes caracteres: adição (\$1), igual (=), vírgula (,), ponto (.), arroba (@) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, você não pode criar dois grupos denominados *TESTGROUP* e *testgroup*.

   1. Marque uma ou mais caixas de seleção para as políticas gerenciadas que você deseja anexar ao grupo. Você também pode criar uma nova política gerenciada escolhendo **Criar política**. Se fizer isso, volte para esta guia ou janela do navegador quando a nova política for concluída; escolha **Atualizar** e, em seguida, escolha a nova política para anexá-la ao grupo. Para obter mais informações, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md).

   1. Escolha **Criar grupo de usuários**.

   1. Retorne à guia original e atualize a lista de grupos. Em seguida, marque a caixa de seleção do novo grupo.

1. Escolha **Adicionar usuário aos grupos**.

O console exibe uma mensagem de status informando que o usuário foi adicionado aos grupos que você especificou.

------

### Para adicionar permissões copiando-as de outro usuário do IAM
<a name="users_change_permissions-add-copy-console"></a>

Se você optar por adicionar permissões a um usuário do IAM por meio de cópia de permissões, o IAM copiará todas as associações de grupo, políticas gerenciadas anexadas, políticas em linha e quaisquer limites de permissões existentes do usuário especificado e as aplicará imediatamente ao usuário selecionado no momento.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome de usuário do IAM. 

1. Na guia **Permissões**, escolha e selecione **Adicionar permissões**.

1. Na página **Adicionar permissões**, escolha **Copiar permissões**. A lista exibe os usuários do IAM disponíveis com sua associação aos grupos e às políticas anexadas. 

1. Selecione o botão ao lado do usuário cujas permissões você deseja copiar. 

1. Escolha **Próximo** para ver uma lista de alterações a serem feitas para o usuário. Em seguida, selecione **Adicionar permissões**.

O console exibe uma mensagem de status informando que as permissões foram copiadas do usuário do IAM que você especificou.

------

### Para adicionar permissões anexando políticas diretamente ao usuário do IAM
<a name="users_change_permissions-add-directly-console"></a>

Você pode anexar uma política gerenciada diretamente a um usuário do IAM. As permissões atualizadas são aplicadas imediatamente.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome de usuário do IAM. 

1. Na guia **Permissões**, escolha e selecione **Adicionar permissões**.

1. Na página **Adicionar permissões**, escolha **Anexar políticas diretamente**. A lista **Políticas de permissões** exibe as políticas disponíveis juntamente com os tipos de política e entidades anexadas. 

1. Selecione o botão de opção ao lado do **nome da Política** que você deseja anexar. 

1. Escolha **Próximo** para ver uma lista de alterações a serem feitas para o usuário. Em seguida, selecione **Adicionar permissões**.

O console exibe uma mensagem de status informando que a política foi adicionada ao usuário do IAM especificado.

------

### Para definir o limite de permissões de um usuário do IAM
<a name="users_change_permissions-set-boundary-console"></a>

Um limite de permissões é um atributo avançado para o gerenciamento de permissões na AWS que é usado para definir as permissões máximas que um usuário do IAM pode ter. Definir um limite de permissões restringe imediatamente as permissões do usuário do IAM ao limite, independentemente das outras permissões concedidas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome do usuário do IAM cujo limite de permissões você deseja alterar. 

1. Escolha a aba **Permissões**. Se necessário, abra a seção **Limite de permissões** e escolha **Definir limite de permissões**.

1. Na página **Definir limite de permissões**, em **Políticas de permissões**, selecione a política que você deseja usar para o limite de permissões.

1. Escolha **Definir limite**.

O console exibe uma mensagem de status informando que o limite de permissões foi adicionado.

------

## Alteração das permissões de um usuário (console)
<a name="users_change_permissions-change-console"></a>

O IAM permite que você altere as permissões associadas a um usuário das seguintes maneiras:
+ **Editar uma política de permissões**: edite a política em linha de um usuário, a política em linha do grupo do usuário ou edite uma política gerenciada associada ao usuário diretamente ou de um grupo. Se o usuário tiver um limite de permissões, você não poderá fornecer mais permissões além das permitidas pela política usada como o limite de permissões do usuário.
+ **Alterar o limite de permissões**: altere a política usada como o limite de permissões para o usuário. Isso pode expandir ou restringir o número máximo de permissões que um usuário pode ter. 

### Editar uma política de permissões anexada a um usuário
<a name="users_change_permissions-edit-policy-console"></a>

A alteração das permissões atualiza o acesso do usuário imediatamente.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome do usuário do IAM cujo limite de permissões você deseja alterar. 

1. Escolha a aba **Permissões**. Se necessário, abra a seção **Limite de permissões**.

1. Escolha o nome da política que deseja editar para visualizar os detalhes da política. Escolha a guia **Entidades anexadas** para visualizar outras entidades (usuários, grupos e perfis do IAM) que poderão ser afetadas caso edite a política. 

1. Escolha a guia **Permissões** e revise as permissões concedidas pela política. Para fazer alterações nas permissões, escolha **Editar**. 

1. Edite a política e resolva as recomendações de [validação de política](access_policies_policy-validator.md). Para obter mais informações, consulte [Editar políticas do IAM](access_policies_manage-edit.md).

1. Escolha **Avançar**, revise o resumo da política e, em seguida, selecione **Salvar alterações**.

O console exibe uma mensagem de status informando que a política foi atualizada.

------

### Para alterar o limite de permissões de um usuário
<a name="users_change_permissions-change-boundary-console"></a>

A alteração de um limite de permissões atualiza o acesso do usuário imediatamente.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome do usuário do IAM cujo limite de permissões você deseja alterar. 

1. Escolha a aba **Permissões**. Se necessário, abra a seção **Limite de permissões** e, em seguida, escolha **Alterar limite**.

1. Selecione a política que você deseja usar para o limite de permissões.

1. Escolha **Definir limite**.

O console exibe uma mensagem de status informando que o limite de permissões foi alterado.

------

## Para remover uma política de permissões de um usuário (console)
<a name="users_change_permissions-remove-policy-console"></a>

A remoção de uma política de permissões atualiza o acesso do usuário imediatamente.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Escolha o nome do usuário cujas políticas de permissões você deseja remover. 

1. Escolha a aba **Permissões**. 

1. Se quiser remover as permissões removendo uma política existente, visualize a coluna **Anexado via** para entender como o usuário está obtendo essa política antes de escolher **Remover** para remover a política:
   + Se a política for aplicável devido à associação ao grupo, escolher **Remover** removerá o usuário do grupo. Lembre-se de que você pode ter várias políticas anexadas a um único grupo. Se você remover um usuário de um grupo, ele perderá o acesso a *todas* as políticas que recebeu por meio dessa associação ao grupo.
   + Se for uma política gerenciada anexada diretamente ao usuário, escolher **Remover** desanexará a política do usuário. Isso não afetará a política em si nem qualquer outra entidade à qual política esteja anexada.
   + Se a política for uma política incorporada em linha, a opção **Remover** removerá a política do IAM. As políticas em linha anexadas diretamente a um usuário existem somente para esse usuário.

Se a política tiver sido concedida ao usuário por meio de uma associação de grupo, o console exibirá uma mensagem de status informando que o usuário do IAM foi removido do grupo do IAM. Se a política estiver diretamente anexada ou em linha, a mensagem de status informará que a política foi removida.

------

## Para remover o limite de permissões de um usuário (console)
<a name="users_change_permissions-remove-boundary-console"></a>

A remoção do limite de permissões atualiza o acesso do usuário imediatamente.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Na lista **Usuários**, escolha o nome do usuário do IAM cujo limite de permissões você deseja remover. 

1. Escolha a aba **Permissões**. Se necessário, abra a seção **Limite de permissões**.

1.  Escolha **Alterar limite**. Para confirmar que você deseja remover o limite de permissões, na caixa de diálogo de confirmação, escolha **Remover limite**.

O console exibe uma mensagem de status informando que o limite de permissões foi removido.

------

## Adição e remoção das permissões de um usuário (AWS CLI ou API da AWS)
<a name="users_change_permissions-add-programmatic"></a>

Para adicionar ou remover permissões de forma programática, você deve adicionar ou remover as associações a grupos, anexar ou desanexar as políticas gerenciadas ou adicionar ou excluir as políticas em linha. Para obter mais informações, consulte os tópicos a seguir.
+ [Editar usuários em grupos do IAM](id_groups_manage_add-remove-users.md)
+ [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md)

# Senhas de usuários na AWS
<a name="id_credentials_passwords"></a>

É possível gerenciar as senhas de usuários do IAM em sua conta. Usuários do IAM precisam de senhas para acessar o Console de gerenciamento da AWS. Os usuários não precisam de senhas para acessar os recursos da AWS de forma programática ao usar a AWS CLI, o Tools for Windows PowerShell, os SDKs ou APIs da AWS. Para esses ambientes, existe a opção de atribuir [chaves de acesso](id_credentials_access-keys.md) aos usuários do IAM. Porém, existem alternativas mais seguras às chaves de acesso que recomendamos considerar primeiro. Para ter mais informações, consulte [AWSCredenciais de segurança de](security-creds.md).

**nota**  
Se um de seus usuários do IAM perder ou esquecer a senha, você *não poderá* recuperá-la do IAM. Dependendo das suas configurações, o usuário ou o administrador devem criar uma nova senha.

**Topics**
+ [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md)
+ [Gerenciar senhas para usuários do IAM](id_credentials_passwords_admin-change-user.md)
+ [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md)
+ [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md)

# Definir uma política de senhas de contas para usuários do IAM
<a name="id_credentials_passwords_account-policy"></a>

Você pode definir uma política de senha personalizada em sua Conta da AWS para especificar requisitos de complexidade e períodos de alternância obrigatórios para suas senhas de usuários do IAM. Se você não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha da AWS padrão. Para obter mais informações, consulte [Opções de políticas de senha personalizadas](#password-policy-details).

**Topics**
+ [Regras para definir uma política de senha](#password-policy-rules)
+ [Permissões necessárias para definir uma política de senha](#default-policy-permissions-required)
+ [Política de senha padrão](#default-policy-details)
+ [Opções de políticas de senha personalizadas](#password-policy-details)
+ [Para definir uma política de senha (console)](#IAMPasswordPolicy)
+ [Para alterar uma política de senha (console)](#id_credentials_passwords_account-policy-section-1)
+ [Para excluir uma política de senhas personalizada (console)](#id_credentials_passwords_account-policy-section-2)
+ [Definir uma política de senha (AWS CLI)](#PasswordPolicy_CLI)
+ [Definir uma política de senha (API da AWS)](#PasswordPolicy_API)

## Regras para definir uma política de senha
<a name="password-policy-rules"></a>

A política de senha do IAM não se aplica à senha do Usuário raiz da conta da AWS ou às chaves de acesso do usuário do IAM. Se uma senha expirar, o usuário do IAM não poderá fazer login no Console de gerenciamento da AWS, mas poderá continuar a usar as chaves de acesso.

Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. No entanto, algumas das configurações serão aplicadas imediatamente. Por exemplo: 
+ Quando os requisitos de tamanho mínimo e o tipo de caracteres forem alterados, as configurações serão aplicadas na próxima vez que os usuários mudarem suas senhas. Os usuários não serão forçados a mudar suas senhas existentes, mesmo se as senhas existentes não estiverem em conformidade com a política de senhas atualizada.
+ Quando você definir um período de expiração de senha, ele será aplicado imediatamente. Por exemplo, suponhamos que você defina um período de expiração de senha de 90 dias. Nesse caso, a senha expira para todos os usuários do IAM cuja senha existente tenha sido configurada há mais de 90 dias. Esses usuários são obrigados a alterar sua senha na próxima vez que fizerem login.

Você não pode criar uma “política de bloqueio” para bloquear um usuário fora da conta após um número especificado de tentativas de login com falha. Para maior segurança, recomendamos que você combine uma política de senha forte com a autenticação multifator (MFA). Para obter mais informações sobre MFA, consulte [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).

## Permissões necessárias para definir uma política de senha
<a name="default-policy-permissions-required"></a>

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM visualize ou edite a política de senha da conta. Você pode incluir as seguintes ações de política de senha em uma política do IAM: 
+ `iam:GetAccountPasswordPolicy`: permite que a entidade visualize a política de senha para a conta
+ `iam:DeleteAccountPasswordPolicy`: permite que a entidade exclua a política de senha personalizada para a conta e reverta para a política de senha padrão
+ `iam:UpdateAccountPasswordPolicy`: permite que a entidade crie ou altere a política de senha personalizada para a conta

A política a seguir permite acesso total para visualizar e editar a política de senha da conta. Para saber mais sobre como criar uma política do IAM usando este exemplo de documento de política JSON, consulte [Criar políticas usando o editor de JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para obter informações sobre as permissões necessárias para um usuário do IAM alterar sua própria senha, consulte [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md).

## Política de senha padrão
<a name="default-policy-details"></a>

Se um administrador não definir uma política de senha personalizada, as senhas de usuário do IAM deverão atender à política de senha padrão da AWS.

A política de senha padrão impõe as seguintes condições:
+ Tamanho mínimo da senha é 8 caracteres e o máximo 128 caracteres.
+ No mínimo três dos seguintes tipos de caracteres: maiúsculas, minúsculas, números e caracteres não alfanuméricos (`! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`)
+ Não ser idêntico ao nome ou endereço de e-mail da sua Conta da AWS
+ A senha nunca expira

## Opções de políticas de senha personalizadas
<a name="password-policy-details"></a>

Ao configurar uma política de senha personalizada para sua conta, você pode especificar as seguintes condições:
+ **Password minimum length** (Comprimento mínimo da senha): especifique um mínimo de seis caracteres e um máximo de 128 caracteres.
+ **Força da senha**: selecione qualquer uma das seguintes opções para definir a força das suas senhas de usuário do IAM:
  + Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z)
  + Exigir pelo menos uma letra minúscula do alfabeto latino (a–z)
  + Exigir pelo menos um número
  + Exigir pelo menos um caractere não alfanumérico `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '` 
+ **Turn on password expiration** (Ativar expiração de senha): você pode selecionar e especificar no mínimo um e no máximo 1.095 dias para que as senhas de usuário do IAM permaneçam válidas após serem definidas. Por exemplo, se você especificar uma validade de 90 dias, isso afetará imediatamente todos os seus usuários. Após a mudança, os usuários que têm senhas com mais de 90 dias precisam definir uma nova senha ao acessar o console. Usuários com senhas de 75 a 89 dias recebem um aviso do Console de gerenciamento da AWS sobre a validade da senha. Os usuários do IAM podem alterar a senha a qualquer momento, desde que tenham recebido permissão para isso. Ao definir uma nova senha, o período de expiração para ela será reiniciado. Um usuário do IAM só pode ter uma senha válida por vez.
+ **Password expiration requires administrator reset** (A expiração da senha requer redefinição do administrador): selecione esta opção para impedir que os usuários do IAM usem o Console de gerenciamento da AWS para atualizar suas próprias senhas depois que elas expirarem. Antes de selecionar esta opção, confirme se a sua Conta da AWS tem mais de um usuário com permissões administrativas para redefinir as senhas de usuário do IAM. Administradores com a permissão `iam:UpdateLoginProfile` podem redefinir senhas de usuário do IAM. Usuários do IAM com permissões `iam:ChangePassword` e chaves de acesso ativas podem redefinir sua própria senha do console do usuário do IAM programaticamente. Se você desmarcar esta caixa de seleção, os usuários do IAM com senhas expiradas ainda deverão definir uma nova senha para que possam acessar o Console de gerenciamento da AWS.
+ **Allow users to change their own password** (Permitir que os usuários alterem suas próprias senhas): você pode permitir que todos os usuários do IAM na conta alterem suas próprias senhas. Isso dá aos usuários acesso à ação `iam:ChangePassword` somente para seu usuário e à ação `iam:GetAccountPasswordPolicy`. Essa opção não anexa uma política de permissões a cada usuário. Em vez disso, o IAM aplica as permissões no nível da conta a todos os usuários. Ou então, você pode permitir que apenas alguns usuários gerenciem suas próprias senhas. Para fazer isso, desmarque esta caixa de seleção. Para obter mais informações sobre o uso de políticas para limitar quem pode gerenciar senhas, consulte [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md).
+ **Prevent password reuse** (Impedir a reutilização de senha): você pode impedir que os usuários do IAM reutilizem um número específico de senhas anteriores. Você pode especificar um número mínimo de 1 e um número máximo de 24 senhas anteriores que não podem ser repetidas. 

## Para definir uma política de senha (console)
<a name="IAMPasswordPolicy"></a>

Você pode usar o Console de gerenciamento da AWS para criar, alterar ou excluir uma política de senha. As alterações na política de senha se aplicam aos usuários do IAM criados após essa alteração de política e aos usuários existentes do IAM ao alterarem suas senhas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Configurações da conta**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar). 

1. Escolha **Custom** (Personalizada) para usar uma política de senha personalizada.

1. Selecione as opções que você deseja aplicar à política de senha e escolha **Save changes (Salvar alterações)**. 

1. Confirme se deseja definir uma política de senha personalizada escolhendo **Set custom** (Definir personalizada).

O console exibe uma mensagem de status informando que os requisitos de senha para os usuários do IAM foram atualizados.

------

## Para alterar uma política de senha (console)
<a name="id_credentials_passwords_account-policy-section-1"></a>

Você pode usar o Console de gerenciamento da AWS para criar, alterar ou excluir uma política de senha. As alterações na política de senha se aplicam aos usuários do IAM criados após essa alteração de política e aos usuários existentes do IAM ao alterarem suas senhas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Configurações da conta**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar). 

1. Selecione as opções que você deseja aplicar à política de senha e escolha **Save changes (Salvar alterações)**. 

1. Confirme se deseja definir uma política de senha personalizada escolhendo **Set custom** (Definir personalizada).

O console exibe uma mensagem de status informando que os requisitos de senha para os usuários do IAM foram atualizados.

------

## Para excluir uma política de senhas personalizada (console)
<a name="id_credentials_passwords_account-policy-section-2"></a>

Você pode usar o Console de gerenciamento da AWS para criar, alterar ou excluir uma política de senha. As alterações na política de senha se aplicam aos usuários do IAM criados após essa alteração de política e aos usuários existentes do IAM ao alterarem suas senhas.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, selecione **Configurações da conta**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar). 

1. Escolha **IAM default** (Padrão do IAM) para excluir a política de senha personalizada e escolha **Save changes** (Salvar alterações).

1. Confirme se deseja definir a política de senha padrão do IAM escolhendo **Set default** (Definir padrão).

O console exibe uma mensagem de status informando que a política de senha está definida como padrão do IAM.

------

## Definir uma política de senha (AWS CLI)
<a name="PasswordPolicy_CLI"></a>

Você pode usar o AWS Command Line Interface para definir uma política de senha.

**Para gerenciar a política de senha de conta personalizada a no AWS CLI**  
Execute os seguintes comandos:
+ Para criar ou alterar a política de senha personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ Para exibir a política de senha: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html) 
+ Para excluir a política de senha personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html) 

## Definir uma política de senha (API da AWS)
<a name="PasswordPolicy_API"></a>

Você pode usar operações de AWS API para definir uma política de senha.

**Para gerenciar a política de senha de conta personalizada na AWS API**  
Chame as seguintes operações:
+ Para criar ou alterar a política de senha personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ Para exibir a política de senha: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 
+ Para excluir a política de senha personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html) 

# Gerenciar senhas para usuários do IAM
<a name="id_credentials_passwords_admin-change-user"></a>

Os usuários do IAM que usarem o Console de gerenciamento da AWS para trabalhar com recursos da AWS deverão ter uma senha para fazer login. Você pode criar, alterar ou excluir uma senha de um usuário do IAM em sua conta da AWS. 

Depois de ter atribuído uma senha a um usuário, o usuário pode fazer login no Console de gerenciamento da AWS usando o URL de login para a sua conta, que é semelhante a: 

```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```

Para obter mais informações sobre como usuários do IAM fazem login no Console de gerenciamento da AWS, consulte [Como fazer login na conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS*. 

Mesmo que os usuários tenham suas próprias senhas, eles ainda precisarão de permissões para acessar seus recursos da AWS. Por padrão, um usuário não tem nenhuma permissão. Para conceder aos seus usuários as permissões de que precisam, atribua políticas a eles ou aos grupos aos quais pertencem. Para obter informações sobre a criação de usuários e grupos, consulte [Identidades do IAM](id.md). Para obter informações sobre o uso de políticas para definir permissões, consulte [Alterar permissões de um usuário do IAM](id_users_change-permissions.md). 

É possível conceder aos usuários permissão para alterar as próprias senhas. Para obter mais informações, consulte [Permitir que os usuários do IAM alterem as próprias senhas](id_credentials_passwords_enable-user-change.md). Para obter informações sobre como os usuários acessam a página de login, consulte [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html), no *Guia do usuário do Início de Sessão da AWS*. 

**Topics**
+ [Criar, alterar ou excluir uma senha de usuário do IAM (console)](#id_credentials_passwords_admin-change-user_console)

## Criar, alterar ou excluir uma senha de usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user_console"></a>

Você pode usar o Console de gerenciamento da AWS para gerenciar senhas de seus usuários do IAM.

As necessidades de acesso dos usuários podem mudar com o tempo. Talvez seja necessário habilitar um usuário destinado ao acesso à CLI para ter acesso ao console, alterar a senha de um usuário porque ele recebeu o e-mail com suas credenciais ou excluir um usuário quando ele sair da organização ou não precisar mais de acesso à AWS. 

### Para criar uma senha de usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

Use este procedimento para conceder acesso ao console a um usuário, criando uma senha associada ao nome de usuário.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Escolha o nome do usuário cuja senha você deseja criar. 

1. Escolha a guia **Credenciais de segurança** e, em **Login no console**, escolha **Habilitar acesso ao console**.

1. Na caixa de diálogo **Habilitar acesso ao console**, selecione **Redefinir senha** e escolha se o IAM deve gerar uma senha ou criar uma senha personalizada: 
   + Para que o IAM gere uma senha, escolha a opção **Autogenerated password** (Senha gerada automaticamente).
   + Para criar uma senha personalizada, escolha **Senha personalizada** e digite a senha. 
**nota**  
A senha que você criou deve cumprir a [política de senhas](id_credentials_passwords_account-policy.md) da conta.

1. Para exigir que o usuário crie uma nova senha ao fazer login, escolha **Exigir alteração de senha no próximo login**. 

1. Para exigir que o usuário use a nova senha imediatamente, selecione **Revogar sessões ativas do console**. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

1. Escolha **Redefinir senha**

1. A caixa de diálogo **Senha do console** informa que você ativou a nova senha do usuário. Para visualizar a senha e compartilhá-la com o usuário, escolha **Mostrar** na caixa de diálogo **Senha do console**. Selecione **Baixar arquivo .csv** para baixar um arquivo com as credenciais do usuário.
**Importante**  
Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

O console exibe uma mensagem de status informando que o acesso ao console foi habilitado.

------

### Para alterar a senha para um usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

Use este procedimento para atualizar uma senha associada ao nome de usuário.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Escolha o nome do usuário cuja senha você deseja alterar. 

1. Escolha a guia **Credenciais de segurança** e, em **Login no console**, escolha **Gerenciar acesso ao console**.

1. Na caixa de diálogo **Gerenciar acesso ao console**, selecione **Redefinir senha** e, em seguida, escolha se deseja que o IAM gere uma senha ou crie uma senha personalizada: 
   + Para que o IAM gere uma senha, escolha a opção **Autogenerated password** (Senha gerada automaticamente).
   + Para criar uma senha personalizada, escolha **Senha personalizada** e digite a senha. 
**nota**  
A senha que você criou deve cumprir a [política de senhas](id_credentials_passwords_account-policy.md) da conta.

1. Para exigir que o usuário crie uma nova senha ao fazer login, escolha **Exigir alteração de senha no próximo login**. 

1. Para exigir que o usuário use a nova senha imediatamente, selecione **Revogar sessões ativas do console**. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

1. Escolha **Redefinir senha**

1. A caixa de diálogo **Senha do console** informa que você ativou a nova senha do usuário. Para visualizar a senha e compartilhá-la com o usuário, escolha **Mostrar** na caixa de diálogo **Senha do console**. Selecione **Baixar arquivo .csv** para baixar um arquivo com as credenciais do usuário.
**Importante**  
Por motivos de segurança, você não pode acessar a senha depois de concluir esta etapa, mas pode criar uma nova senha a qualquer momento.

O console exibe uma mensagem de status informando que o acesso ao console foi atualizado.

------

### Para excluir (desabilitar) a senha de um usuário do IAM (console)
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

Use este procedimento para excluir uma senha associada ao nome de usuário, removendo o acesso do usuário ao console.

**Importante**  
Você pode impedir que um usuário do IAM acesse o Console de gerenciamento da AWS removendo a senha dele. Isso impede que ele faça login no Console de gerenciamento da AWS usando suas credenciais de login. Isso não altera as permissões do usuário nem o impede de acessar o console usando uma função assumida. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell, da API da AWS ou do AWS Console Mobile Application.

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Users**.

1. Escolha o nome do usuário cuja senha você deseja excluir. 

1. Escolha a guia **Credenciais de segurança** e, em **Login no console**, escolha **Gerenciar acesso ao console**.

1. Para requerer que o usuário pare de usar o console imediatamente, selecione **Revogar sessões ativas do console**. Esse procedimento anexa uma política em linha ao usuário do IAM que nega o acesso do usuário aos recursos caso as credenciais sejam mais antigas do que o período especificado pela política.

1. Escolha **Desabilitar acesso**

O console exibe uma mensagem de status informando que o acesso ao console foi desabilitado.

------

### Criar, alterar ou excluir uma senha de usuário do IAM (AWS CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

Você pode usar a API da AWS CLI para gerenciar as senhas de seus usuários do IAM.

**Para criar uma senha (AWS CLI)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para criar uma senha, execute o seguinte comando: [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

**Para alterar a senha de um usuário (AWS CLI)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para alterar uma senha, execute o seguinte comando: [aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html)

**Para excluir (desabilitar) a senha de um usuário (AWS CLI)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: [aws iam get-login-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)

1. Para excluir uma senha, execute o seguinte comando: [aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)

**Importante**  
Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no Console de gerenciamento da AWS. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para obter mais informações, consulte [Exclusão de um usuário do IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Para revogar as sessões ativas do console de um usuário antes de um horário especificado (AWS CLI)**

1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

   Essa política em linha nega todas as permissões e inclui a chave de condição `aws:TokenIssueTime`. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento `Condition` da política em linha. Substitua o valor da chave de condição `aws:TokenIssueTime` pelos seus próprios valores.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)

### Criar, alterar ou excluir uma senha de usuário do IAM (API da AWS)
<a name="Using_ManagingPasswordsAPI"></a>

Você pode usar a API da AWS para gerenciar as senhas de seus usuários do IAM.

**Para criar uma senha (API da AWS)**

1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para criar uma senha, chame esta operação: [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

**Para alterar a senha de um usuário (API da AWS)**

1. (Opcional) Para determinar se um usuário tem uma senha, chame esta operação: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para alterar uma senha, chame esta operação: [UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html)

**Para excluir (desabilitar) a senha de um usuário (API da AWS)**

1. (Opcional) Para determinar se um usuário tem uma senha, execute este comando: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. (Opcional) Para determinar quando uma senha foi usada pela última vez, execute este comando: [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)

1. Para excluir uma senha, execute o seguinte comando: [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)

**Importante**  
Quando você excluir a senha de um usuário, o usuário não poderá mais fazer login no Console de gerenciamento da AWS. Se o usuário tiver chaves de acesso ativas, elas continuarão funcionando e permitirão o acesso por meio da AWS CLI, do Tools for Windows PowerShell ou de chamadas de função da API da AWS. Ao usar a AWS CLI, o Tools for Windows PowerShell ou a API da AWS para excluir um usuário da sua Conta da AWS, você deve primeiro excluir a senha usando essa operação. Para obter mais informações, consulte [Exclusão de um usuário do IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Para revogar as sessões ativas do console de um usuário antes de um horário especificado (API AWS)**

1. Para incorporar uma política em linha que revogue as sessões ativas do console de um usuário do IAM antes de um horário especificado, use a seguinte política em linha e execute este comando: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

   Essa política em linha nega todas as permissões e inclui a chave de condição `aws:TokenIssueTime`. Ela revoga as sessões ativas do console do usuário antes do horário especificado no elemento `Condition` da política em linha. Substitua o valor da chave de condição `aws:TokenIssueTime` pelos seus próprios valores.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)

1. (Opcional) Para listar os nomes das políticas em linha incorporadas no usuário do IAM, execute este comando: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)

# Permitir que os usuários do IAM alterem as próprias senhas
<a name="id_credentials_passwords_enable-user-change"></a>

**nota**  
Usuários com identidades federadas usarão o processo definido pelo provedor de identidade para alterar as senhas. Como [prática recomendada](best-practices.md), exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias.

Você pode conceder aos usuários do IAM permissão para alterar as próprias senhas para fazer login no Console de gerenciamento da AWS. É possível fazer isso de duas formas:
+ [Permitir que todos os usuários do IAM na conta alterem as próprias senhas](#proc_letalluserschangepassword). 
+ [Permitir que apenas usuários selecionados do IAM alterem as próprias senhas](#proc_letselectuserschangepassword). Nesse cenário, você desabilita a opção para todos os usuários alterarem suas próprias senhas e usa uma política do IAM para conceder permissões a apenas alguns usuários. Essa abordagem permite que esses usuários mudem suas próprias senhas e, opcionalmente, outras credenciais, como suas próprias chaves de acesso. 

**Importante**  
Recomendamos que você [defina uma política de senha personalizada](id_credentials_passwords_account-policy.md) que exija que os usuários do IAM criem senhas fortes.

## Para permitir que todos os usuários do IAM alterem as próprias senhas
<a name="proc_letalluserschangepassword"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, clique em **Account settings (Configurações da conta)**.

1. Na seção **Password policy** (Política de senha), escolha **Edit** (Editar).

1. Escolha **Custom** (Personalizada) para usar uma política de senha personalizada.

1. Selecione **Allow users to change their own password** (Permitir que os usuários alterem sua própria senha) e clique em **Save changes** (Salvar alterações). Isso permite que todos os usuários na conta acessem a ação `iam:ChangePassword` somente para seu usuário e para a ação `iam:GetAccountPasswordPolicy`.

1. Forneça aos usuários as seguintes instruções para alterar as senhas: [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md). 

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`

------
#### [ API ]

Para criar um alias para o URL da página de login do Console de gerenciamento da AWS, chame a seguinte operação:
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)` 

------

## Para permitir que usuários selecionados do IAM alterem as próprias senhas
<a name="proc_letselectuserschangepassword"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, clique em **Account settings (Configurações da conta)**. 

1. Na seção **Password policy (Políticas da conta)**, verifique se a opção **Allow users to change their own password (Permitir que os usuários alterem a própria senha)** não está selecionada. Se essa caixa de seleção estiver marcada, todos os usuários poderão alterar as próprias senhas. (Consulte o procedimento anterior). 

1. Crie usuários capazes de alterar as próprias senhas, se eles ainda não existirem. Para obter detalhes, consulte [Criar um usuário do IAM na Conta da AWS](id_users_create.md). 

1. (Opcional) Crie um grupo do IAM para usuários que devem ter permissão para alterar as senhas e adicione os usuários da etapa anterior ao grupo. Para obter detalhes, consulte [Grupos de usuários do IAM](id_groups.md). 

1. Atribua a política a seguir ao grupo. Para obter mais informações, consulte [Gerenciar políticas do IAM](access_policies_manage.md).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }
   ```

------

   Essa política concede acesso à ação [ChangePassword](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html), que permite aos usuários alterar somente as próprias senhas do console, da AWS CLI, do Tools for Windows PowerShell ou ou da API. Isso também concede acesso à ação [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html), que permite ao usuário ver a política de senha atual; essa permissão é necessária para que o usuário possa exibir a política de senhas da conta na página **Change Password (Alterar senha)**. O usuário deve poder ler a política de senha atual para garantir que a senha alterada esteja de acordo com os requisitos da política.

1. Forneça aos usuários as seguintes instruções para alterar as senhas: [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md). 

------

### Para obter mais informações
<a name="HowToPwdIAMUser-moreinfo"></a>

Para obter mais informações sobre o gerenciamento de credenciais, consulte os seguintes tópicos:
+ [Permitir que os usuários do IAM alterem as próprias senhas](#id_credentials_passwords_enable-user-change) 
+ [Senhas de usuários na AWS](id_credentials_passwords.md)
+ [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md)
+ [Gerenciar políticas do IAM](access_policies_manage.md)
+ [Como um usuário do IAM altera a própria senha](id_credentials_passwords_user-change-own.md)

# Como um usuário do IAM altera a própria senha
<a name="id_credentials_passwords_user-change-own"></a>

Se você tiver recebido permissão para alterar a própria senha de usuário do IAM, poderá usar uma página especial no Console de gerenciamento da AWS para fazer isso. Você também pode usar a AWS CLI ou a API da AWS.

**Topics**
+ [Permissões obrigatórias](#change-own-passwords-permissions-required)
+ [Como os usuários do IAM alteram a própria senha (console)](#ManagingUserPwdSelf-Console)
+ [Como os usuários do IAM alteram suas próprias senhas (AWS CLI ou API da AWS)](#ManagingUserPwdSelf-CLIAPI)

## Permissões obrigatórias
<a name="change-own-passwords-permissions-required"></a>

Para mudar a senha do seu próprio usuário do IAM, você deve ter as permissões da seguinte política: [AWS: permite que os usuários do IAM alterem suas próprias senhas do console na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).

## Como os usuários do IAM alteram a própria senha (console)
<a name="ManagingUserPwdSelf-Console"></a>

O procedimento a seguir descreve como os usuários do IAM podem usar o Console de gerenciamento da AWS para alterar sua própria senha.

**Para alterar sua própria senha de usuário do IAM (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na guia **Credenciais do AWS IAM**, escolha **Atualizar senha**.

1. Em **Current password (Senha atual)**, insira a sua senha atual. Insira uma nova senha em **New password (Nova senha)** e **Confirm new password (Confirmar nova senha)**. Em seguida, selecione **Atualizar senha**.
**nota**  
Se a conta tiver uma política de senha, a nova senha deverá atender aos requisitos dessa política. Para obter mais informações, consulte [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md). 

## Como os usuários do IAM alteram suas próprias senhas (AWS CLI ou API da AWS)
<a name="ManagingUserPwdSelf-CLIAPI"></a>

O procedimento a seguir descreve como os usuários do IAM podem usar a AWS CLI ou a API da AWS para alterar sua própria senha.

**Para alterar sua própria senha do IAM, use o seguinte:**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API da: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)

# Gerenciar chaves de acesso para usuários do IAM
<a name="id_credentials_access-keys"></a>

**Importante**  
Como [prática recomendada](best-practices.md), use credenciais de segurança temporárias (como perfis do IAM), em vez de criar credenciais de longo prazo, como as chaves de acesso. Antes de criar chaves de acesso, avalie as [alternativas às chaves de acesso de longo prazo](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o Usuário raiz da conta da AWS. Você pode usar chaves de acesso para assinar solicitações programáticas na AWS CLI ou na API da AWS (diretamente ou usando o SDK da AWS). Para obter mais informações, consulte [Acesso programático com credenciais de segurança da AWS](security-creds-programmatic-access.md).

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, `AKIAIOSFODNN7EXAMPLE`) e uma chave de acesso secreta (por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações.



Ao criar um par de chaves de acesso, salve o ID de chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta pode ser recuperada somente no momento em que você a cria. Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. Para obter mais instruções, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md).

É possível ter um máximo de duas chaves de acesso por usuário.

**Importante**  
Usuários do IAM com chaves de acesso são um risco à segurança da conta. Gerencie suas chaves de acesso com segurança. Não as forneça a terceiros não autorizados, mesmo que seja para ajudar a [localizar os identificadores da sua conta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.  
Ao trabalhar com chaves de acesso, tenha em mente o seguinte:  
**NÃO** use as credenciais de usuário-raiz da sua conta para criar chaves de acesso.
**NÃO** coloque chaves de acesso literais ou informações de credenciais em seus arquivos de aplicações. 
**NÃO** inclua arquivos que contenham informações de chaves de acesso ou de credenciais em sua área de projeto.
As informações de chaves de acesso ou de credenciais armazenadas no arquivo de credenciais da AWS compartilhado são armazenadas em texto simples.

## Recomendações de monitoramento
<a name="monitor-access-keys"></a>

Após criar chaves de acesso:
+ Use o AWS CloudTrail para monitorar o uso da chave de acesso e detectar quaisquer tentativas de acesso não autorizadas. Para obter mais informações, consulte [Registro em log de chamadas de API do IAM e do AWS STS com o AWS CloudTrail](cloudtrail-integration.md).
+ Configure alarmes do CloudWatch para notificar os administradores sobre tentativas de acesso negado para ajudar a detectar atividades maliciosas. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Revise, atualize e exclua regularmente as chaves de acesso conforme necessário.

Os tópicos a seguir detalham as tarefas de gerenciamento associadas a chaves de acesso.

**Topics**
+ [Recomendações de monitoramento](#monitor-access-keys)
+ [Controle o uso de chaves de acesso anexando uma política em linha a um usuário do IAM](access-keys_inline-policy.md)
+ [Permissões necessárias para gerenciar chaves de acesso](access-keys_required-permissions.md)
+ [Como os usuários do IAM podem gerenciar suas próprias chaves de acesso](access-key-self-managed.md)
+ [Como um administrador do IAM pode gerenciar as chaves de acesso do usuário do IAM](access-keys-admin-managed.md)
+ [Atualizar chaves de acesso](id-credentials-access-keys-update.md)
+ [Proteger chaves de acesso](securing_access-keys.md)

# Controle o uso de chaves de acesso anexando uma política em linha a um usuário do IAM
<a name="access-keys_inline-policy"></a>

Outra prática recomendada é exigir que as [workloads usem credenciais temporárias com perfis do IAM](best-practices.md#bp-workloads-use-roles) para acessar a AWS. Os usuários do IAM com chaves de acesso devem ter acesso com privilégios mínimos e ter a [autenticação multifator (MFA](id_credentials_mfa.md)) ativada. Para obter mais informações sobre como presumir um perfil do IAM, consulte [Métodos para assumir um perfil](id_roles_manage-assume.md).

No entanto, se você estiver criando um teste de prova de conceito de uma automação de serviço ou outro caso de uso de curto prazo e optar por executar workloads usando um usuário do IAM com chaves de acesso, recomendamos [usar condições de políticas para restringir ainda mais o acesso](best-practices.md#use-policy-conditions) das credenciais de usuário do IAM.

Nessa situação, você pode criar uma política com limite de tempo que expira as credenciais após o tempo especificado ou, se estiver executando uma workload em uma rede segura, você pode usar uma política de restrição de IP.

Para ambos os casos de uso, você pode usar uma política em linha anexada ao usuário do IAM que tem chaves de acesso.

**Para configurar uma política com limite de tempo para um usuário do IAM**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Usuários** e escolha o usuário para o caso de uso de curto prazo. Se você ainda não criou o usuário, pode [criar o usuário](getting-started-workloads.md) agora.

1. Na página **Detalhes** do usuário, selecione a guia **Permissões**.

1. Escolha **Adicionar permissões** e, em seguida, selecione **Criar política em linha**.

1. Na seção **Editor de políticas**, selecione **JSON** para exibir o editor JSON.

1. No editor JSON, insira a política a seguir, substituindo o valor do `aws:CurrentTime`carimbo de data/hora pela data e hora de expiração desejadas:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
         "DateGreaterThan": {
         "aws:CurrentTime": "2025-03-01T00:12:00Z"
           }
         }
       }
     ]
   }
   ```

------

   Essa política usa o efeito `Deny` para restringir todas as ações em todos os recursos após a data especificada. A condição `DateGreaterThan` compara a hora atual com o carimbo de data/hora que você definiu.

1. Selecione **Avançar** para ir para a página **Revisar e criar**. Em detalhes da **Política**, em **Nome da política**, insira um nome para a política e escolha **Criar política**.

Depois que a política é criada, ela é exibida na guia **Permissões** do usuário. Quando a hora atual for maior ou igual à hora especificada na política, o usuário não terá mais acesso aos recursos da AWS. Certifique-se de informar os desenvolvedores da workload sobre a data de expiração que você especificou para essas chaves de acesso. 

**Para configurar uma política de restrição de IP para um usuário do IAM**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários** e selecione o usuário que executará a workload na rede segura. Se você ainda não criou o usuário, pode [criar o usuário](getting-started-workloads.md) agora.

1. Na página **Detalhes** do usuário, selecione a guia **Permissões**.

1. Escolha **Adicionar permissões** e, em seguida, selecione **Criar política em linha**.

1. Na seção **Editor de políticas**, selecione **JSON** para exibir o editor JSON.

1. Copie a seguinte política do IAM para o editor JSON e altere os endereços IPv4 ou IPv6 públicos ou os intervalos de acordo com suas necessidades. Você pode usar [https://checkip.amazonaws.com](https://checkip.amazonaws.com/) para determinar seu endereço IP público. Você pode especificar endereços IP individuais ou intervalos de endereços IP usando a notação de barra. Para obter mais informações, consulte [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). 
**nota**  
Os endereços IP não devem ser ofuscados por uma VPN ou um servidor proxy.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid":"IpRestrictionIAMPolicyForIAMUser",
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "NotIpAddress": {
             "aws:SourceIp": [
               "203.0.113.0/24",
               "2001:DB8:1234:5678::/64",
               "203.0.114.1"
             ]
           },
           "BoolIfExists": {
             "aws:ViaAWSService": "false"
           }
         }
       }
     ]
   }
   ```

------

   Este exemplo de política nega o uso das chaves de acesso de um usuário do IAM com essa política aplicada, a menos que a solicitação tenha sido originada das redes (especificadas na notação CIDR) "203.0.113.0/24", "2001:DB8:1234:5678::/64" ou do endereço IP específico "203.0.114.1" 

1. Selecione **Avançar** para ir para a página **Revisar e criar**. Em detalhes da **Política**, em **Nome da política**, insira um nome para a política e escolha **Criar política**.

Depois que a política é criada, ela é exibida na guia **Permissões** do usuário. 

Você também pode aplicar essa política como uma política de controle de serviço (SCP) em várias contas da AWS bo AWS Organizations. Recomendamos usar uma condição adicional, `aws:PrincipalArn`, para que essa declaração de política se aplique apenas aos usuários do IAM nas contas da AWS sujeitas a esse SCP. A política a seguir inclui essa atualização:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}
```

------

# Permissões necessárias para gerenciar chaves de acesso
<a name="access-keys_required-permissions"></a>

**nota**  
`iam:TagUser` é uma permissão opcional para adicionar e editar descrições da chave de acesso. Para obter mais informações, consulte . [Marcar usuários do IAM](id_tags_users.md)

Para criar chaves de acesso para seu próprio usuário do IAM, você deve ter as permissões na seguinte política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Para atualizar chaves de acesso para seu próprio usuário do IAM, é necessário ter as permissões da política a seguir:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# Como os usuários do IAM podem gerenciar suas próprias chaves de acesso
<a name="access-key-self-managed"></a>

Os administradores do IAM podem conceder aos usuários do IAM a permissão para autogerenciar as chaves de acesso anexando a política descrita em [Permissões necessárias para gerenciar chaves de acesso](access-keys_required-permissions.md).

Com essas permissões, o usuário do IAM pode usar os procedimentos a seguir para criar, ativar, desativar e excluir as chaves de acesso associadas ao nome de usuário.

**Topics**
+ [Criar uma chave de acesso para você mesmo (console)](#Using_CreateAccessKey)
+ [Desativar a chave de acesso (console)](#deactivate-access-key-seccreds)
+ [Ativar a chave de acesso (console)](#activate-access-key-seccreds)
+ [Excluir a chave de acesso (console)](#delete-access-key-seccreds)

## Criar uma chave de acesso para você mesmo (console)
<a name="Using_CreateAccessKey"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para criar chaves de acesso para você mesmo.

**Para criar, modificar ou excluir suas próprias chaves de acesso (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Chaves de acesso**, escolha **Criar chave de acesso**. Caso você já tenha duas chaves de acesso, este botão ficará desativado, e você deverá excluir uma chave de acesso antes de criar uma nova.

1. Na página **Access key best practices and alternatives** (Práticas recomendadas e alternativas da chave de acesso), escolha seu caso de uso para saber mais sobre outras opções que ajudam a evitar a criação de uma chave de acesso de longo prazo. Se você determinar que seu caso de uso ainda requer uma chave de acesso, escolha **Other** (Outro) e escolha **Next** (Avançar).

1. (Opcional) Defina um valor de etiqueta de descrição para a chave de acesso. Essa ação adiciona um par de chave-valor de etiqueta ao usuário do IAM. Isso pode ajudar a identificar e a atualizar as chaves de acesso posteriormente. A chave da etiqueta é definida como o ID da chave de acesso. O valor da etiqueta é definido com a descrição da chave de acesso que você especifica. Quando terminar, escolha **Create access key** (Criar chave de acesso).

1. Na página **Retrieve access keys** (Recuperar chaves de acesso), escolha **Show** (Exibir) para revelar o valor da chave de acesso secreta do usuário ou **Download .csv file** (Baixar o arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Depois de salvar a chave de acesso secreta em um local seguro, escolha **Done** (Concluído).

## Desativar a chave de acesso (console)
<a name="deactivate-access-key-seccreds"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para desativar a chave de acesso.

**Para desativar uma chave de acesso**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Access keys** (Chaves de acesso), localize a chave que você deseja desativar, escolha **Actions** (Ações) e escolha **Deactivate** (Desativar). Quando a confirmação for solicitada, escolha **Deactivate** (Desativar). A chave de acesso desativada ainda conta para o limite de duas chaves de acesso.

## Ativar a chave de acesso (console)
<a name="activate-access-key-seccreds"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para ativar a chave de acesso.

**Para ativar uma chave de acesso**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Access keys** (Chaves de acesso), localize a chave que deseja ativar, escolha **Actions** (Ações) e escolha **Activate** (Ativar).

## Excluir a chave de acesso (console)
<a name="delete-access-key-seccreds"></a>

Caso tenha recebido as permissões apropriadas, você poderá usar o Console de gerenciamento da AWS para excluir a chave de acesso.

**Para excluir uma chave de acesso quando não precisar mais dela**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na seção **Access keys** (Chaves de acesso), localize a chave que deseja excluir, escolha **Actions** (Ações) e escolha **Delete** (Excluir). Siga as instruções na caixa de diálogo para primeiro **Deactivate** (Desativar) e depois confirme a exclusão. Recomendamos verificar se a chave de acesso não está mais em uso antes de excluí-la permanentemente.

# Como um administrador do IAM pode gerenciar as chaves de acesso do usuário do IAM
<a name="access-keys-admin-managed"></a>

Os administradores do IAM podem criar, ativar, desativar e excluir as chaves de acesso associadas a usuários do IAM individuais. Eles também podem listar os usuários do IAM na conta que têm chaves de acesso e localizar qual usuário do IAM tem uma chave de acesso específica.

**Topics**
+ [Como criar uma chave de acesso para um usuário do IAM](#admin-create-access-key)
+ [Para desativar uma chave de acesso para um usuário do IAM](#admin-deactivate-access-key)
+ [Para ativar uma chave de acesso para um usuário do IAM](#admin-activate-access-key)
+ [Como excluir uma chave de acesso para um usuário do IAM](#admin-delete-access-key)
+ [Para listar as chaves de acesso de um usuário do IAM](#admin-list-access-key)
+ [Para listar as chaves de acesso de um usuário do IAM](#admin-list-access-key)
+ [Para exibir todos os IDs de chave de acesso dos usuários na conta](#admin-list-all-access-keys)
+ [Para usar um ID de chave de acesso para localizar um usuário](#admin-find-user-access-keys)
+ [Para localizar o uso mais recente de um ID de chave de acesso](#admin-find-most-recent-use-access-keys)

## Como criar uma chave de acesso para um usuário do IAM
<a name="admin-create-access-key"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha **Criar chave de acesso**.

   Se esse botão estiver desativado, você deverá excluir uma das chaves de acesso existentes antes de criar outra.

1. Na página **Access key best practices and alternatives** (Práticas recomendadas e alternativas de chaves de acesso), analise as práticas recomendadas e alternativas. Escolha seu caso de uso para saber mais sobre outras opções que ajudam a evitar a criação de uma chave de acesso de longo prazo.

1. Se você determinar que seu caso de uso ainda requer uma chave de acesso, escolha **Other** (Outro) e escolha **Next** (Avançar).

1. **(Opcional)** Na página **Definir tag de descrição**, você pode adicionar uma tag de descrição à chave de acesso para ajudar a rastreá-la. Selecione **Criar chave de acesso**.

1. Na página **Retrieve access keys** (Recuperar chaves de acesso), escolha **Show** (Exibir) para revelar o valor da chave de acesso secreta do usuário.

1. Para salvar o ID da chave de acesso e a chave de acesso secreta em um arquivo `.csv` em um local seguro no computador, escolha o botão **Download .csv file** (Baixar arquivo .csv).
**Importante**  
Esta é a única oportunidade de visualizar ou fazer download da chave de acesso recém-criada, e você não poderá recuperá-la posteriormente. Certifique-se de manter a chave de acesso protegida.

Quando você cria uma chave de acesso para seu usuário, o par de chaves é ativo por padrão, e você pode usar o par imediatamente.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 

------

## Para desativar uma chave de acesso para um usuário do IAM
<a name="admin-deactivate-access-key"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha o menu suspenso **Ações** e, em seguida, **Desativar**.

1. Na caixa de diálogo **Desativar**, confirme que você deseja desativar a chave de acesso selecionando **Desativar**

Depois que uma chave de acesso é desativada, ela não pode mais ser usada por chamadas de API. Você poderá ativá-la novamente, se necessário.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Para ativar uma chave de acesso para um usuário do IAM
<a name="admin-activate-access-key"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha o menu suspenso **Ações** e, em seguida, **Ativar**.

Depois que uma chave de acesso é ativada, ela pode ser usada por chamadas de API. Você poderá desativá-la novamente, se necessário.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Como excluir uma chave de acesso para um usuário do IAM
<a name="admin-delete-access-key"></a>

Depois que uma chave de acesso tiver sido desativada, se ela não for mais necessária, exclua-a.

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, na seção **Chaves de acesso**, escolha o menu suspenso **Ações** para a chave de acesso inativa e, em seguida, **Excluir**.

1. Na caixa de diálogo **Excluir**, confirme que você deseja excluir a chave de acesso inserindo o ID da chave de acesso no campo de entrada de texto e, em seguida, selecionando **Excluir**.

Depois que uma chave de acesso é excluída, ela não pode ser recuperada.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Para listar as chaves de acesso de um usuário do IAM
<a name="admin-list-access-key"></a>

Você pode visualizar uma lista dos IDs de chave de acesso associados a um usuário do IAM. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, a seção **Chaves de acesso** lista as chaves de acesso do usuário.

Cada usuário do IAM pode ter duas chaves de acesso.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Para listar as chaves de acesso de um usuário do IAM
<a name="admin-list-access-key"></a>

Você pode visualizar uma lista dos IDs de chave de acesso associados a um usuário do IAM. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Na guia **Credenciais de segurança**, a seção **Chaves de acesso** lista os IDs de chave de acesso do usuário, incluindo o status de cada chave exibida.
**nota**  
Somente o ID de chave de acesso do usuário é visível. A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Cada usuário do IAM pode ter duas chaves de acesso.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Para exibir todos os IDs de chave de acesso dos usuários na conta
<a name="admin-list-all-access-keys"></a>

É possível visualizar uma lista dos IDs de chave de acesso dos usuários na Conta da AWS. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Escolha o nome do usuário para ir para a página de detalhes do usuário.

1. Se necessário, adicione a coluna **Access key ID** à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, na extrema direita, selecione o ícone de **Preferências** (![\[Preferences icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Na caixa de diálogo **Preferências**, em **Selecionar colunas visíveis**, ative o **ID da chave de acesso**.

   1. Escolha **Confirmar** para retornar à lista de usuários. A lista é atualizada para incluir o ID da chave de acesso.

1. A coluna **ID da chave de acesso** mostra o estado de cada chave de acesso, seguido de seu ID; por exemplo, **`Active - AKIAIOSFODNN7EXAMPLE`** ou **`Inactive - AKIAI44QH8DHBEXAMPLE`**. 

   Você pode usar essas informações para visualizar e copiar os IDs das chaves de acesso para usuários com uma ou duas chaves de acesso. A coluna exibe **`-`** para usuários sem chave de acesso.
**nota**  
A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Cada usuário do IAM pode ter duas chaves de acesso.

------

## Para usar um ID de chave de acesso para localizar um usuário
<a name="admin-find-user-access-keys"></a>

Você pode usar um ID de chave de acesso para localizar um usuário na Conta da AWS. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, na caixa de pesquisa, insira o **ID da chave de acesso**. Por exemplo, AKIAI44QH8DHBEXAMPLE. 

1. O usuário do IAM ao qual o ID da chave de acesso está associado aparece no painel de navegação. Escolha o nome do usuário para ir para a página de detalhes do usuário.

------

## Para localizar o uso mais recente de um ID de chave de acesso
<a name="admin-find-most-recent-use-access-keys"></a>

O uso mais recente de uma chave de acesso é exibido na lista do usuário na página de usuários do IAM, na página de detalhes do usuário, e faz parte do relatório de credenciais. 

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Na lista de usuários, consulte a coluna **Chave de acesso usada pela última vez**.

   Se a coluna não for exibida, escolha o ícone de **Preferências** (![\[Preferences icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)) e, em **Selecionar colunas visíveis**, ative **Última chave de acesso usada** para exibir a coluna.

1. (opcional) No painel de navegação, em **Relatórios de acesso**, selecione **Relatório de credenciais** para fazer download de um relatório que inclua as informações da última chave de acesso usada para todos os usuários do IAM na conta.

1. (opcional) Selecione o usuário do IAM para visualizar os detalhes de usuário. A seção **Resumo** inclui os IDs das chaves de acesso, o status e quando foram usadas pela última vez.

------
#### [ AWS CLI ]

Execute este comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

------
#### [ API ]

Chame a seguinte operação:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) 

------

# Atualizar chaves de acesso
<a name="id-credentials-access-keys-update"></a>

Como [melhor prática](best-practices.md#update-access-keys) de segurança, sugerimos atualizar as chaves de acesso do usuário do IAM quando necessário, por exemplo, quando um funcionário sair da sua empresa. Os usuários do IAM poderão atualizar suas próprias chaves de acesso se tiverem recebido as permissões necessárias.

Para obter detalhes sobre a concessão de permissões aos usuários do IAM para atualizar suas próprias chaves de acesso, consulte [AWS: permite que os usuários do IAM gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md). Você também pode aplicar uma política de senha à sua conta para exigir que todos os seus usuários do IAM atualizem suas senhas periodicamente e definir a frequência com a qual eles devem fazer isso. Para obter mais informações, consulte [Definir uma política de senhas de contas para usuários do IAM](id_credentials_passwords_account-policy.md). 

**nota**  
Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. A chave de acesso secreta pode ser recuperada somente no momento em que você a cria. Use esse procedimento para desativar e substituir chaves de acesso perdidas por novas credenciais.

**Topics**
+ [Atualização das chaves de acesso do usuário do IAM (console)](#rotating_access_keys_console)
+ [Atualização das chaves de acesso (AWS CLI)](#rotating_access_keys_cli)
+ [Atualização de chaves de acesso (API da AWS)](#rotating_access_keys_api)

## Atualização das chaves de acesso do usuário do IAM (console)
<a name="rotating_access_keys_console"></a>

É possível atualizar as chaves de acesso via Console de gerenciamento da AWS.

**Para atualizar as chaves de acesso de um usuário do IAM sem interromper suas aplicações (console)**

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso.

   1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. No painel de navegação, escolha **Usuários**.

   1. Selecione o nome do usuário desejado e, em seguida, selecione a guia **Credenciais de segurança**.

   1. Na seção **Chaves de acesso**, escolha **Criar chave de acesso**. Na página **Access key best practices & alternatives** (Práticas recomendadas e alternativas da chave de acesso), escolha **Other** (Outro) e escolha **Next** (Avançar).

   1. (Opcional) Defina um valor de etiqueta de descrição para a chave de acesso para adicionar um par chave-valor de etiqueta a esse usuário do IAM. Isso pode ajudar a identificar e a atualizar as chaves de acesso posteriormente. A chave da etiqueta é definida como o ID da chave de acesso. O valor da etiqueta é definido com a descrição da chave de acesso que você especifica. Quando terminar, escolha **Create access key** (Criar chave de acesso).

   1. Na página **Retrieve access keys** (Recuperar chaves de acesso), escolha **Show** (Exibir) para revelar o valor da chave de acesso secreta do usuário ou **Download .csv file** (Baixar o arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Depois de salvar a chave de acesso secreta em um local seguro, escolha **Done** (Concluído).

      Quando você cria uma chave de acesso para seu usuário, o par de chaves é ativo por padrão, e você pode usar o par imediatamente. Neste momento, o usuário terá duas chaves de acesso ativas.

1. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

1. <a name="id_credentials_access-keys-key-still-in-use"></a>Determine se a primeira chave de acesso ainda está em uso, analisando a informação **Last used** (Usado pela última vez) da chave de acesso mais antiga. Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

1. Mesmo se a informação **Last used** (Usada pela última vez) indicar que a chave antiga nunca foi usada, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, escolha **Actions** (Ações) e escolha **Deactivate** (Desativar) para desativar a primeira chave de acesso.

1. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, você poderá reativar a primeira chave de acesso. Em seguida, retorne a [Step 3](#id_credentials_access-keys-key-still-in-use) e atualize esse aplicativo para usar a nova chave.

1. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso:

   1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. No painel de navegação, escolha **Usuários**.

   1. Selecione o nome do usuário desejado e, em seguida, selecione a guia **Credenciais de segurança**.

   1. Na seção **Access keys** (Chaves de acesso) da chave de acesso que deseja excluir, escolha **Actions** (Ações) e escolha **Delete** (Excluir). Siga as instruções na caixa de diálogo para primeiro **Deactivate** (Desativar) e depois confirme a exclusão.

**Para determinar quais chaves de acesso precisam ser atualizadas ou excluídas (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Se necessário, adicione a coluna **Idade da chave de acesso** à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações (![\[Settings icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Em **Gerenciar colunas**, selecione **Idade da chave de acesso**.

   1. Escolha **Fechar** para retornar à lista de usuários.

1. A coluna **Idade da chave de acesso** mostra o número de dias desde que a chave de acesso ativa mais antiga foi criada. É possível usar essas informações para encontrar usuários com chaves de acesso que precisem ser atualizadas ou excluídas. A coluna exibe **Nenhum** para usuários sem chaves de acesso.

## Atualização das chaves de acesso (AWS CLI)
<a name="rotating_access_keys_cli"></a>

É possível atualizar as chaves de acesso via AWS Command Line Interface.

**Para atualizar chaves de acesso sem interromper suas aplicações (AWS CLI)**

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Execute o seguinte comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     Neste momento, o usuário terá duas chaves de acesso ativas.

1. <a name="step-update-apps"></a>Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

1. <a name="step-determine-use"></a>Determinar se a primeira chave de acesso ainda está em uso por meio deste comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

1. Mesmo se etapa [Step 3](#step-determine-use) indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para `Inactive` usando este comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para `Active` para reativar a primeira chave de acesso. Em seguida, retorne à etapa [Step 2](#step-update-apps) e atualize esse aplicativo para usar a nova chave.

1. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso com este comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## Atualização de chaves de acesso (API da AWS)
<a name="rotating_access_keys_api"></a>

É possível atualizar chaves de acesso usando a API da AWS.

**Para atualizar chaves de acesso sem interromper suas aplicações (API da AWS)**

1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Chame a seguinte operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     Neste momento, o usuário terá duas chaves de acesso ativas.

1. <a name="step-update-apps-2"></a>Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

1. <a name="step-determine-use-2"></a>Determinar se a primeira chave de acesso ainda está em uso chamando esta operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

1. Mesmo se etapa [Step 3](#step-determine-use-2) indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para `Inactive` chamando esta operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para `Active` para reativar a primeira chave de acesso. Em seguida, retorne à etapa [Step 2](#step-update-apps-2) e atualize esse aplicativo para usar a nova chave.

1. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso chamando esta operação:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)

# Proteger chaves de acesso
<a name="securing_access-keys"></a>

Qualquer pessoa que tem suas chaves de acesso possui o mesmo nível de acesso a seus recursos da AWS que você tiver. Consequentemente, a AWS executa vários procedimentos para proteger suas chaves de acesso e, de acordo com o nosso [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/), você deve fazer o mesmo. 

Expanda as seções a seguir para obter orientação sobre como proteger suas chaves de acesso. 

**nota**  
Sua organização pode ter requisitos e políticas de segurança diferentes dos descritos neste tópico. As sugestões fornecidas aqui devem ser usadas como diretrizes gerais. 

## Remova (ou não gere) as chaves de acesso de Usuário raiz da conta da AWS
<a name="root-password"></a>

**Uma das melhores maneiras de proteger a sua conta é não ter chaves de acesso para seu Usuário raiz da conta da AWS.** A não ser que você tenha que ter chaves de acesso do usuário raiz (algo que é raro), é melhor não criá-las. Em vez disso, crie um usuário administrativo Centro de Identidade do AWS IAM para as tarefas administrativas diárias. Para obter informações sobre como criar um usuário administrativo no Centro de Identidade do IAM, consulte [Introdução](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) no *Guia do usuário do Centro de Identidade do IAM*.

Se você já tiver uma chave de acesso para o usuário raiz, recomendamos o seguinte: encontre lugares em suas aplicações onde você usa chaves de acesso (se houver) e substitua a chave de acesso do usuário raiz por chaves de acesso de usuário do IAM. Em seguida, desabilite e remova as chaves de acesso do usuário raiz. Para obter mais informações sobre como atualizar as chaves de acesso, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md)



## Usar credenciais de segurança temporárias (perfis do IAM) em vez de chaves de acesso de longo prazo
<a name="use-roles"></a>

Em muitos casos, você não precisa de chaves de acesso de longo prazo que nunca expiram (como há no caso de um usuário do IAM). Em vez disso, você pode criar perfis do IAM e gerar credenciais de segurança temporárias. As credenciais de segurança temporárias consistem em um ID da chave de acesso e uma chave de acesso secreta, mas elas também incluem um token de segurança que indica quando as credenciais expiram. 

As chaves de acesso de longo prazo, como aquelas associadas a contas de usuários do IAM e ao usuário raiz, permanecem válidas até serem revogadas manualmente. No entanto, as credenciais de segurança temporárias obtidas por meio de perfis do IAM e outros recursos do AWS Security Token Service expiram após um curto período. Use credenciais de segurança temporárias para ajudar a reduzir os riscos em caso de credenciais que sejam expostas acidentalmente.

Use um perfil do IAM e credenciais de segurança temporárias nestes cenários:
+ **Você tem uma aplicação ou scripts da AWS CLI em execução em uma instância do Amazon EC2**. Não use chaves de acesso diretamente em sua aplicação. Não passe uma chave de acesso para a aplicação, não incorpore-a na aplicação nem deixe que a aplicação leia chaves de acesso de nenhuma fonte. Em vez disso, defina um perfil do IAM que tenha as permissões apropriadas para sua aplicação e execute a instância do Amazon Elastic Compute Cloud (Amazon EC2) com [perfis para o EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Fazer isso associará um perfil do IAM à instância do Amazon EC2. Essa prática também permite que a aplicação obtenha credenciais de segurança temporárias que ela pode, por sua vez, usar para fazer chamadas programáticas para a AWS. Os SDKs da AWS e a AWS Command Line Interface (AWS CLI) podem obter credenciais temporárias do perfil automaticamente. 
+ **Você precisa conceder acesso entre contas.** Use um perfil do IAM para estabelecer confiança entre contas e, em seguida, conceda aos usuários em uma conta permissões limitadas para acessar a conta confiável. Para obter mais informações, consulte [Tutorial do IAM: Delegar acesso entre contas da AWS usando funções do IAM](tutorial_cross-account-with-roles.md).
+ **Você tem um aplicativo móvel.** Não integre chaves de acesso à aplicação, mesmo em armazenamento criptografado. Em vez disso, use o [Amazon Cognito](https://aws.amazon.com/cognito/) para gerenciar a identidade do usuário na sua aplicação. Esse serviço permite autenticar os usuários usando login com o Amazon, Facebook, Google ou qualquer provedor de identidade compatível com o OpenID Connect (OIDC). Em seguida, é possível usar o provedor de credenciais do Amazon Cognito para gerenciar credenciais que sua aplicação use para fazer solicitações à AWS.
+ **Você deseja centralizar-se na AWS e sua organização tem suporte para SAML 2.0.** Se você trabalha para uma organização que tenha um provedor de identidade compatível com o SAML 2.0, configure o provedor para usar o SAML. É possível usar o SAML para trocar informações de autenticação com a AWS e obter novamente um conjunto de credenciais de segurança temporárias. Para obter mais informações, consulte [Federação SAML 2.0](id_roles_providers_saml.md).
+ **Você deseja se federar na AWS e sua organização tem um armazenamento de identidades on-premises**. Se os usuários podem autenticar dentro da sua organização, você poderá escrever um aplicativo que emite a eles credenciais de segurança temporárias para acesso a recursos da AWS. Para obter mais informações, consulte [Habilitar o acesso do intermediador de identidades personalizado ao console da AWS](id_roles_providers_enable-console-custom-url.md).
+ **Use condições nas políticas do IAM para permitir somente o acesso das redes esperadas.** Você pode limitar onde e como suas chaves de acesso são usadas ao implementar [políticas do IAM com condições](reference_policies_elements_condition_operators.md) que especificam e permitem somente redes esperadas, como seus endereços IP públicos ou nuvens privadas virtuais (VPCs). Dessa forma, você sabe que as chaves de acesso só poderão ser usadas em redes esperadas e aceitáveis. 

**nota**  
Você está usando uma instância do Amazon EC2 com uma aplicação que precisa de acesso programático a recursos da AWS? Se sim, use [perfis do IAM para EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).

## Gerenciar chaves de acesso de usuário do IAM corretamente
<a name="iam-user-access-keys"></a>

Se for necessário criar chaves de acesso para acesso programático à AWS, crie-as para usuários do IAM, concedendo aos usuários somente as permissões necessárias.

Observe estas precauções para ajudar a proteger as chaves de acesso de usuários do IAM:
+ **Não incorpore chaves de acesso diretamente no código.** Os [SDKs da AWS](https://aws.amazon.com/tools/#sdk) e as [Ferramentas da linha de comando da AWS](https://aws.amazon.com/tools/#cli) permitem colocar chaves de acesso em pontos conhecidos para que você não precise mantê-las no código. 

  Coloque chaves de acesso em um dos seguintes locais:
  + **O arquivo de credenciais da AWS.** Os SDKs da AWS e a AWS CLI usam automaticamente as credenciais que você armazena no arquivo de credenciais da AWS. 

    Para obter informações sobre como usar o arquivo de credenciais da AWS, consulte a documentação do SDK. Os exemplos incluem [Configurar credenciais e região da AWS](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) no *Guia do desenvolvedor do AWS SDK para Java* e [Arquivos de configuração e credenciais](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) no *Guia do usuário da AWS Command Line Interface*.

    Para armazenar credenciais para o AWS SDK para .NET e o AWS Tools for Windows PowerShell, recomendamos que você use a SDK Store. Para obter mais informações, consulte [Utilização da SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) no *Guia do desenvolvedor do AWS SDK para .NET*.
  + **Variáveis de ambiente.** Em um sistema multicliente, escolha as variáveis de ambiente do usuário, não as variáveis de ambiente do sistema. 

    Para obter mais informações sobre o uso de variáveis de ambiente para armazenar credenciais, consulte [Variáveis de ambiente](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) no *Guia do usuário da AWS Command Line Interface*. 
+ **Use chaves de acesso diferentes para aplicativos diferentes.** Faça isso para que seja possível isolar as permissões e revogar as chaves de acesso para aplicações específicas caso elas sejam expostas. Ter chaves de acesso separadas para diferentes aplicativos também gera entradas distintas em arquivos de log do [AWS CloudTrail](https://aws.amazon.com/cloudtrail/). Essa configuração facilita a determinação de qual aplicativo executou ações específicas. 
+ **Atualize as chaves de acesso quando necessário.** Se houver risco de comprometimento da chave de acesso, atualize a chave de acesso e exclua a chave de acesso anterior. Para obter detalhes, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md) 
+ **Remover chaves de acesso não utilizadas.** Se um usuário sair da sua organização, remova o usuário do IAM correspondente para que ele não possa mais acessar seus recursos. Para saber quando uma chave de acesso foi usada pela última vez, use a API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) (comando da AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Use credenciais temporárias e configure a autenticação multifator para suas operações de API mais confidenciais.** Com as políticas do IAM, você pode especificar quais operações de API um usuário tem permissão para chamar. Em alguns casos, talvez você deseje obter segurança adicional para exigir que os usuários sejam autenticados com a MFA da AWS antes que eles tenham permissão para executar ações particularmente confidenciais. Por exemplo, você pode ter uma política que permita que um usuário execute as ações `RunInstances`, `DescribeInstances` e `StopInstances` do Amazon EC2. Mas você pode restringir uma ação destrutiva, tal como `TerminateInstances` e garantir que os usuários possam executar essa ação apenas se eles autenticarem com um dispositivo MFA da AWS. Para obter mais informações, consulte [Acesso seguro à API com a MFA](id_credentials_mfa_configure-api-require.md).

## Acessar o aplicativo móvel usando chaves de acesso da AWS
<a name="access-keys-mobile-app"></a>

Você pode acessar um conjunto limitado de serviços e recursos da AWS usando o aplicativo móvel AWS. O aplicativo móvel ajuda a oferecer suporte à resposta a incidentes em trânsito. Para obter mais informações e fazer download do aplicativo, consulte [Aplicativo móvel do console da AWS](https://aws.amazon.com/console/mobile/).

Você pode fazer login no aplicativo móvel usando sua senha do console ou suas chaves de acesso. Como prática recomendada, não use chaves de acesso de usuário raiz. Em vez disso, recomendamos enfaticamente que, além de utilizar uma senha ou um acesso biométrico no seu dispositivo móvel, criar um usuário do IAM especificamente para gerenciar os recursos da AWS usando a aplicação móvel. Caso você perca dispositivo móvel, poderá remover o acesso do usuário do IAM.

**Para fazer login usando chaves de acesso (aplicativo móvel)**

1. Abra o aplicativo no dispositivo móvel.

1. Se esta for a primeira vez que você adiciona uma identidade ao dispositivo, escolha **Add an identity (Adicionar uma identidade)** e selecione **Access keys (Chaves de acesso)**.

   Se você já fez login usando outra identidade, escolha o ícone de menu e selecione **Switch identity (Alternar identidade)**. Depois escolha **Sign in as a different identity (Fazer login como uma identidade diferente)** e **Access keys (Chaves de acesso)**.

1. Na página **Access keys (Chaves de acesso)**, insira suas informações:
   + **ID da chave de acesso**: insira o ID da sua chave de acesso.
   + **Chave de acesso secreta**: insira sua chave de acesso secreta.
   + **Nome da identidade**: insira o nome da identidade que aparecerá na aplicação móvel. Ele não precisa ser igual ao seu nome de usuário do IAM.
   + **PIN de identidade**: crie um número de identificação pessoal (PIN) que você usará para futuros logins.
**nota**  
Se habilitar a biometria para o aplicativo móvel da AWS, você será solicitado a usar sua impressão digital ou o reconhecimento facial para verificação em vez do PIN. Se a biometria falhar, você poderá ser solicitado a fornecer o PIN.

1. Escolha **Verify and add keys (Verificar e adicionar chaves)**.

   Agora você pode acessar um conjunto selecionado dos seus recursos usando o aplicativo móvel.

## Informações relacionadas
<a name="more-resources"></a>

Os tópicos a seguir fornecem diretrizes para a configuração dos SDKs da AWS e da AWS CLI para o uso das chaves de acesso.
+ [Defina as credenciais e a região da AWS](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) no *Guia do desenvolvedor do AWS SDK para Java*
+ [Utilização da SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) no *Guia do desenvolvedor do AWS SDK para .NET*
+ [Fornecimento de credenciais para o SDK](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html) no *Guia do desenvolvedor do AWS SDK para PHP*
+ [Configuração](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) na documentação do Boto 3 (SDK da AWS para Python)
+ [Uso de credenciais da AWS](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) no *Guia do usuário do AWS Tools for Windows PowerShell* 
+ [Arquivos de configuração e credenciais](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) no *Guia do usuário da AWS Command Line Interface* 
+ [Concessão de acesso usando um perfil do IAM](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) no *Guia do desenvolvedor do AWS SDK para .NET*
+ [Configuração de perfis do IAM para o Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) no *AWS SDK for Java 2.x*

## Usar credenciais da chave secreta e chave de acesso para acesso ao console
<a name="console-access-security-keys"></a>

É possível usar credenciais da chave secreta e chave de acesso para acesso direto ao Console de gerenciamento da AWS, não apenas à AWS CLI. Isso pode ser feito usando a chamada de API [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) do AWS STS. Ao criar um URL de console usando as credenciais temporárias e o token fornecidos pelo `GetFederationToken`, as entidades principais do IAM podem acessar o console. Para obter mais informações, consulte [Habilitar o acesso do intermediador de identidades personalizado ao console da AWS](id_roles_providers_enable-console-custom-url.md).

Vale esclarecer que, ao fazer login no console diretamente usando credenciais do IAM ou de usuário-raiz com o MFA ativado, o MFA será necessário. No entanto, se o método descrito acima (usar credenciais temporárias com `GetFederationToken`) for usado, o MFA NÃO será necessário.



## Fazer auditoria de chaves de acesso
<a name="Using_access-keys-audit"></a>

É possível revisar as chaves de acesso da AWS em seu código para determinar se as chaves são de uma conta que você possui. É possível transmitir um ID de chave de acesso usando o comando [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) da AWS CLI ou a operação da API [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) da AWS.

As operações de API da AWS e da AWS CLI retornam o ID da Conta da AWS à qual a chave de acesso pertence. Os IDs de chave de acesso que começam com `AKIA` são credenciais de longo prazo para um usuário do IAM ou um Usuário raiz da conta da AWS. Os IDs de chave de acesso que começam com `ASIA` são credenciais temporárias que são criadas usando operações do AWS STS. Se a conta na resposta pertencer a você, você poderá fazer login como usuário raiz e revisar suas chaves de acesso de usuário raiz. Em seguida, você pode obter um [relatório de credenciais](id_credentials_getting-report.md) para saber qual usuário do IAM é o proprietário das chaves. Para saber quem solicitou as credenciais temporárias para uma chave de acesso `ASIA`, visualize os eventos do AWS STS nos logs do CloudTrail.

Por motivos de segurança, você pode [revisar logs do AWS CloudTrail](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) para saber quem executou uma ação na AWS. Você pode usar a chave de condição `sts:SourceIdentity` na política de confiança da função para exigir que os usuários especifiquem uma identidade quando assumirem uma função. Por exemplo, você pode exigir que os usuários do IAM especifiquem seu próprio nome de usuário como a identidade-fonte. Isso pode ajudar você a determinar qual usuário executou uma ação específica na AWS. Para obter mais informações, consulte [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).

Essa operação não indica o estado da chave de acesso. A chave pode estar ativa, inativa ou excluída. As chaves ativas podem não ter permissões para executar uma operação. Fornecer uma chave de acesso excluída pode retornar um erro informando que a chave não existe.

# Código da autenticação multifator no IAM da AWS
<a name="id_credentials_mfa"></a>

Para obter mais segurança, recomendamos que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS. Você pode habilitar a MFA para os Usuário raiz da conta da AWS de todas as Contas da AWS, incluindo contas autônomas, contas de gerenciamento e contas de membros, bem como para os usuários do IAM. Sempre que possível, recomendamos usar MFA resistente a phishing, como chaves de acesso e chaves de segurança. Esses autenticadores baseados em FIDO usam criptografia de chave pública e são resistentes a ataques de phishing, man-in-the-middle e replay, fornecendo um nível de segurança mais forte do que as opções baseadas em TOTP.

A MFA é aplicada a todos os tipos de conta do usuário-raiz. Para obter mais informações, consulte [Proteja as credenciais de usuário-raiz da sua conta do AWS Organizations](root-user-best-practices.md#ru-bp-organizations). 

Quando você habilitar a MFA para o usuário raiz, ela afetará somente as credenciais do usuário raiz. Os usuários do IAM na conta são identidades distintas com suas próprias credenciais, e cada identidade tem sua própria configuração de MFA. Para obter mais informações sobre como usar a MFA para proteger o usuário-raiz, consulte [Autenticação multifator para Usuário raiz da conta da AWS](enable-mfa-for-root.md).

Seu Usuário raiz da conta da AWS e usuários do IAM podem registrar até oito dispositivos MFA de qualquer tipo. O registro de vários dispositivos de MFA pode oferecer flexibilidade e ajudar a reduzir o risco de interrupção do acesso se um dispositivo for perdido ou quebrado. Basta um dispositivo MFA para acessar o Console de gerenciamento da AWS ou criar uma sessão pela AWS CLI.

**nota**  
Recomendamos exigir que seus usuários humanos usem credenciais temporárias ao acessar a AWS. Você já pensou em usar o Centro de Identidade do AWS IAM? O IAM Identity Center pode ser usado para gerenciar centralmente o acesso a várias Contas da AWS e fornecer aos usuários acesso de logon único protegido por MFA a todas as contas atribuídas em um só lugar. Com o IAM Identity Center, é possível criar e gerenciar identidades de usuários no IAM Identity Center ou conectar facilmente ao provedor de identidades compatível com SAML 2.0 existente. Para obter mais informações, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.

A MFA adiciona segurança extra que exige que os usuários forneçam autenticação exclusiva de um mecanismo de MFA compatível com a AWS, além de credenciais de login, quando acessam sites ou serviços da AWS.

## Tipos de MFA
<a name="id_credentials_mfa-types"></a>

A AWS é compatível com os seguintes tipos de MFA:

**Contents**
+ [Chaves de acesso e chaves de segurança](#passkeys-security-keys-for-iam-users)
+ [Aplicações de autenticador virtual](#virtual-auth-apps-for-iam-users)
+ [Tokens físicos de TOTP](#hardware-totp-token-for-iam-users)

### Chaves de acesso e chaves de segurança
<a name="passkeys-security-keys-for-iam-users"></a>

A AWS Identity and Access Management é compatível com chaves de acesso e chaves de segurança para MFA. Com base nos padrões FIDO, chaves de acesso usam criptografia de chave pública para proporcionar uma autenticação forte e resistente a phishing que é mais segura do que as senhas. A AWS é compatível com dois tipos de chaves de acesso: chaves de acesso vinculadas a dispositivo (chaves de segurança) e chaves de acesso sincronizadas.
+ **Chaves de segurança**: dispositivos físicos, como a YubiKey, usados como segundo fator de autenticação. Uma única chave de segurança é compatível com várias contas de usuário-raiz e usuários do IAM.
+ **Chaves de acesso sincronizadas**: usam gerenciadores de credenciais de provedores como Google, Apple, contas da Microsoft e serviços de terceiros, como 1Password, Dashlane e Bitwarden, como segundo fator.

É possível usar autenticadores biométricos integrados, como Touch ID em Apple MacBooks, para desbloquear seu gerenciador de credenciais e fazer login na AWS. As chaves de acesso são criadas com o provedor escolhido usando sua impressão digital, rosto ou PIN do dispositivo. É possível usar uma chave de acesso de autenticação entre dispositivos (CDA) de um dispositivo, como um dispositivo móvel ou uma chave de segurança de hardware, para entrar em outro dispositivo, como um laptop. Para obter mais informações, consulte [autenticação entre dispositivos](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

É possível sincronizar chaves de acesso em seus dispositivos para facilitar o login na AWS e aprimorar a usabilidade e a capacidade de recuperação. Para obter mais informações sobre como habilitar chaves de acesso e chaves de segurança, consulte [Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)](enable-fido-mfa-for-root.md).

A FIDO Alliance conta com uma lista de todos os [produtos certificados pela FIDO](https://fidoalliance.org/certification/fido-certified-products/) compatíveis com as especificações da FIDO.

### Aplicações de autenticador virtual
<a name="virtual-auth-apps-for-iam-users"></a>

Uma aplicação de autenticador virtual funciona em um telefone ou outro dispositivo e emula um dispositivo físico. As aplicações de autenticação virtual implementam o algoritmo de [senha de uso único com marcação temporal](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) e oferecem suporte a vários tokens em um único dispositivo. O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de acesso. Cada token atribuído a um usuário deve ser exclusivo. O usuário não pode digitar um código do token de outro usuário para se autenticar.

Recomendamos usar MFA resistente a phishing, [como chaves de acesso ou chaves de segurança](#passkeys-security-keys-for-iam-users), para obter a proteção mais forte. Se ainda não for possível usar chaves de acesso ou chaves de segurança, recomendamos usar um dispositivo MFA virtual como medida provisória enquanto aguarda a aprovação da compra do hardware ou aguarda a chegada do hardware. Para obter uma lista de algumas aplicações compatíveis que podem ser usadas como dispositivos de MFA virtuais, consulte [Autenticação multifator (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).

Para obter instruções sobre como configurar um dispositivo virtual de MFA para um usuário do IAM, consulte [Atribuir um dispositivo MFA virtual ao Console de gerenciamento da AWS](id_credentials_mfa_enable_virtual.md).

**nota**  
Os dispositivos virtuais de MFA não atribuídos na Conta da AWS são excluídos quando você adiciona novos dispositivos virtuais de MFA por meio do Console de gerenciamento da AWS ou durante o processo de login. Dispositivos virtuais de MFA não atribuídos são dispositivos na conta, mas que não são usados pelo usuário-raiz da conta ou pelos usuários do IAM no processo de login. Eles são excluídos para que novos dispositivos virtuais de MFA possam ser adicionados à conta. Também é possível reutilizar nomes de dispositivos.  
Para visualizar dispositivos virtuais de MFA não atribuídos na conta, você pode usar o comando [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) da AWS CLI ou a chamada de [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html).
Para desativar um dispositivo virtual de MFA, você pode usar o comando [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) da AWS CLI ou a chamada de [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html). O dispositivo ficará sem atribuição.
Para anexar um dispositivo virtual de MFA não atribuído ao usuário-raiz da Conta da AWS ou aos usuários do IAM, você precisará do código de autenticação gerado pelo dispositivo junto com o comando [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html) da AWS CLI ou a chamada de [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html).

### Tokens físicos de TOTP
<a name="hardware-totp-token-for-iam-users"></a>

Um dispositivo físico gera um código numérico de seis dígitos baseado no [algoritmo de senha de uso único com marcação temporal (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238). O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login.

Esses tokens são usados exclusivamente com Contas da AWS. Você só pode usar tokens que compartilhem as sementes de token com a de modo seguro AWS. Sementes de token são chaves secretas geradas no momento da produção dos tokens. Tokens comprados de outras fontes não funcionam com o IAM. Para garantir compatibilidade, você deve comprar seu dispositivo físico de MFA em um dos seguintes links: [token de OTP](https://www.amazon.com/SafeNet-IDProve-Time-based-6-Digit-Services/dp/B002CRN5X8) ou [cartão com visor de OTP](https://www.amazon.com/SafeNet-IDProve-Card-Amazon-Services/dp/B00J4NGUO4).
+ Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos físicos de MFA compatíveis, consulte [autenticação multifator (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
+ Se você quiser usar um dispositivo físico de MFA, recomendamos que use chaves de segurança como alternativa aos dispositivos físicos de TOTP. As chaves de segurança não precisam de bateria, são resistentes a phishing e oferecem suporte a vários usuários em um único dispositivo.

Você só pode habilitar uma chave de acesso ou uma chave de segurança no Console de gerenciamento da AWS, não na AWS CLI ou na API da AWS. Antes que possa habilitar uma chave de segurança, você deve ter acesso físico ao dispositivo.

Para obter instruções sobre como configurar um token físico de TOTP para um usuário do IAM, consulte [Atribuir um token de hardware TOTP ao Console de gerenciamento da AWS](id_credentials_mfa_enable_physical.md).

**nota**  
**MFA baseada em mensagem de texto de SMS**: a AWS não é mais compatível com a habilitação de autenticação multifator (MFA) por SMS. Recomendamos que os clientes com usuários do IAM que usem MFA baseada em mensagem de texto por SMS mudem para um dos seguintes métodos alternativos: [chave de acesso ou chave de segurança](id_credentials_mfa_enable_fido.md), [dispositivo virtual de MFA (baseado em software)](id_credentials_mfa_enable_virtual.md) ou [dispositivo físico de MFA](id_credentials_mfa_enable_physical.md). Você pode identificar os usuários da sua conta com um dispositivo de MFA por SMS atribuído. No console do IAM, selecione **Users** (Usuários) no painel de navegação e procure os usuários com **SMS** na coluna **MFA** da tabela.

## Recomendações para MFA
<a name="id_credentials_mfa-recommendations"></a>

Para ajudar a proteger suas identidades da AWS, siga as recomendações a seguir para autenticação MFA. 
+ Recomendamos usar MFA resistente a phishing, como [chaves de acesso e chaves de segurança](#passkeys-security-keys-for-iam-users), como dispositivo MFA. Esses autenticadores baseados em FIDO oferecem a proteção mais forte contra ataques como phishing.
+ Recomendamos habilitar vários dispositivos com MFA para o Usuário raiz da conta da AWS e usuários do IAM em suas Contas da AWS. Isso permite aumentar o nível de segurança das Contas da AWS e simplificar o gerenciamento do acesso a usuários altamente privilegiados, como o Usuário raiz da conta da AWS.
+ Você pode registrar até **oito** dispositivos com MFA de qualquer combinação dos [ tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) com seu Usuário raiz da conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o Console de gerenciamento da AWS ou criar uma sessão pela AWS CLI como esse usuário. Um usuário do IAM deve se autenticar com um dispositivo de MFA existente para habilitar ou desabilitar um dispositivo de MFA adicional.
+ Caso o dispositivo de MFA seja perdido, roubado ou esteja inacessível, você pode usar um dos dispositivos de MFA restantes para acessar a Conta da AWS sem realizar o procedimento de recuperação de Conta da AWS. Se um dispositivo de MFA for perdido ou roubado, ele deverá ser desassociado da entidade principal do IAM ao qual está associado.
+ O uso de vários MFA permite que seus funcionários em locais geograficamente distribuídos ou trabalhando remotamente usem MFA baseada em hardware para acessar a AWS sem precisar coordenar a troca física de um único dispositivo de hardware entre funcionários.
+ O uso de dispositivos MFA adicionais para entidades principais do IAM permite que você use um ou mais MFAs para uso diário, além de manter os dispositivos físicos de MFA em um local físico seguro, como um cofre, para fins de backup e redundância.

**Observações**  
Você não pode transmitir as informações de MFA de uma chave de segurança ou chave de acesso para operações de API do AWS STS para solicitar credenciais temporárias. É possível obter credenciais para uso com a AWS CLI e os AWS SDKs ao usar uma chave de segurança ou chave de acesso executando o comando `aws login`.
Você não pode usar comandos da AWS CLI ou operações de API da AWS para habilitar [chaves de segurança FIDO](id_credentials_mfa_enable_fido.md).
Não é possível usar o mesmo nome para mais de um usuário-raiz ou MFA do IAM.

## Recursos adicionais
<a name="id_credentials_mfa-resources"></a>

Os recursos a seguir podem ajudar você a saber mais sobre a MFA.
+ Para obter mais informações sobre como usar a MFA para acessar a AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).
+  Você pode aproveitar o Centro de Identidade do IAM para habilitar o acesso seguro com MFA ao portal de acesso da AWS, às aplicações integradas do Centro de Identidade do IAM e à AWS CLI. Para obter mais informações, consulte [Enable MFA in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html).

# Atribuir uma chave de acesso ou uma chave de segurança ao Console de gerenciamento da AWS
<a name="id_credentials_mfa_enable_fido"></a>

As chaves de acesso são um tipo de [dispositivo de autenticação multifator (MFA)](id_credentials_mfa.md) que você pode usar para proteger seus recursos da AWS. A AWS é compatível com chaves de acesso sincronizadas e chaves de acesso vinculadas a dispositivo, também conhecidas como chaves de segurança. 

As chaves de acesso sincronizadas permitem que os usuários do IAM acessem suas credenciais de login FIDO em muitos de seus dispositivos, até mesmo novos, sem precisar refazer o registro de todos os dispositivos em todas as contas. As chaves de acesso sincronizadas incluem gerenciadores de credenciais primários, como Google, Apple e Microsoft, e gerenciadores de credenciais de terceiros, como 1Password, Dashlane e Bitwarden, como um segundo fator. Você também pode usar a biometria no dispositivo (p. ex., TouchID ou FaceID) para desbloquear o gerenciador de credenciais escolhido para usar chaves de acesso. 

Como alternativa, as chaves de acesso vinculadas a dispositivo são vinculadas a uma chave de segurança FIDO que você conecta a uma porta USB do seu computador e, quando solicitado, toca para concluir com segurança o processo de login. Se você já usar uma chave de segurança FIDO com outros serviços e se ela tiver uma [configuração compatível com a AWS](id_credentials_mfa_fido_supported_configurations.md) (por exemplo, a YubiKey 5 Series da Yubico), também poderá usá-la com a AWS. Caso contrário, será necessário comprar uma chave de segurança FIDO se você quiser usar o WebAuthn for MFA na AWS. Além disso, as chaves de segurança FIDO podem comportar vários usuários do IAM ou raízes no mesmo dispositivo, o que aumenta sua utilidade para proteção da conta. Para especificações e informações sobre aquisição para ambos os tipos de dispositivo, consulte [Autenticação multifator](https://aws.amazon.com/iam/details/mfa/).

Você pode registrar até **oito** dispositivos com MFA de qualquer combinação dos [tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) com seu Usuário raiz da conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o Console de gerenciamento da AWS ou criar uma sessão pela AWS CLI como esse usuário. Recomendamos que você registre vários dispositivos de MFA. Por exemplo, você pode registrar um autenticador incorporado e também uma chave de segurança que você mantém em um local fisicamente seguro. Se você não conseguir usar o autenticador integrado, poderá usar sua chave de segurança registrada. Para aplicações autenticadoras, também recomendamos habilitar o atributo de backup ou de sincronização na nuvem para ajudar a evitar a perda de acesso à sua conta caso você perca ou quebre o dispositivo que contém as aplicações autenticadoras.

**nota**  
Recomendamos exigir que seus usuários humanos usem credenciais temporárias ao acessar a AWS. Seus usuários podem federar-se à AWS com um provedor de identidade, onde se autenticam usando suas credenciais corporativas e configurações de MFA. Para gerenciar o acesso à AWS e a aplicações empresariais, recomendamos usar o Centro de Identidade do IAM. Para obter mais informações, consulte o [Guia do usuário do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). 

**Topics**
+ [Permissões obrigatórias](#enable-fido-mfa-for-iam-user-permissions-required)
+ [Habilitar uma chave de acesso ou uma chave de segurança para seu próprio usuário do IAM (console)](#enable-fido-mfa-for-own-iam-user)
+ [Habilitar uma chave de acesso ou uma chave de segurança para outro usuário do IAM (console)](#enable-fido-mfa-for-iam-user)
+ [Substituir uma chave de acesso ou chave de segurança](#replace-fido-mfa)
+ [Configurações compatíveis com o uso de chaves de acesso e chaves de segurança](id_credentials_mfa_fido_supported_configurations.md)

## Permissões obrigatórias
<a name="enable-fido-mfa-for-iam-user-permissions-required"></a>

Para gerenciar uma chave de acesso FIDO para seu próprio usuário do IAM enquanto protege as ações confidenciais relacionadas à MFA, você deve ter as permissões da seguinte política:

**nota**  
Os valores de ARN são valores estáticos e não são um indicador do protocolo usado para registrar o autenticador. Descontinuamos o U2F, então todas as novas implementações usam o WebAuthn.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Habilitar uma chave de acesso ou uma chave de segurança para seu próprio usuário do IAM (console)
<a name="enable-fido-mfa-for-own-iam-user"></a>

Você só pode habilitar uma chave de acesso ou uma chave de segurança para seu próprio usuário do IAM no Console de gerenciamento da AWS, não na AWS CLI ou na API da AWS. Antes que possa habilitar uma chave de segurança, você deve ter acesso físico ao dispositivo.

**Para habilitar uma chave de acesso ou uma chave de segurança para seu próprio usuário do IAM (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link das credenciais de segurança do Console de gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na página do usuário do IAM selecionado, escolha a guia **Credenciais de segurança**.

1. Em **Multi-Factor Authentication (MFA)** (autenticação multifator [MFA]), escolha **Assign MFA device** (Atribuir dispositivo de MFA).

1. **Na página de **nome do dispositivo de MFA**, insira o **nome do dispositivo**, escolha **Chave de acesso ou Chave de segurança** e, em seguida, escolha Avançar**.

1. Em **Configurar dispositivo**, configure sua chave de acesso. Crie uma chave de acesso com dados biométricos, como seu rosto ou impressão digital, com um pin do dispositivo ou inserindo a chave de segurança FIDO na porta USB do seu computador e tocando nela.

1. Siga as instruções no seu navegador e escolha **Continuar**.

Agora, você registrou sua chave de acesso ou chave de segurança para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md). 

## Habilitar uma chave de acesso ou uma chave de segurança para outro usuário do IAM (console)
<a name="enable-fido-mfa-for-iam-user"></a>

Você só pode habilitar uma chave de acesso ou uma chave de segurança para outro usuário do IAM no Console de gerenciamento da AWS, não na AWS CLI ou na API da AWS.

**Para habilitar uma chave de acesso ou de segurança para outro usuário do IAM (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Em **Usuários**, escolha o nome do usuário para o qual deseja habilitar a MFA.

1. Na página do usuário do IAM selecionado, escolha a guia **Credenciais de segurança**. 

1. Em **Multi-Factor Authentication (MFA)** (autenticação multifator [MFA]), escolha **Assign MFA device** (Atribuir dispositivo de MFA).

1. **Na página de **nome do dispositivo de MFA**, insira o **nome do dispositivo**, escolha **Chave de acesso ou Chave de segurança** e, em seguida, escolha Avançar**.

1. Em **Configurar dispositivo**, configure sua chave de acesso. Crie uma chave de acesso com dados biométricos, como seu rosto ou impressão digital, com um pin do dispositivo ou inserindo a chave de segurança FIDO na porta USB do seu computador e tocando nela.

1. Siga as instruções no seu navegador e escolha **Continuar**.

Agora, você registrou uma chave de acesso ou de segurança para outro usuário do IAM usar na AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

## Substituir uma chave de acesso ou chave de segurança
<a name="replace-fido-mfa"></a>

Você pode ter até oito dispositivos de MFA com qualquer combinação dos [tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) atribuídos a um usuário ao mesmo tempo com seu Usuário raiz da conta da AWS e usuários do IAM. Se o usuário perder um autenticador compatível com FIDO ou precisar substituí-lo por algum motivo, primeiro você deverá desativar o autenticador FIDO antigo. Em seguida, você poderá adicionar um novo dispositivo MFA para o usuário.
+ Para desativar o dispositivo associado no momento a um usuário do IAM, consulte [Desativar um dispositivo com MFA](id_credentials_mfa_disable.md).
+ Para adicionar uma nova chave de segurança FIDO para um usuário do IAM, consulte [Habilitar uma chave de acesso ou uma chave de segurança para seu próprio usuário do IAM (console)](#enable-fido-mfa-for-own-iam-user).

Se você não tiver acesso a uma nova chave de acesso ou uma chave de segurança, poderá habilitar um novo dispositivo virtual de MFA ou um token físico de TOTP. Consulte um dos tópicos a seguir para obter instruções:
+ [Atribuir um dispositivo MFA virtual ao Console de gerenciamento da AWS](id_credentials_mfa_enable_virtual.md) 
+ [Atribuir um token de hardware TOTP ao Console de gerenciamento da AWS](id_credentials_mfa_enable_physical.md) 

# Configurações compatíveis com o uso de chaves de acesso e chaves de segurança
<a name="id_credentials_mfa_fido_supported_configurations"></a>

Você pode usar as chaves de acesso FIDO2 vinculadas a dispositivo, também conhecidas como chaves de autenticação multifator (MFA), no IAM usando as configurações compatíveis atuais. Dispositivos FIDO2 compatíveis com o IAM e navegadores compatíveis com FIDO2 estão incluídos. Antes de registrar o dispositivo FIDO2, verifique se você está usando a versão mais recente do navegador e do sistema operacional. O comportamento dos recursos pode ser diferente em diferentes navegadores, autenticadores e clientes de sistema operacional. Se o registro do dispositivo falhar em um navegador, você poderá tentar registrá-lo em outro navegador. 

FIDO2 é um padrão aberto de autenticação e uma extensão do FIDO U2F, oferecendo o mesmo alto nível de segurança com base em criptografia de chave pública. FIDO2 consiste na especificação W3C Web Authentication (API do WebAuthn) e no Client-to-Authentication Protocol (CTAP), um protocolo da camada de aplicação. O CTAP permite a comunicação entre cliente ou plataforma, como um navegador ou sistema operacional, e um autenticador externo. Quando você habilita um autenticador certificado por FIDO na AWS, a chave de segurança FIDO cria um novo par de chaves para uso somente na AWS. Primeiro, você insere suas credenciais. Quando solicitado, você tocará na chave de segurança, que responderá ao desafio de autenticação emitido pela AWS. Para saber mais sobre o padrão FIDO2, consulte [Projeto FIDO2](https://en.wikipedia.org/wiki/FIDO2_Project).

## Dispositivos FIDO2 compatíveis com a AWS
<a name="id_credentials_mfa_fido_supported_devices"></a>

O IAM é compatível com dispositivos de segurança FIDO2 que se conectam aos dispositivos por USB, Bluetooth ou NFC. O IAM também é compatível com os autenticadores de plataforma, como TouchID ou FaceID. O IAM não oferece suporte ao registro de chave de acesso local para o Windows Hello. Para criar e usar chaves de acesso, os usuários do Windows devem usar a [autenticação entre dispositivos](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda), na qual você usa uma chave de acesso de um dispositivo, como um dispositivo móvel, ou uma chave de segurança de hardware, para entrar em outro dispositivo, como um laptop.

**nota**  
A AWS precisa ter acesso à porta USB física no computador para verificar o dispositivo U2F. As chaves de segurança não funcionarão com uma máquina virtual, uma conexão remota ou o modo anônimo de um navegador.

A FIDO Alliance mantém uma lista de todos os [produtos FIDO2](https://fidoalliance.org/certification/fido-certified-products/) que são compatíveis com as especificações da FIDO.

## Navegadores compatíveis com FIDO2
<a name="id_credentials_mfa_fido_browsers"></a>

A disponibilidade dos dispositivos de segurança FIDO2 que são executados em um navegador da Web depende da combinação de navegador e sistema operacional. Os seguintes navegadores são compatíveis com o uso de chaves de segurança:


****  

| Navegador da web | macOS 10.15\$1 | Windows 10 | Linux | iOS 14.5\$1 | Android 7\$1 | 
| --- | --- | --- | --- | --- | --- | 
| Chrome | Sim | Sim | Sim | Sim | Não | 
| Safari | Sim | Não | Não | Sim | Não | 
| Edge | Sim | Sim | Não | Sim | Não | 
| Firefox | Sim | Sim | Não | Sim | Não | 

**nota**  
A maioria das versões do Firefox que são compatíveis com FIDO2 atualmente não habilita a compatibilidade por padrão. Para obter instruções sobre a habilitação da compatibilidade com FIDO2 no Firefox, consulte [Solucionar problemas de chaves de acesso e chaves de segurança FIDO](troubleshoot_mfa-fido.md).  
O Firefox no macOS pode não ser totalmente compatível com fluxos de trabalho de autenticação entre dispositivos para chaves de acesso. Você pode receber um prompt para tocar em uma chave de segurança em vez de prosseguir com a autenticação entre dispositivos. Recomendamos usar outro navegador, como o Chrome ou o Safari, para fazer login com chaves de acesso no macOS.

Para obter mais informações sobre a compatibilidade do navegador com um dispositivo com certificação FIDO2, como o YubiKey, consulte [Operating system and web browser support for FIDO2 and U2F](https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F).

### Plug-ins de navegador
<a name="id_credentials_mfa_fido_plugins"></a>

A AWS só é compatível com navegadores que têm compatibilidade nativa com o padrão FIDO2. A AWS não é compatível com o uso de plug-ins para adicionar compatibilidade com o navegador FIDO2. Alguns plug-ins de navegador são incompatíveis com o padrão FIDO2 e podem causar resultados inesperados com chaves de segurança FIDO2. 

Para obter informações sobre como desabilitar plugins do navegador e outras dicas de solução de problemas, consulte [Não consigo habilitar minha chave de segurança FIDO](troubleshoot_mfa-fido.md#troubleshoot_mfa-fido-cant-enable). 

## Certificações de dispositivos
<a name="id_credentials_mfa_fido_certifications"></a>

Capturamos e atribuímos certificações relacionadas ao dispositivo, como validação FIPS e nível de certificação FIDO, somente durante o registro de uma chave de segurança. A certificação do seu dispositivo é obtida do [Serviço de metadados (MDS) da FIDO Alliance](https://fidoalliance.org/metadata/). Se o status ou o nível de certificação de sua chave de segurança mudar, isso não será refletido automaticamente nas tags do dispositivo. Para atualizar as informações de certificação de um dispositivo, registre-o novamente para buscar as informações de certificação atualizadas. 

A AWS fornece os seguintes tipos de certificação como chaves de condição durante o registro do dispositivo, obtidos no FIDO MDS: níveis de certificação FIPS-140-2, FIPS-140-3 e FIDO. Você pode especificar o registro de autenticadores específicos em suas políticas do IAM, com base no tipo e nível de certificação de sua preferência. Para obter mais informações, consulte as políticas abaixo.

### Políticas de exemplo para certificações de dispositivos
<a name="id_credentials_mfa_fido_certifications_policies"></a>

Os seguintes casos de uso mostram exemplos de políticas que permitem registrar dispositivos MFA com certificações FIPS.

**Topics**
+ [Caso de uso 1: permitir o registro somente de dispositivos que tenham certificações FIPS-140-2 L2](#id_credentials_mfa_fido_certifications_policies_use_case_1)
+ [Caso de uso 2: permitir o registro de dispositivos que tenham certificações FIPS-140-2 L2 e FIDO L1](#id_credentials_mfa_fido_certifications_policies_use_case_2)
+ [Caso de uso 3: permitir o registro de dispositivos que tenham certificações FIPS-140-2 L2 ou FIPS-140-3 L2](#id_credentials_mfa_fido_certifications_policies_use_case_3)
+ [Caso de uso 4: Permitir o registro de dispositivos que tenham certificação FIPS-140-2 L2 e aceitem outros tipos de MFA, como autenticadores virtuais e TOTP de hardware](#id_credentials_mfa_fido_certifications_policies_use_case_4)

#### Caso de uso 1: permitir o registro somente de dispositivos que tenham certificações FIPS-140-2 L2
<a name="id_credentials_mfa_fido_certifications_policies_use_case_1"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Caso de uso 2: permitir o registro de dispositivos que tenham certificações FIPS-140-2 L2 e FIDO L1
<a name="id_credentials_mfa_fido_certifications_policies_use_case_2"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}
```

------

#### Caso de uso 3: permitir o registro de dispositivos que tenham certificações FIPS-140-2 L2 ou FIPS-140-3 L2
<a name="id_credentials_mfa_fido_certifications_policies_use_case_3"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Caso de uso 4: Permitir o registro de dispositivos que tenham certificação FIPS-140-2 L2 e aceitem outros tipos de MFA, como autenticadores virtuais e TOTP de hardware
<a name="id_credentials_mfa_fido_certifications_policies_use_case_4"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Create"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Activate",
          "iam:FIDO-FIPS-140-2-certification": "L2"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "Null": {
          "iam:RegisterSecurityKey": "true"
        }
      }
    }
  ]
}
```

------

## AWS CLI e API da AWS
<a name="id_credentials_mfa_fido_cliapi"></a>

A AWS só é compatível com o uso de chaves de segurança no Console de gerenciamento da AWS. Não é possível usar de chaves de acesso e chaves de segurança para MFA na [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/) e na [API da AWS](https://aws.amazon.com/tools/), nem para acessar [operações de API protegidas por MFA](id_credentials_mfa_configure-api-require.md).

## Recursos adicionais
<a name="id_credentials_mfa_fido_additional_resources"></a>
+ Para obter mais informações sobre como usar chaves de acesso e chaves de segurança na AWS, consulte [Atribuir uma chave de acesso ou uma chave de segurança ao Console de gerenciamento da AWS](id_credentials_mfa_enable_fido.md).
+ Para obter ajuda com a solução de problemas de chaves de acesso e chaves de segurança na AWS, consulte [Solucionar problemas de chaves de acesso e chaves de segurança FIDO](troubleshoot_mfa-fido.md).
+ Para obter informações gerais do setor sobre compatibilidade com FIDO2, consulte [FIDO2 Project](https://en.wikipedia.org/wiki/FIDO2_Project). 

# Atribuir um dispositivo MFA virtual ao Console de gerenciamento da AWS
<a name="id_credentials_mfa_enable_virtual"></a>

**Importante**  
A AWS recomenda usar uma chave de acesso ou chave de segurança para MFA na AWS sempre que possível. Para obter mais informações, consulte [Atribuir uma chave de acesso ou uma chave de segurança ao Console de gerenciamento da AWS](id_credentials_mfa_enable_fido.md).

É possível usar um telefone ou outro dispositivo como um dispositivo de autenticação multifator (MFA) virtual. Para fazer isso, instale um aplicativo móvel compatível com [RFC 6238, um algoritmo TOTP (senha única baseada em tempo) baseado em padrões](https://datatracker.ietf.org/doc/html/rfc6238). Essas aplicações geram um código de autenticação de seis dígitos. Como os autenticadores podem ser executados em dispositivos móveis não protegidos e os códigos podem ser compartilhados com partes não autorizadas, a MFA baseada em TOTP não fornece o mesmo nível de segurança que o das opções de proteção contra phishing, como chaves de segurança e chaves de acesso [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2). Recomendamos usar chaves de acesso ou chaves de segurança para MFA para obter a proteção mais forte contra ataques como phishing.

Se ainda não for possível usar chaves de acesso ou chaves de segurança, recomendamos usar um dispositivo MFA virtual como medida provisória enquanto aguarda quaisquer aprovações de compra de hardware ou aguarda a chegada do hardware.

A maioria das aplicações de MFA virtual oferece suporte à criação de vários dispositivos virtuais, permitindo usar a mesma aplicação para várias Contas da AWS ou usuários. Você pode registrar até **oito** dispositivos com MFA de qualquer combinação dos [tipos de MFA](https://aws.amazon.com/iam/features/mfa/) com seu Usuário raiz da conta da AWS e usuários do IAM. Basta um dispositivo MFA para acessar o Console de gerenciamento da AWS ou criar uma sessão pela AWS CLI. Recomendamos que você registre vários dispositivos de MFA. Para aplicações autenticadoras, também recomendamos habilitar o recurso de backup ou de sincronização na nuvem para ajudar a evitar a perda de acesso à sua conta caso você perca ou quebre o dispositivo.

A AWS exige uma aplicação de MFA virtual que produz uma OTP de seis dígitos. Para obter uma lista de aplicativos de MFA virtual que você pode usar, consulte [Autenticação multifator](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). 

**Topics**
+ [Permissões obrigatórias](#mfa_enable_virtual_permissions-required)
+ [Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)](#enable-virt-mfa-for-iam-user)
+ [Substituir um dispositivo de MFA virtual](#replace-virt-mfa)

## Permissões obrigatórias
<a name="mfa_enable_virtual_permissions-required"></a>

Para gerenciar dispositivos com MFA virtuais para o usuário do IAM, você deve ter as permissões na seguinte política: [AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).

## Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)
<a name="enable-virt-mfa-for-iam-user"></a>

Você pode usar o IAM no Console de gerenciamento da AWS para habilitar e gerenciar um dispositivo com MFA virtual para um usuário do IAM em sua conta. Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS. Para habilitar e gerenciar um dispositivo MFA usando a AWS CLI ou a API da AWS, consulte [Atribua dispositivos MFA na AWS CLI ou API da AWS](id_credentials_mfa_enable_cliapi.md). Para obter mais informações sobre recursos de marcação do IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md). 

**nota**  
Você deve ter acesso físico ao hardware que hospedará o dispositivo MFA virtual do usuário para configurar a MFA. Por exemplo, você pode configurar a MFA para um usuário que usa um dispositivo MFA virtual executando em um smartphone. Neste caso, você precisa que o smartphone esteja disponível para concluir o assistente. Por isso, você pode optar por permitir que os usuários configurem e gerenciem seus próprios dispositivos MFA virtual. Neste caso, você deve conceder aos usuários as permissões para executar as ações necessárias do IAM. Para obter mais informações e ver um exemplo de política do IAM que concede essas permissões, consulte [Tutorial do IAM: Permitir que os usuários gerenciem suas credenciais e configurações de MFA](tutorial_users-self-manage-mfa-and-creds.md) e a política de exemplo [AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md). 

**Para habilitar um dispositivo com MFA virtual para um usuário do IAM (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Na lista **Usuários**, escolha o nome de usuário do IAM.

1. Selecione a guia **Security Credentials (Credenciais de segurança)**. Em **Multi-Factor Authentication (MFA)** (autenticação multifator [MFA]), escolha **Assign MFA device** (Atribuir dispositivo de MFA).

1. No assistente, digite um **Nome de dispositivo**, escolha **Aplicação de autenticador** e escolha **Próximo**.

   O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da "chave de configuração secreta" que está disponível para entrada manual em dispositivos que não suportam códigos QR.

1. Abra o seu aplicativo de MFA virtual. Para obter uma lista de aplicativos que você pode usar para hospedar dispositivos MFA virtuais, consulte [Autenticação multifator](https://aws.amazon.com/iam/details/mfa/). 

   Se o aplicativo de MFA virtual oferecer suporte a vários dispositivos ou contas de MFA virtual, selecione a opção para criar uma conta ou um dispositivo MFA virtual.

1. Determine se o aplicativo de MFA é compatível com códigos QR e, em seguida, execute uma das seguintes ações:
   + No assistente, escolha **Mostrar código de QR** e, em seguida, use o app para digitalizar o código de QR. Pode ser um ícone de câmera ou a opção **Digitalizar código** que usa a câmera do dispositivo para digitalizar o código.
   + No assistente , escolha **Show secret key** (Exibir chave secreta) e digite a chave secreta em sua aplicação de MFA.

   Quando você tiver concluído, o dispositivo MFA virtual inicia a geração de senhas de uso único. 

1. Na página **Configurar dispositivo**, na caixa **Código MFA 1**, digite a senha de uso único que atualmente é exibida no dispositivo MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa **Código MFA 2**. Escolha **Add MFA** (Adicionar MFA). 
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

O dispositivo MFA virtual está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

**nota**  
Os dispositivos virtuais de MFA não atribuídos na Conta da AWS são excluídos quando você adiciona novos dispositivos virtuais de MFA por meio do Console de gerenciamento da AWS ou durante o processo de login. Dispositivos virtuais de MFA não atribuídos são dispositivos na conta, mas que não são usados pelo usuário-raiz da conta ou pelos usuários do IAM no processo de login. Eles são excluídos para que novos dispositivos virtuais de MFA possam ser adicionados à conta. Também é possível reutilizar nomes de dispositivos.  
Para visualizar dispositivos virtuais de MFA não atribuídos na conta, você pode usar o comando [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) da AWS CLI ou a chamada de [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html).
Para desativar um dispositivo virtual de MFA, você pode usar o comando [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) da AWS CLI ou a chamada de [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html). O dispositivo ficará sem atribuição.
Para anexar um dispositivo virtual de MFA não atribuído ao usuário-raiz da Conta da AWS ou aos usuários do IAM, você precisará do código de autenticação gerado pelo dispositivo junto com o comando [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html) da AWS CLI ou a chamada de [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html).

## Substituir um dispositivo de MFA virtual
<a name="replace-virt-mfa"></a>

Seu Usuário raiz da conta da AWS e usuários do IAM podem registrar até **oito** dispositivos MFA de qualquer combinação de tipos de MFA. Se o usuário perder um dispositivo ou precisar substituí-lo por algum motivo, desative o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.
+ Para desativar o dispositivo associado no momento a outro usuário do IAM, consulte [Desativar um dispositivo com MFA](id_credentials_mfa_disable.md).
+ Para adicionar um dispositivo com MFA virtual de substituição para outro usuário do IAM, siga as etapas no procedimento [Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)](#enable-virt-mfa-for-iam-user) acima.
+ Para adicionar um dispositivo de MFA virtual de substituição para o Usuário raiz da conta da AWS, siga as etapas no procedimento [Habilitar um dispositivo MFA virtual para o usuário-raiz (console)](enable-virt-mfa-for-root.md).

# Atribuir um token de hardware TOTP ao Console de gerenciamento da AWS
<a name="id_credentials_mfa_enable_physical"></a>

**Importante**  
A AWS recomenda usar uma chave de acesso ou chave de segurança para MFA na AWS sempre que possível. Para obter mais informações, consulte [Atribuir uma chave de acesso ou uma chave de segurança ao Console de gerenciamento da AWS](id_credentials_mfa_enable_fido.md).

Um token de hardware TOTP gera um código numérico de seis dígitos com base no algoritmo de senha de uso único com marcação temporal (TOTP). O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo; um usuário não pode digitar um código no dispositivo de outro usuário para ser autenticado. Os dispositivos de MFA não podem ser compartilhados entre contas ou usuários.

Os tokens de hardware TOTP e [chaves de segurança FIDO](id_credentials_mfa_enable_fido.md) são dispositivos físicos que você compra. Os dispositivos físicos de MFA geram códigos de TOTP para autenticação quando você faz login na AWS. Eles dependem de baterias, que podem precisar ser substituídas e ressincronizadas com a AWS com o passar do tempo. As chaves de segurança FIDO, que utilizam criptografia de chave pública, não requerem baterias e oferecem um processo direto de autenticação. Recomendamos o uso de chaves de segurança FIDO por sua resistência a phishing, o que as torna uma alternativa mais segura aos dispositivos de TOTP. Além disso, as chaves de segurança FIDO podem comportar vários usuários do IAM ou raízes no mesmo dispositivo, o que aumenta sua utilidade para proteção da conta. Para especificações e informações sobre aquisição para ambos os tipos de dispositivo, consulte [Autenticação multifator](https://aws.amazon.com/iam/details/mfa/).



Você pode habilitar um token de hardware TOTP para um usuário do IAM pelo Console de gerenciamento da AWS, pela linha de comando ou pela API do IAM. Para habilitar um dispositivo MFA para o Usuário raiz da conta da AWS, consulte [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md).

Você pode registrar até **oito** dispositivos com MFA de qualquer combinação dos [ tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) com seu Usuário raiz da conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o Console de gerenciamento da AWS ou criar uma sessão pela AWS CLI como esse usuário.

**Importante**  
Recomendamos habilitar vários dispositivos de MFA para que seus usuários tenham acesso contínuo à conta, caso um dispositivo de MFA seja perdido ou fique inacessível.

**nota**  
Se quiser habilitar o dispositivo de MFA na linha de comando, use [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html). Para habilitar o dispositivo com MFA com a API do IAM, use a operação [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html). 

**Topics**
+ [Permissões obrigatórias](#enable-hw-mfa-for-iam-user-permissions-required)
+ [Habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)](#enable-hw-mfa-for-own-iam-user)
+ [Habilitar um token de hardware TOTP para outro usuário do IAM (console)](#enable-hw-mfa-for-iam-user)
+ [Substituir um dispositivo de MFA físico](#replace-phys-mfa)

## Permissões obrigatórias
<a name="enable-hw-mfa-for-iam-user-permissions-required"></a>

Para gerenciar um token de hardware TOTP para seu próprio usuário do IAM ao proteger ações confidenciais relacionadas a MFA, você deve ter as permissões na seguinte política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)
<a name="enable-hw-mfa-for-own-iam-user"></a>

 Você pode habilitar seu próprio token de hardware TOTP no Console de gerenciamento da AWS.

**nota**  
Para poder habilitar um token de hardware TOTP, é necessário ter acesso físico ao dispositivo.

**Para habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link das credenciais de segurança do Console de gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na guia **Credenciais do AWS IAM**, na seção **Autenticação multifator (MFA)**, escolha **Atribuir dispositivo com MFA**.

1. No assistente, digite um **Device name** (Nome de dispositivo), escolha **Hardware TOTP token** (Token de hardware TOTP) e escolha **Next** (Avançar).

1. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

1. Na caixa **MFA code 1 (Código MFA 1)**, digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.  
![\[Painel do IAM, dispositivo MFA\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/MFADevice.png)

1. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa **MFA code 2 (Código MFA 2)**. Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

1. Escolha **Add MFA** (Adicionar MFA).
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

## Habilitar um token de hardware TOTP para outro usuário do IAM (console)
<a name="enable-hw-mfa-for-iam-user"></a>

 Você pode habilitar um token de hardware TOTP para outro usuário do IAM no Console de gerenciamento da AWS.

**Para habilitar um token de hardware TOTP para outro usuário do IAM (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Selecione o nome do usuário para o qual deseja habilitar a MFA.

1. Selecione a guia **Security Credentials (Credenciais de segurança)**. Em **Multi-Factor Authentication (MFA)** (autenticação multifator [MFA]), escolha **Assign MFA device** (Atribuir dispositivo de MFA).

1. No assistente, digite um **Device name** (Nome de dispositivo), escolha **Hardware TOTP token** (Token de hardware TOTP) e escolha **Next** (Avançar).

1. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

1. Na caixa **MFA code 1 (Código MFA 1)**, digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.  
![\[Painel do IAM, dispositivo MFA\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/MFADevice.png)

1. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa **MFA code 2 (Código MFA 2)**. Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

1. Escolha **Add MFA** (Adicionar MFA).
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

## Substituir um dispositivo de MFA físico
<a name="replace-phys-mfa"></a>

Você pode ter até oito dispositivos com MFA de qualquer combinação dos [tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) atribuídos a um usuário ao mesmo tempo com seu Usuário raiz da conta da AWS e usuários do IAM. Se o usuário perde um dispositivo ou precisa substituí-lo por algum motivo, você deve primeiro desativar o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.
+ Para desativar o dispositivo atualmente associado a um usuário, consulte [Desativar um dispositivo com MFA](id_credentials_mfa_disable.md).
+ Para adicionar um token de hardware TOTP de substituição para um usuário do IAM, siga as etapas do procedimento [Habilitar um token de hardware TOTP para outro usuário do IAM (console)](#enable-hw-mfa-for-iam-user) anterior deste tópico.
+ Para adicionar um token de hardware TOTP de substituição para o Usuário raiz da conta da AWS, siga as etapas do procedimento [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md) anterior neste tópico.

# Atribua dispositivos MFA na AWS CLI ou API da AWS
<a name="id_credentials_mfa_enable_cliapi"></a>

Você pode usar os comandos da AWS CLI ou operações de API da AWS para habilitar um dispositivo com MFA virtual para um usuário do IAM. Não é possível habilitar um dispositivo com MFA para o Usuário raiz da conta da AWS com a AWS CLI, a API da AWS, ferramentas para Windows PowerShell ou qualquer outra ferramenta de linha de comando. No entanto, você pode usar o Console de gerenciamento da AWS para habilitar um dispositivo com MFA para o usuário raiz. 

Quando você habilita um dispositivo MFA do Console de gerenciamento da AWS, o console executa múltiplas etapas para você. Se, em vez disso, você criar um dispositivo virtual usando a AWS CLI, o Tools for Windows PowerShell ou a API da AWS, execute as etapas manualmente e na ordem correta. Por exemplo, para criar um dispositivo com MFA virtual, você deve criar o objeto do IAM e extrair o código como uma string ou um gráfico de código QR. Em seguida, você deve sincronizar o dispositivo e associá-lo a um usuário do IAM. Consulte a seção **Exemplos** do [New-IAMVirtualMFADevice](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=New-IAMVirtualMFADevice.html&tocid=New-IAMVirtualMFADevice) para obter mais detalhes. Para um dispositivo físico, ignore a etapa de criação, sincronize e associe o dispositivo ao usuário diretamente. 

Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS.

Um usuário do IAM usando o SDK ou a CLI pode ativar um dispositivo de MFA adicional chamando [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) ou desativar um dispositivo de MFA existente por meio de uma chamada [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html). Para fazer isso com êxito, eles devem primeiro chamar [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) e enviar códigos de MFA com um dispositivo de MFA existente. Essa chamada retorna credenciais de segurança temporárias que podem ser usadas para assinar operações de API que exigem autenticação de MFA. Para ver um exemplo de solicitação e resposta, consulte [`GetSessionToken`: credenciais temporárias para usuários em ambientes não confiáveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken). 

**Para criar a entidade do dispositivo virtual no IAM para representar um dispositivo virtual de MFA**  
Esses comandos fornecem um ARN para o dispositivo que é usado no lugar de um número de série em muitos dos comandos a seguir.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html) 

**Para habilitar um dispositivo com MFA para usar com a AWS**  
Esses comandos sincronizam o dispositivo com a AWS e associam-no a um usuário. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.

**Importante**  
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Se isso acontecer, sincronize novamente o dispositivo usando os comandos descritos abaixo.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) 

**Para desativar um dispositivo**  
Use estes comandos para desassociar o dispositivo do usuário e desativá-lo. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série. Também é necessário excluir, separadamente, a entidade do dispositivo virtual. 
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

**Para listar entidades do dispositivo virtual de MFA**  
Use estes comandos para listar entidades de dispositivo MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) 

**Marcar um dispositivo MFA virtual**  
Use estes comandos para marcar um dispositivo MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html) 

**Listar tags para um dispositivo MFA virtual**  
Use estes comandos para listar as tags associadas a um dispositivo MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html) 

**Desmarcar um dispositivo MFA virtual**  
Use estes comandos para remover as tags associadas a um dispositivo MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html) 

**Para sincronizar novamente um dispositivo MFA**  
Use estes comandos se o dispositivo estiver gerando códigos que não são aceitos pela AWS. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html) 

**Para excluir uma entidade do dispositivo com MFA virtual no IAM**  
Após o dispositivo ser desassociado do usuário, você poderá excluir a entidade do dispositivo.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html) 

**Para recuperar um dispositivo MFA virtual que foi perdido ou não está funcionando**  
Às vezes, o dispositivo de um usuário que hospeda a aplicação de MFA virtual é perdido, substituído ou não está funcionando. Quando isso acontece, o usuário não pode recuperá-lo sozinho. Os usuários devem entrar em contato com o administrador para desativar o dispositivo. Para obter mais informações, consulte [Recuperar uma identidade protegida por MFA no IAM](id_credentials_mfa_lost-or-broken.md).

# Verificar status da MFA
<a name="id_credentials_mfa_checking-status"></a>

Use o console do IAM para verificar se um Usuário raiz da conta da AWS ou usuário do IAM tem um dispositivo com MFA válido habilitado.

**Para verificar o status de MFA de um usuário raiz**

1. Faça login no Console de gerenciamento da AWS com suas credenciais de usuário raiz e, em seguida, abra o console do IAM no [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).

1. Consulte **Multi-factor Authentication (MFA) (Autenticação multifator, MFA)** para ver se o MFA está habilitado ou desabilitado. Se a MFA não tiver sido ativada, um símbolo de alerta (![\[Alert icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-alert-icon.console.png)) será exibido. 

Se você quiser habilitar a MFA para a conta, consulte um dos seguintes:
+ [Habilitar um dispositivo MFA virtual para o usuário-raiz (console)](enable-virt-mfa-for-root.md)
+ [Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)](enable-fido-mfa-for-root.md)
+ [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md)

**Para verificar o status de MFA de usuários do IAM**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 

1. No painel de navegação, escolha **Users**.

1. Se necessário, adicione a coluna **MFA** à tabela de usuários concluindo as etapas a seguir:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações (![\[Settings icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Em **Gerenciar colunas**, selecione **MFA**.

   1. (Opcional) Desmarque a caixa de seleção para qualquer cabeçalho de coluna que você não deseje exibir na tabela de usuários.

   1. Escolha **Fechar** para retornar à lista de usuários.

1. A coluna **MFA** fornece informações sobre o dispositivo MFA que está habilitado. Se não houver um dispositivo MFA ativo para o usuário, o console exibirá **None** (Nenhum). Se o usuário tiver um dispositivo de MFA habilitado, a coluna **MFA** exibirá o tipo de dispositivo que está habilitado com um valor **Virtual**, **Security Key** (Chave de segurança), **Hardware** ou **SMS**.
**nota**  
A AWS não é mais compatível com a habilitação de autenticação multifator (MFA) por SMS. Recomendamos que os clientes que têm usuários de IAM que usam MFA baseada em texto de SMS mudem para um dos seguintes métodos alternativos: [dispositivo de MFA virtual (baseado em software)](id_credentials_mfa_enable_virtual.md), [chave de segurança FIDO](id_credentials_mfa_enable_fido.md) ou [dispositivo de MFA de hardware](id_credentials_mfa_enable_physical.md). Você pode identificar os usuários da sua conta com um dispositivo de MFA por SMS atribuído. Para fazer isso, vá para o console do IAM, escolha **Users (Usuários)** no painel de navegação e procure os usuários com **SMS** na coluna **MFA** da tabela.

1. Para visualizar informações adicionais sobre o dispositivo MFA para um usuário, escolha o nome do usuário cujo status de MFA você deseja verificar. Em seguida, selecione a guia **Credenciais de segurança**. 

1. Se não houver um dispositivo com MFA ativo para o usuário, o console exibirá **Nenhum dispositivo com MFA. Atribua um dispositivo com MFA para melhorar a segurança de seu ambiente da AWS** na seção **Autenticação multifator (MFA)**. Se o usuário tiver dispositivos de MFA habilitados, a seção **Multi-factor authentication (MFA)** (Autenticação multifator [MFA]) exibirá detalhes sobre os dispositivos:
   + O nome do dispositivo
   + O tipo do dispositivo
   + O identificador do dispositivo, como o número de série de um dispositivo físico ou o ARN de um dispositivo virtual na AWS
   + Quando o dispositivo foi criado

Para remover ou ressincronizar um dispositivo, escolha o botão de opção ao lado do dispositivo e escolha **Remove** (Remover) ou **Resync** (Ressincronizar).

Para obter mais informações sobre como habilitar a MFA, consulte o seguinte: 
+ [Atribuir um dispositivo MFA virtual ao Console de gerenciamento da AWS](id_credentials_mfa_enable_virtual.md)
+ [Atribuir uma chave de acesso ou uma chave de segurança ao Console de gerenciamento da AWS](id_credentials_mfa_enable_fido.md)
+ [Atribuir um token de hardware TOTP ao Console de gerenciamento da AWS](id_credentials_mfa_enable_physical.md)

# Sincronizar novamente os dispositivos MFA virtuais e de hardware
<a name="id_credentials_mfa_sync"></a>

Você pode usar a AWS para sincronizar novamente seus dispositivos de autenticação multifator (MFA) virtuais e de hardware. Se o seu dispositivo não estiver sincronizado quando você tentar usá-lo, ocorrerá uma falha na tentativa de login, e o IAM solicitará que você sincronize o dispositivo novamente.

**nota**  
As chaves de segurança FIDO não perdem a sincronia. Se uma chave de segurança FIDO for perdida ou rompida, você poderá desativá-la. Para obter instruções sobre a desativação de qualquer tipo de dispositivo MFA, consulte [Para desativar um dispositivo com MFA para outro usuário do IAM (console)](id_credentials_mfa_disable.md#deactivate-mfa-for-user).

Como administrador da AWS, você pode sincronizar novamente os dispositivos com MFA virtuais e de hardware dos usuários do IAM se eles perderem a sincronização.

Se o seu dispositivo com MFA de Usuário raiz da conta da AWS não estiver funcionando, você poderá sincronizar novamente o dispositivo usando o console do IAM, concluindo ou não o processo de login. Se você não conseguir ressincronizar seu dispositivo, talvez seja necessário desassociá-lo e reassociá-lo. Para obter mais informações sobre como fazer isso, consulte [Desativar um dispositivo com MFA](id_credentials_mfa_disable.md) e [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).

**Topics**
+ [Permissões obrigatórias](#id_credentials_mfa_sync_console-permissions-required)
+ [Sincronizar novamente dispositivos com MFA virtuais e de hardware (console do IAM)](#id_credentials_mfa_sync_console)
+ [Sincronizar novamente dispositivos com MFA virtuais e de hardware (AWS CLI)](#id_credentials_mfa_sync_cli)
+ [Sincronizar novamente dispositivos com MFA virtuais e de hardware (API da AWS)](#id_credentials_mfa_sync_api)

## Permissões obrigatórias
<a name="id_credentials_mfa_sync_console-permissions-required"></a>

Para dessincronizar dispositivos com MFA virtuais ou de hardware para o usuário do IAM, você deve ter as permissões desta política. Esta política não permite que você crie ou desative um dispositivo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Sincronizar novamente dispositivos com MFA virtuais e de hardware (console do IAM)
<a name="id_credentials_mfa_sync_console"></a>

Você pode usar o console do IAM para sincronizar novamente dispositivos com MFA virtuais e de hardware.

**Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para seu próprio usuário do IAM (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link para credenciais de segurança do Console de Gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na guia **Credenciais do AWS IAM**, na seção **Autenticação multifator (MFA)**, escolha o botão de opção ao lado do dispositivo com MFA e escolha **Sincronizar novamente**.

1. Digite os próximos dois códigos gerados sequencialmente no dispositivo em **MFA code 1 (Código MFA 1)** e **MFA code 2 (Código MFA 2)**. Em seguida, escolha **Resync** (Ressincronizar).
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, a solicitação parecerá funcionar, mas o dispositivo permanecerá fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período.

**Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para outro usuário do IAM (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Usuários** e, em seguida, escolha o nome do usuário cujo dispositivo MFA precisa ser sincronizado novamente.

1. Selecione a guia **Credenciais de segurança**. Na seção **Autenticação multifator (MFA)**, escolha o botão de opção ao lado do dispositivo com MFA e escolha **Sincronizar novamente**.

1. Digite os próximos dois códigos gerados sequencialmente no dispositivo em **MFA code 1 (Código MFA 1)** e **MFA code 2 (Código MFA 2)**. Em seguida, escolha **Resync** (Ressincronizar).
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, a solicitação parecerá funcionar, mas o dispositivo permanecerá fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período.

**Para sincronizar novamente sua MFA de usuário raiz antes de fazer login (console)**

1. Na página **Amazon Web Services Sign In With Authentication Device** (Login da Amazon Web Services com dispositivo de autenticação), escolha **Having problems with your authentication device? (Está com problemas com seu dispositivo de autenticação?) Clique aqui**.
**nota**  
É possível ver um texto diferente, como **Fazer login usando MFA** e **Solucionar problemas do dispositivo de autenticação**. No entanto, os mesmos recursos são fornecidos.

1. Na seção **Re-Sync With Our Servers (Sincronizar novamente com nossos servidores)**, digite os próximos dois códigos gerados sequencialmente no dispositivo em **MFA code 1 (Código MFA 1)** e **MFA code 2 (Código MFA 2)**. Em seguida, escolha **Sincronizar novamente dispositivo de autenticação**.

1. Se necessário, digite sua senha novamente e escolha **Faça login**. Em seguida, conclua o login usando seu dispositivo MFA.

**Para sincronizar novamente seu dispositivo com MFA de usuário raiz depois de fazer login (console)**

1. Faça login no [console do IAM](https://console.aws.amazon.com/iam/) como proprietário da conta escolhendo **Root user** (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.
**nota**  
Como usuário raiz, você não pode acessar a página **Fazer login como usuário do IAM**. Ao visualizar a página de **login de usuário do IAM**, escolha a opção **Fazer login usando o e-mail de usuário raiz**, próximo à parte inferior da página. Para obter ajuda para fazer login como usuário raiz, consulte [Fazer login no Console de gerenciamento da AWS como usuário raiz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html) no *Guia do usuário do Início de Sessão da AWS*.

1. No lado direito da barra de navegação, selecione seu nome de conta e selecione **Credenciais de segurança**. Se necessário, selecione **Continue to Security credentials** (Prosseguir para as credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Expanda a seção **Multi-factor authentication (MFA) (Autenticação multifator (MFA))** na página.

1. Selecione o botão de opção ao lado do dispositivo e escolha **Resync** (Ressincronizar).

1. Na caixa de diálogo **Resync MFA device (Ressincronizar dispositivo de MFA)**, digite os próximos dois códigos gerados sequencialmente no dispositivo em **MFA code 1** (Código MFA 1) e **MFA code 2** (Código MFA 2). Em seguida, escolha **Resync** (Ressincronizar).
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA se associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período.

## Sincronizar novamente dispositivos com MFA virtuais e de hardware (AWS CLI)
<a name="id_credentials_mfa_sync_cli"></a>

Você pode sincronizar novamente os dispositivos MFA virtuais e de hardware da AWS CLI.

**Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para um usuário do IAM (AWS CLI)**  
Em um prompt de comando, emita o comando [aws iam resync-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html):
+ Dispositivo MFA virtual: especifique o nome de recurso da Amazon (ARN) do dispositivo como o número de série.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
  ```
+ Dispositivo MFA de hardware: especifique o número de série do dispositivo de hardware como o número de série. O formato é específico do fornecedor. Por exemplo, você pode comprar um token gemalto da Amazon. Seu número de série geralmente tem quatro letras seguidas por quatro números.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
  ```

**Importante**  
Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, ocorrerá falha na solicitação porque os códigos expiram após um curto período.

## Sincronizar novamente dispositivos com MFA virtuais e de hardware (API da AWS)
<a name="id_credentials_mfa_sync_api"></a>

O IAM tem uma chamada de API que executa a sincronização. Nesse caso, recomendamos que você atribua aos seus usuários de dispositivos MFA virtuais e de hardware permissão para acessar essa chamada de API. Em seguida, crie uma ferramenta com base na chamada de API que permite que seus usuários sincronizem novamente seus dispositivos sempre que precisarem.

**Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para um usuário do IAM (API da AWS)**
+ Envie a solicitação [ResyncMFADevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html).

# Desativar um dispositivo com MFA
<a name="id_credentials_mfa_disable"></a>

Caso enfrente problemas para fazer login com um dispositivo de com autenticação multifator (MFA) como um usuário do IAM, entre em contato com o administrador para obter ajuda.

Como administrador, você pode desativar o dispositivo para outro usuário do IAM. Isso permite que o usuário conecte-se sem usar o MFA. Você pode fazer isso como uma solução temporária enquanto o dispositivo MFA é substituído, ou se o dispositivo está temporariamente indisponível. No entanto, recomendamos que você ative um novo dispositivo para o usuário assim que possível. Para saber como ativar um novo dispositivo MFA, consulte [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).

**nota**  
Se você usar a API ou a AWS CLI para excluir um usuário da sua Conta da AWS, desative ou exclua o dispositivo de MFA do usuário. Você faz essa alteração como parte do processo de remoção do usuário. Para obter mais informações sobre a remoção de usuários, consulte [Remover ou desativar um usuário do IAM](id_users_remove.md).

**Topics**
+ [Desativar dispositivos MFA (console)](#deactive-mfa-console)
+ [Desativar dispositivos MFA (AWS CLI)](#deactivate-mfa-cli)
+ [Desativar dispositivos MFA (API da AWS)](#deactivate-mfa-api)

## Desativar dispositivos MFA (console)
<a name="deactive-mfa-console"></a><a name="deactivate-mfa-for-user"></a>

**Para desativar um dispositivo com MFA para outro usuário do IAM (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Para desativar o dispositivo MFA para um usuário, escolha o nome do usuário cuja MFA que você deseja remover.

1. Selecione a guia **Credenciais de segurança**.

1. Em **Autenticação multifator (MFA)**, escolha o botão de opção ao lado do dispositivo com MFA, escolha **Remover** e depois **Remover**.

   O dispositivo é removido da AWS. Ele não poderá ser usado para fazer login nem autenticar as solicitações até ser reativado e associado a um usuário da AWS ou ao Usuário raiz da conta da AWS.<a name="deactivate-mfa-for-root"></a>

**Para desativar o dispositivo MFA para seu Usuário raiz da conta da AWS (console)**

1. Faça login no [console do IAM](https://console.aws.amazon.com/iam/) como proprietário da conta escolhendo **Root user** (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.
**nota**  
Como usuário raiz, você não pode acessar a página **Fazer login como usuário do IAM**. Ao visualizar a página de **login de usuário do IAM**, escolha a opção **Fazer login usando o e-mail de usuário raiz**, próximo à parte inferior da página. Para obter ajuda para fazer login como usuário raiz, consulte [Fazer login no Console de gerenciamento da AWS como usuário raiz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html) no *Guia do usuário do Início de Sessão da AWS*.

1. No lado direito da barra de navegação, selecione seu nome de conta e selecione **Credenciais de segurança**. Se necessário, selecione **Continue to Security credentials** (Prosseguir para as credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Na seção **Multi-factor authentication (MFA)** (Autenticação multifator [MFA]), escolha o botão de opção ao lado do dispositivo de MFA que você deseja desativar e escolha **Remove** (Remover).

1. Escolha **Remover**.

   O dispositivo de MFA é desativado para a Conta da AWS. Verifique o e-mail associado à sua Conta da AWS para ver se há uma mensagem de confirmação da Amazon Web Services. O e-mail informa que sua autenticação multifator (MFA) da Amazon Web Services foi desativada. A mensagem virá de `@amazon.com` ou `@aws.amazon.com`.

**nota**  
Os dispositivos virtuais de MFA não atribuídos na Conta da AWS são excluídos quando você adiciona novos dispositivos virtuais de MFA por meio do Console de gerenciamento da AWS ou durante o processo de login. Dispositivos virtuais de MFA não atribuídos são dispositivos na conta, mas que não são usados pelo usuário-raiz da conta ou pelos usuários do IAM no processo de login. Eles são excluídos para que novos dispositivos virtuais de MFA possam ser adicionados à conta. Também é possível reutilizar nomes de dispositivos.

## Desativar dispositivos MFA (AWS CLI)
<a name="deactivate-mfa-cli"></a>

**Para desativar um dispositivo com MFA para um usuário do IAM (AWS CLI)**
+ Execute este comando: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)

## Desativar dispositivos MFA (API da AWS)
<a name="deactivate-mfa-api"></a>

**Para desativar um dispositivo com MFA para um usuário do IAM (API da AWS)**
+ Chame esta operação: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

# Recuperar uma identidade protegida por MFA no IAM
<a name="id_credentials_mfa_lost-or-broken"></a>

Se o [dispositivo de MFA virtual](id_credentials_mfa_enable_virtual.md) ou se o [token de hardware TOTP](id_credentials_mfa_enable_physical.md) estiver funcionando corretamente, mas você não conseguir usá-lo para acessar seus recursos da AWS, talvez ele não esteja sincronizado com a AWS. Para obter informações sobre a sincronização de um dispositivo MFA virtual ou de um dispositivo MFA de hardware, consulte [Sincronizar novamente os dispositivos MFA virtuais e de hardware](id_credentials_mfa_sync.md). As [chaves de segurança FIDO](id_credentials_mfa_enable_fido.md) não perdem a sincronia.

Se o [dispositivo MFA](id_credentials_mfa.md) para um Usuário raiz da conta da AWS for perdido, danificado ou não funcionar, você poderá recuperar o acesso à sua conta. Os usuários do IAM devem entrar em contato com um administrador para desativar o dispositivo.

**Importante**  
Recomendamos que você ative vários dispositivos MFA. O registro de vários dispositivos MFA ajudará a garantir o acesso contínuo se um dispositivo for perdido ou quebrado. Seu Usuário raiz da conta da AWS e usuários do IAM podem registrar até oito dispositivos MFA de qualquer tipo.

## Pré-requisito: usar outro dispositivo de MFA
<a name="mfa-lost-or-broken-prerequisites"></a>

Se seu [dispositivo de autenticação multifator (MFA)](id_credentials_mfa.md) for perdido, danificado ou não estiver funcionando, você poderá fazer login usando outro dispositivo de MFA registrado no mesmo usuário raiz ou usuário do IAM.

**Para iniciar sessão usando outro dispositivo de MFA**

1. Inicie sessão no [Console de gerenciamento da AWS](url-comsole-domain;iam) com o ID da sua Conta da AWS ou alias e senha da conta.

1. Na página **Verificação adicional necessária** ou na página **Autenticação multifator**, escolha **Tentar outro método de MFA**.

1. Faça a autenticação com o tipo de dispositivo de MFA que você selecionou.

1. A próxima etapa será diferente dependendo de você ter conseguido iniciar sessão com um dispositivo de MFA alternativo.
   + Se você iniciou sessão com sucesso, poderá [Sincronizar novamente os dispositivos MFA virtuais e de hardware](id_credentials_mfa_sync.md), o que talvez resolva o problema. Se seu dispositivo de MFA for perdido ou quebrar, você poderá desativá-lo. Para obter instruções sobre a desativação de qualquer tipo de dispositivo MFA, consulte [Desativar um dispositivo com MFA](id_credentials_mfa_disable.md).
   + Se você não conseguir iniciar sessão com a MFA, use as etapas [Recuperar um dispositivo com MFA de usuário raiz](#root-mfa-lost-or-broken) ou [Recuperar um dispositivo com MFA de usuário do IAM](#iam-user-mfa-lost-or-broken) para recuperar sua identidade protegida por MFA.



## Recuperar um dispositivo com MFA de usuário raiz
<a name="root-mfa-lost-or-broken"></a>

Se você não conseguir iniciar sessão com o seu dispositivo de MFA, poderá usar métodos de autenticação alternativos comprovando sua identidade usando o e-mail e o telefone registrados na sua conta.

Confirme se você consegue acessar o e-mail e o número de telefone de contato principal associados à sua conta antes de usar fatores de autenticação alternativos para fazer login como usuário-raiz. Se você precisar atualizar o telefone de contato principal, faça login como usuário do IAM com acesso de *Administrador* em vez de usuário-raiz. Para obter instruções adicionais sobre como atualizar as informações de contato da conta, consulte [Editar informações de contato](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) no *Guia do usuário do AWS Billing*. Caso não tenha acesso a um e-mail e telefone de contato principal, fale com o [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support).

**Importante**  
Recomendamos manter atualizados o endereço de e-mail e o telefone de contato vinculados a seu usuário raiz para ter uma recuperação da conta bem-sucedida. Para obter mais informações, consulte [Atualizar seu contato principal na sua Conta da AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) no *Guia de Referência do AWS Gerenciamento de contas*.

**Para fazer login usando fatores alternativos de autenticação como um Usuário raiz da conta da AWS**

1.  Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/) como o proprietário da conta ao escolher a opção **Usuário-raiz** e inserir o endereço de e-mail da Conta da AWS. Na próxima página, insira a senha.

1. Na página **Verificação adicional necessária**, selecione um método de MFA para autenticação e escolha **Avançar**. 
**nota**  
Você pode ver um texto alternativo, como **Sign in using MFA** (Fazer login usando MFA), **Troubleshoot your authentication device** (Solucione o problema do dispositivo de autenticação) ou **Troubleshoot MFA** (Solucione o problema de MFA), mas a funcionalidade é a mesma. Se você não puder usar fatores de autenticação alternativos para verificar o endereço de e-mail e o número de telefone primário da conta, entre em contato com o [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support) para desativar seu dispositivo de MFA.

1. Dependendo do tipo de MFA que estiver usando, você verá uma página diferente, mas a opção **Solucionar problemas de MFA** funciona da mesma forma. Na página **Verificação adicional necessária** ou na página **Autenticação multifator**, escolha **Solucionar problemas de MFA**.

1. Se necessário, digite sua senha novamente e escolha **Conectar**.

1. Na página **Solucionar problemas do dispositivo de autenticação**, na seção **Acesso usando fatores alternativos de autenticação**, escolha **Acesse usando fatores alternativos**.

1. Na página **Entrar usando fatores alternativos de autenticação**, autentique sua conta verificando o endereço de e-mail e escolha **Enviar e-mail de verificação**. 

1. Verifique o e-mail associado à sua Conta da AWS para ver se há uma mensagem da Amazon Web Services (no-reply-aws@amazon.com). Siga as orientações no e-mail.

   Se você não vir o e-mail em sua conta, verifique sua pasta de spam ou retorne para seu navegador e escolha **Reenviar o e-mail**.

1. Depois de verificar seu endereço de e-mail, você pode continuar a autenticar sua conta. Para verificar seu número de telefone para contato primário, escolha **Call me now** (Ligar para mim agora).

1. Atenda a ligação da AWS e, quando receber a solicitação, digite o número de 6 dígitos do site AWS no teclado do seu telefone. 

   Se você não receber uma chamada de AWS, escolha **Fazer login **para entrar no console novamente e começar novamente. Ou consulte [Lost or unusable Multi-Factor Authentication (MFA) device](https://support.aws.amazon.com/#/contacts/aws-mfa-support) (Dispositivo de autenticação multifator (MFA) perdido ou inutilizado para entrar em contato com o suporte e obter ajuda.

1. Depois de verificar o seu número de telefone, você pode fazer login na sua conta, escolhendo **Fazer login no console**.

1. A próxima etapa varia dependendo do tipo de MFA que você está usando:
   + Para um dispositivo MFA virtual, remova a conta do seu dispositivo. Em seguida, vá para a página [Credenciais de segurança da AWS](https://console.aws.amazon.com/iam/home?#security_credential) e exclua a entidade de dispositivo virtual de MFA antiga antes de criar uma nova.
   + Para obter uma chave de segurança FIDO, acesse a página [Credenciais de segurança da AWS](https://console.aws.amazon.com/iam/home?#security_credential) e desative a chave FIDO antiga antes de habilitar uma nova.
   + Para um token de hardware TOTP, fale com o provedor de terceiros para obter ajuda para corrigir ou substituir o dispositivo. Você pode continuar a fazer login usando fatores alternativos de autenticação até que você receba o novo dispositivo. Depois que tiver o novo dispositivo MFA de hardware, acesse a página [Credenciais de segurança da AWS](https://console.aws.amazon.com/iam/home?#security_credential) e exclua o dispositivo MFA antigo.
**nota**  
Você não precisa substituir um dispositivo MFA perdido ou roubado pelo mesmo tipo de dispositivo. Por exemplo, se você quebrar a chave de segurança FIDO e solicitar uma nova, poderá usar um dispositivo MFA virtual ou um token de hardware TOTP até receber uma nova chave de segurança FIDO.

**Importante**  
Se seu dispositivo MFA estiver perdido ou tiver sido roubado, altere a senha de usuário-raiz depois de iniciar sessão e estabelecer seu dispositivo MFA substituto. Um invasor pode ter roubado o dispositivo de autenticação e também pode ter sua senha atual. Para obter mais informações, consulte [Alterar a senha para o Usuário raiz da conta da AWS](root-user-password.md).

## Recuperar um dispositivo com MFA de usuário do IAM
<a name="iam-user-mfa-lost-or-broken"></a>

Se você for um usuário do IAM que não consegue iniciar sessão com MFA, não poderá recuperar um dispositivo de MFA por conta própria. Entre em contato com o administrador para desativar o dispositivo. Depois você poderá habilitar um novo dispositivo.

**Para obter ajuda para um dispositivo MFA associado a um usuário do IAM**

1. Entre em contato com o administrador da AWS ou outra pessoa que forneceu a você o nome de usuário e a senha para o usuário do IAM. O administrador deve desativar o dispositivo MFA, como descrito em [Desativar um dispositivo com MFA](id_credentials_mfa_disable.md) para que você possa se conectar.

1. A próxima etapa varia dependendo do tipo de MFA que você está usando:
   + Para um dispositivo MFA virtual, remova a conta do seu dispositivo. Em seguida, ative o dispositivo virtual, como descrito em [Atribuir um dispositivo MFA virtual ao Console de gerenciamento da AWS](id_credentials_mfa_enable_virtual.md).
   + Para uma chave de segurança FIDO, entre em contato com o provedor terceirizado para obter ajuda para substituir o dispositivo. Quando você receber a nova chave de segurança FIDO, habilite-a, como descrito em [Atribuir uma chave de acesso ou uma chave de segurança ao Console de gerenciamento da AWS](id_credentials_mfa_enable_fido.md).
   + Para um token de hardware TOTP, fale com o provedor de terceiros para obter ajuda para corrigir ou substituir o dispositivo. Após ter o novo dispositivo MFA físico, ative o dispositivo, como descrito em [Atribuir um token de hardware TOTP ao Console de gerenciamento da AWS](id_credentials_mfa_enable_physical.md).
**nota**  
Você não precisa substituir um dispositivo MFA perdido ou roubado pelo mesmo tipo de dispositivo. É possível ter até oito dispositivos de MFA de qualquer combinação. Por exemplo, se você quebrar a chave de segurança FIDO e solicitar uma nova, poderá usar um dispositivo MFA virtual ou um token de hardware TOTP até receber uma nova chave de segurança FIDO.

1. Se seu dispositivo MFA foi perdido ou roubado, também altere sua senha no caso de um invasor ter roubado o dispositivo de autenticação e tenha também sua senha atual. Para obter mais informações, consulte [Gerenciar senhas para usuários do IAM](id_credentials_passwords_admin-change-user.md)

# Acesso seguro à API com a MFA
<a name="id_credentials_mfa_configure-api-require"></a>

Com as políticas do IAM, você pode especificar quais operações de API um usuário tem permissão para chamar. Você pode adicionar mais segurança exigindo que os usuários se autentiquem com autenticação multifator (MFA) antes de permitir que eles executem ações particularmente confidenciais.

Por exemplo, você pode ter uma política que permita que um usuário execute as ações `RunInstances`, `DescribeInstances` e `StopInstances` do Amazon EC2. Mas você pode restringir uma ação destrutiva, tal como `TerminateInstances` e garantir que os usuários possam executar essa ação apenas se eles autenticarem com um dispositivo MFA da AWS.

**Topics**
+ [Visão geral](#MFAProtectedAPI-overview)
+ [Cenário: Proteção por MFA para delegação entre contas](#MFAProtectedAPI-cross-account-delegation)
+ [Cenário: Proteção por MFA para acesso às operações da API na conta atual](#MFAProtectedAPI-user-mfa)
+ [Cenário: Proteção por MFA para recursos que têm políticas baseadas em recurso](#MFAProtectedAPI-resource-policies)

## Visão geral
<a name="MFAProtectedAPI-overview"></a>

A inclusão da proteção de MFA às operações de API envolve estas tarefas:

1. O administrador configura um dispositivo MFA da AWS para cada usuário que precisa fazer solicitações de API que exigem autenticação de MFA. Para obter mais informações, consulte [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md). 

1. O administrador cria políticas para os usuários que incluem um elemento `Condition` que verifica se o usuário autenticou com um dispositivo MFA da AWS.

1. O usuário chama uma das operações de API do AWS STS que é compatível com os parâmetros de MFA: [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) ou [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html). Como parte da chamada, o usuário inclui o identificador do dispositivo que está associado a ele. O usuário também inclui a time-based one-time password (TOTP – Senha de uso único baseada em tempo) que o dispositivo gera. Em qualquer um dos casos, o usuário recebe novamente credenciais de segurança temporárias que ele pode então usar para fazer solicitações adicionais para a AWS.
**nota**  
A proteção de MFA para as operações de API de um serviço está disponível apenas se o serviço for compatível com credenciais de segurança temporárias. Para obter uma lista destes serviços, consulte [Uso de credenciais de segurança temporárias para acessar a AWS](https://docs.aws.amazon.com/STS/latest/UsingSTS/UsingTokens.html).

Se a autorização falhar, a AWS retornará uma mensagem de erro "Acesso negado" (como para qualquer acesso não autorizado). Com políticas de API protegidas pela MFA em vigor, a AWS nega o acesso às operações de API especificadas nas políticas se o usuário tentar chamar uma operação da API sem uma autenticação MFA válida. A operação também é negada se o time stamp da solicitação para a operação de API estiver fora do intervalo permitido especificado na política. O usuário deve ser reautenticado com MFA através da solicitação de novas credenciais de segurança temporárias com um código de MFA e número de série do dispositivo.

### Políticas do IAM com condições de MFA
<a name="MFAProtectedAPI-policies"></a>

Políticas com condições de MFA podem ser anexadas a:
+ Um usuário ou grupo do IAM
+ Um recurso como um bucket do Amazon S3, uma fila do Amazon SQS ou um tópico do Amazon SNS
+ A política de confiança de uma função do IAM que pode ser assumida por um usuário

Você pode usar uma condição de MFA em uma política para verificar as seguintes propriedades:
+ Existência: para verificar se o usuário fez a autenticação com MFA, verifique se a chave `aws:MultiFactorAuthPresent` é `True` em uma condição `Bool`. A chave só está presente quando o usuário realiza a autenticação com credenciais de curto prazo. As credenciais de longo prazo, como as chaves de acesso, não incluem essa chave.
+ Duração: se você deseja conceder acesso apenas em um período especificado após a autenticação com MFA, use um tipo de condição numérica para comparar o tempo da chave `aws:MultiFactorAuthAge` com um valor (por exemplo, 3.600 segundos). Observe que a chave `aws:MultiFactorAuthAge` não estará presente se a MFA não tiver sido usada.

O exemplo a seguir mostra a política de confiança de uma função do IAM que inclui uma condição de MFA para testar a existência de autenticação MFA. Com essa política, os usuários da Conta da AWS especificada no elemento `Principal` (substituir `ACCOUNT-B-ID` por um ID de Conta da AWS válido) podem assumir a perfil à que essa política está anexada. No entanto, esses usuários só podem assumir a função se eles forem autenticados usando a MFA.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS": "ACCOUNT-B-ID"},
    "Action": "sts:AssumeRole",
    "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
  }
}
```

------

Para obter mais informações sobre os tipos de condições para MFA, consulte [AWSChaves de contexto de condições globais da](reference_policies_condition-keys.md), [Operadores de condição numéricos](reference_policies_elements_condition_operators.md#Conditions_Numeric) e [Operador de condição para verificar a existência de chaves de condição](reference_policies_elements_condition_operators.md#Conditions_Null). 

### Escolher entre GetSessionToken e AssumeRole
<a name="scenarios"></a>

O AWS STS fornece duas operações de API que permitem que os usuários passem informações de MFA: `GetSessionToken` e `AssumeRole`. A operação de API que o usuário chama para obter credenciais de segurança temporárias depende de qual dos seguintes cenários se aplica. 

**Use `GetSessionToken` nos seguintes cenários:**
+ Chame as operações de API que acessam recursos na mesma Conta da AWS que o usuário do IAM efetua a solicitação. Observe que credenciais temporárias de uma solicitação `GetSessionToken` poderão acessar operações de API do AWS STS e do IAM *apenas* se você incluir informações de MFA na solicitação de credenciais. Como credenciais temporárias retornadas por `GetSessionToken` incluem informações de MFA, você pode verificar a existência de MFA em operações de API individuais feitas pelas credenciais. 
+ Acesso aos recursos protegidos com políticas baseadas em recursos que incluem uma condição de MFA.

O objetivo da operação `GetSessionToken` é autenticar o usuário que usa a MFA. Não é possível usar políticas para controlar as operações de autenticação.

**Use `AssumeRole` nos seguintes cenários:**
+ Chame as operações de API que acessam recursos na mesma ou em outra Conta da AWS. As chamadas de API podem incluir qualquer API do AWS STS ou do IAM. Observe que para proteger o acesso, você impõe a MFA no momento em que o usuário assume a função. As credenciais temporárias retornadas por `AssumeRole` não incluem informações de MFA no contexto, portanto não é possível verificar a existência de operações de API individuais quanto à MFA. É por isso que você deve usar `GetSessionToken` para restringir o acesso a recursos protegidos por políticas baseadas em recursos.

**nota**  
Os logs do AWS CloudTrail conterão informações de MFA quando o usuário do IAM fizer login com MFA. Se o usuário do IAM assumir um perfil do IAM, o CloudTrail também registrará em log `mfaAuthenticated: true` nos atributos `sessionContext` para ações realizadas usando o perfil assumido. Porém, o registro em log do CloudTrail é separado do que o IAM exige quando as chamadas de API são feitas com as credenciais do perfil assumido. Para saber mais, consulte [Elemento userIdentity do CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

Detalhes sobre como implementar esses cenários são fornecidos posteriormente neste documento.

### Pontos importantes sobre acesso à API protegido por MFA
<a name="MFAProtectedAPI-important-points"></a>

É importante compreender os seguintes aspectos da proteção por MFA das operações de API:
+ A proteção por MFA está disponível apenas com credenciais de segurança temporárias, que devem ser obtidas com `AssumeRole` ou `GetSessionToken`. 
+ Você não pode usar o acesso à API protegido por MFA com credenciais de Usuário raiz da conta da AWS.
+ Você não pode usar o acesso à API protegido por MFA com chaves de segurança U2F.
+ Usuários federados não podem ser atribuídos a um dispositivo com MFA para uso com os serviços da AWS, portanto eles não podem acessar os recursos da AWS controlados por MFA. (Consulte o próximo ponto.) 
+ Outras operações de API do AWS STS que retornam credenciais temporárias não são compatíveis com MFA. Para `AssumeRoleWithWebIdentity` e `AssumeRoleWithSAML`, o usuário é autenticado por um provedor externo e a AWS não pode determinar se aquele provedor exigiu MFA. Para `GetFederationToken`, a MFA não é necessariamente associada a um usuário específico. 
+ Da mesma forma, credenciais de longo prazo (chaves de acesso de usuário do IAM e chaves de acesso do usuário raiz) não podem ser usadas com o acesso à API protegido por MFA, pois elas não expiram.
+ `AssumeRole` e `GetSessionToken` também podem ser chamados sem informações de MFA. Neste caso, o chamador recebe as credenciais de segurança temporárias, mas as informações da sessão para essas credenciais temporárias não indicam que o usuário realizou autenticação com MFA.
+ Para estabelecer a proteção por MFA para operações de API, inclua condições de MFA nas políticas. Uma política deve incluir a chave de condição `aws:MultiFactorAuthPresent` para impor o uso de MFA. Para delegação entre contas, a política de confiança da função deve incluir a chave de condição.
+ Ao permitir que outra Conta da AWS acesse recursos em sua conta, a segurança dos seus recursos dependerá da configuração da conta confiável (a outra conta, não a sua). Isso ocorre mesmo quando você exige a autenticação multifator. Qualquer identidade na conta confiável que tenha permissão para criar dispositivos MFA virtuais pode construir uma solicitação de MFA para atender esta parte de sua política de confiança da função. Antes de permitir que membros de outra conta acessem seus recursos da AWS que exigem autenticação multifator, você deve garantir que o proprietário da conta confiável siga as melhores práticas de segurança. Por exemplo, a conta confiável deve restringir o acesso a operações de API confidenciais, como operações de API de gerenciamento de dispositivos MFA, a identidades confiáveis e específicas.
+ Se uma política inclui uma condição de MFA, uma solicitação é negada se os usuários não tiverem realizado autenticação por MFA ou se eles fornecerem um identificador de dispositivo MFA inválido ou TOTP inválida.

## Cenário: Proteção por MFA para delegação entre contas
<a name="MFAProtectedAPI-cross-account-delegation"></a>

Nesse cenário, você deseja delegar acesso a usuários do IAM em outra conta, mas apenas se os usuários forem autenticados com um dispositivo com MFA da AWS. Para obter mais informações sobre delegação entre contas, consulte [Termos e conceitos das funções](id_roles.md#id_roles_terms-and-concepts). 

Imagine que você tenha a conta A (a conta de confiança que possui o recurso a ser acessado) com a usuária do IAM Anaya, que possui permissão de administrador. Ela quer conceder acesso ao usuário Richard na conta B (a conta confiável), mas quer ter certeza de que Richard é autenticado por MFA antes de assumir a função. 

1. Na conta de confiança A, Anaya cria uma função do IAM chamada `CrossAccountRole` e define a entidade de segurança na política de confiança da função para o ID de conta da conta B. A política de confiança concede permissão para a ação `AssumeRole` do AWS STS. Anaya também adiciona uma condição de MFA à política de confiança, como no exemplo a seguir. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Allow",
       "Principal": {"AWS": "ACCOUNT-B-ID"},
       "Action": "sts:AssumeRole",
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }
   }
   ```

------

1. Anaya adiciona uma política de permissões à função que especifica o que a função tem permissão para fazer. A política de permissões para uma função com proteção por MFA não é diferente de qualquer outra política de permissões para funções. O exemplo a seguir mostra a política que Anaya adiciona à função; ela permite que um usuário que a esteja assumindo execute qualquer ação do Amazon DynamoDB na tabela `Books` na conta A. Essa política também permite a ação `dynamodb:ListTables`, que é necessária para executar ações no console. 
**nota**  
A política de permissões não inclui uma condição de MFA. É importante compreender que a autenticação por MFA é usada apenas para determinar se um usuário pode assumir a função. Assim que o usuário assume a função, nenhuma outra verificação de MFA é realizada. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "TableActions",
               "Effect": "Allow",
               "Action": "dynamodb:*",
               "Resource": "arn:aws:dynamodb:*:111122223333:table/Books"
           },
           {
               "Sid": "ListTables",
               "Effect": "Allow",
               "Action": "dynamodb:ListTables",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Na conta confiável B, o administrador se certifica de que o usuário do IAM, Richard, esteja configurado com um dispositivo com MFA da AWS e de que ele saiba o ID do dispositivo. O ID do dispositivo será o número de série, se ele for um dispositivo MFA de hardware, ou o ARN do dispositivo, se ele for um dispositivo MFA virtual.

1. Na conta B, o administrador anexa a seguinte política ao usuário Richard (ou a um grupo do qual ele seja membro) que permite que ele invoque a ação `AssumeRole`. O recurso é definido como o ARN da função que Anaya criou na etapa 1. Observe que esta política não contém uma condição de MFA.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Resource": [
                   "arn:aws:iam::111122223333:role/CrossAccountRole"
               ]
           }
       ]
   }
   ```

------

1. Na conta B, Richard (ou um aplicativo que Richard está executando) chama `AssumeRole`. A chamada de API inclui o ARN da função a assumir (`arn:aws:iam::ACCOUNT-A-ID:role/CrossAccountRole`), o ID do dispositivo MFA e a TOTP atual que Richard recebe de seu dispositivo. 

   Quando Richard chama `AssumeRole`, a AWS determina se ele tem credenciais válidas, incluindo a exigência de MFA. Dessa forma, Richard assume a função com êxito e pode executar qualquer ação do DynamoDB na tabela chamada `Books` na conta A usando as credenciais temporárias da função. 

   Para obter um exemplo de um programa que executa chamadas `AssumeRole`, consulte [Chamar AssumeRole com autenticação MFA (Python)](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-assumerole).

## Cenário: Proteção por MFA para acesso às operações da API na conta atual
<a name="MFAProtectedAPI-user-mfa"></a>

Nesse cenário, você deve se certificar que um usuário na sua Conta da AWS pode acessar operações de API confidenciais apenas se ele for autenticado usando um dispositivo de MFA da AWS.

Imagine que você tem a conta A que contém um grupo de desenvolvedores que precisa trabalhar com instâncias do EC2. Desenvolvedores comuns podem trabalhar com as instâncias, mas não recebem permissões para as ações `ec2:StopInstances` ou `ec2:TerminateInstances`. Você deseja limitar essas ações privilegiadas “destrutivas” a apenas alguns usuários confiáveis, portanto você adiciona proteção por MFA à política que permite essas ações importantes do Amazon EC2. 

Nesse cenário, um desses usuários confiáveis é o usuário Sofía. O usuário Anaya é um administrador na conta A. 

1. Anaya se certifica de que Sofía esteja configurada com um dispositivo com MFA da AWS e de que ela saiba o ID do dispositivo. O ID do dispositivo será o número de série, se ele for um dispositivo MFA de hardware, ou o ARN do dispositivo, se ele for um dispositivo MFA virtual. 

1. Anaya cria um grupo chamado `EC2-Admins` e adiciona o usuário Sofía ao grupo.

1. Anaya anexa a seguinte política ao grupo `EC2-Admins`. Essa política concede aos usuários permissão para chamar as ações `StopInstances` e `TerminateInstances` do Amazon EC2 apenas se o usuário tiver se autenticado usando a MFA. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Action": [
         "ec2:StopInstances",
         "ec2:TerminateInstances"
       ],
       "Resource": ["*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------

1. 
**nota**  
Para essa política entrar em vigor, os usuários devem primeiro sair e depois fazer login novamente.

   Se a usuária Sofía precisar interromper ou encerrar uma instância do Amazon EC2, ela (ou uma aplicação que ela esteja executando) chamará `GetSessionToken`. Essa operação de API transmite o ID do dispositivo MFA e a TOTP atual que Sofía recebeu de seu dispositivo.

1. A usuária Sofía (ou uma aplicação que Sofía esteja usando) usa as credenciais temporárias fornecidas por `GetSessionToken` para chamar a ação `StopInstances` ou `TerminateInstances` do Amazon EC2. 

   Para obter um exemplo de um programa que executa chamadas `GetSessionToken`, consulte [Chamar GetSessionToken com autenticação MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) adiante neste documento.

## Cenário: Proteção por MFA para recursos que têm políticas baseadas em recurso
<a name="MFAProtectedAPI-resource-policies"></a>

Nesse cenário, você é o proprietário de um bucket do S3, de uma fila do SQS ou de um tópico do SNS. Você deseja ter certeza de que qualquer usuário de qualquer Conta da AWS que acessa o recurso seja autenticado por um dispositivo de MFA da AWS. 

Este cenário ilustra uma maneira de fornecer proteção por MFA entre contas sem a exigência de que os usuários assumam uma função primeiro. Neste caso, o usuário pode acessar o recurso se atender a três condições: estar autenticado por MFA, ser capaz de obter credenciais de segurança temporárias do `GetSessionToken`, e ter uma conta de confiança da política do recurso. 

Imagine que você está na conta A e cria um bucket do S3. Você deseja conceder acesso a este bucket para os usuários em várias Contas da AWS diferentes, mas somente se esses usuários forem autenticados com MFA.

Nesse cenário, o usuário Anaya é um administrador na conta A. O usuário Nikhil é um usuário do IAM na conta C.

1. Na conta A, Anaya cria um bucket chamado `Account-A-bucket`.

1. Anaya adiciona a política de bucket ao bucket. A política permite que qualquer usuário na conta A, B ou C execute as ações `PutObject` e `DeleteObject` do Amazon S3 no bucket. A política inclui uma condição de MFA. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Principal": {"AWS": [
         "ACCOUNT-A-ID",
         "ACCOUNT-B-ID",
         "ACCOUNT-C-ID"
       ]},
       "Action": [
         "s3:PutObject",
         "s3:DeleteObject"
       ],
       "Resource": ["arn:aws:s3:::ACCOUNT-A-BUCKET-NAME/*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------
**nota**  
O Amazon S3 oferece um recurso de exclusão de MFA para acesso à conta *raiz* (apenas). Você pode habilitar a exclusão de MFA do Amazon S3 ao definir o estado de versionamento do bucket. A exclusão de MFA do Amazon S3 não pode ser aplicada a um usuário do IAM e é gerenciada independentemente do acesso à API protegido por MFA. Um usuário do IAM com permissões para excluir um bucket não pode excluir um bucket com a exclusão de MFA do Amazon S3 habilitada. Para obter mais informações sobre a exclusão de MFA do Amazon S3, consulte [Exclusão de MFA](https://docs.aws.amazon.com/AmazonS3/latest/dev/MultiFactorAuthenticationDelete.html).

1. Na conta C, um administrador se certifica de que o usuário Nikhil esteja configurado com um dispositivo com MFA da AWS e que ele saiba o ID do dispositivo. O ID do dispositivo será o número de série, se ele for um dispositivo MFA de hardware, ou o ARN do dispositivo, se ele for um dispositivo MFA virtual. 

1. Na conta C, Nikhil (ou um aplicativo que ele está executando) chama `GetSessionToken`. A chamada inclui o ID ou ARN do dispositivo de MFA e a TOTP atual que Nikhil recebe de seu dispositivo. 

1. Nikhil (ou uma aplicação que ele esteja usando) usa as credenciais temporárias retornadas por `GetSessionToken` para chamar a ação `PutObject` do Amazon S3 para carregar um arquivo para `Account-A-bucket`. 

   Para obter um exemplo de um programa que executa chamadas `GetSessionToken`, consulte [Chamar GetSessionToken com autenticação MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) adiante neste documento.
**nota**  
As credenciais temporárias que `AssumeRole` retorna não funcionam neste caso. Embora o usuário possa fornecer informações de MFA para assumir uma função, as credenciais temporárias retornadas por `AssumeRole` não incluem as informações de MFA. Essas informações são necessárias para atender à condição de MFA na política. 

# Código de exemplo: Solicitação de credenciais com autenticação multifator
<a name="id_credentials_mfa_sample-code"></a>

Os exemplos a seguir, mostram como chamar as operações `GetSessionToken` e `AssumeRole` e transmitir os parâmetros de autenticação MFA. Não é necessário ter permissão para chamar `GetSessionToken`, mas você deve ter uma política que permita a chamada `AssumeRole`. As credenciais retornadas são, então, usadas para listar todos os buckets do S3 na conta.

## Chamar GetSessionToken com autenticação MFA
<a name="MFAProtectedAPI-example-getsessiontoken"></a>

O exemplo a seguir mostra como chamar `GetSessionToken` e transmitir informações da autenticação MFA. As credenciais de segurança temporárias retornadas pela operação `GetSessionToken` são usadas para listar todos os buckets do S3 na conta.

A política anexada ao usuário que executa esse código (ou a um grupo em que o usuário está) fornece as permissões para as credenciais temporárias retornadas. Para este código de exemplo, a política deve conceder ao usuário permissão para solicitar a operação `ListBuckets` do Amazon S3. 

Os exemplos de código a seguir mostram como usar o `GetSessionToken`.

------
#### [ CLI ]

**AWS CLI**  
**Como obter um conjunto de credenciais de curto prazo para uma identidade do IAM**  
O comando `get-session-token`, apresentado a seguir, recupera um conjunto de credenciais de curto prazo para a identidade do IAM que executa a chamada. As credenciais resultantes podem ser usadas para solicitações em que a autenticação multifator (MFA) é requerida pela política. As credenciais expiram 15 minutos após serem geradas.  

```
aws sts get-session-token \
    --duration-seconds 900 \
    --serial-number "YourMFADeviceSerialNumber" \
    --token-code 123456
```
Resultado:  

```
{
    "Credentials": {
        "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    }
}
```
Para obter mais informações, consulte [Solicitação de credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken) no *Guia do usuário do AWS IAM*.  
+  Consulte detalhes da API em [GetSessionToken](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-session-token.html) na *Referência de comandos da AWS CLI*. 

------
#### [ PowerShell ]

**Ferramentas para PowerShell V4**  
**Exemplo 1: retorna uma instância `Amazon.RuntimeAWSCredentials` contendo credenciais temporárias válidas por um determinado período. As credenciais usadas para solicitar credenciais temporárias são inferidas dos padrões atuais do shell. Para especificar outras credenciais, use os parâmetros -ProfileName ou -AccessKey/-SecretKey.**  

```
Get-STSSessionToken
```
**Saída:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Exemplo 2: retorna uma instância `Amazon.RuntimeAWSCredentials` contendo credenciais temporárias válidas por uma hora. As credenciais usadas para fazer a solicitação são obtidas do perfil especificado.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Saída:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Exemplo 3: retorna uma instância `Amazon.RuntimeAWSCredentials` contendo credenciais temporárias válidas por uma hora usando o número de identificação do dispositivo de MFA associado à conta cujas credenciais estão especificadas no perfil 'myprofilename' e o valor fornecido pelo dispositivo.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Saída:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Consulte detalhes da API em [GetSessionToken](https://docs.aws.amazon.com/powershell/v4/reference) na *Referência de cmdlets do Ferramentas da AWS para PowerShell (V4)*. 

**Ferramentas para o PowerShell V5**  
**Exemplo 1: retorna uma instância `Amazon.RuntimeAWSCredentials` contendo credenciais temporárias válidas por um determinado período. As credenciais usadas para solicitar credenciais temporárias são inferidas dos padrões atuais do shell. Para especificar outras credenciais, use os parâmetros -ProfileName ou -AccessKey/-SecretKey.**  

```
Get-STSSessionToken
```
**Saída:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Exemplo 2: retorna uma instância `Amazon.RuntimeAWSCredentials` contendo credenciais temporárias válidas por uma hora. As credenciais usadas para fazer a solicitação são obtidas do perfil especificado.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Saída:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Exemplo 3: retorna uma instância `Amazon.RuntimeAWSCredentials` contendo credenciais temporárias válidas por uma hora usando o número de identificação do dispositivo de MFA associado à conta cujas credenciais estão especificadas no perfil 'myprofilename' e o valor fornecido pelo dispositivo.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Saída:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Para obter detalhes sobre a API, consulte [GetSessionToken](https://docs.aws.amazon.com/powershell/v5/reference) na *Ferramentas da AWS para PowerShell Cmdlet Reference (V5)*. 

------
#### [ Python ]

**SDK para Python (Boto3).**  
 Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWSCode Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples). 
Obtenha um token de sessão passando um token de MFA e use-o para listar os buckets do Amazon S3 para a conta.  

```
def list_buckets_with_session_token_with_mfa(mfa_serial_number, mfa_totp, sts_client):
    """
    Gets a session token with MFA credentials and uses the temporary session
    credentials to list Amazon S3 buckets.

    Requires an MFA device serial number and token.

    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an Amazon Resource Name (ARN).
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    if mfa_serial_number is not None:
        response = sts_client.get_session_token(
            SerialNumber=mfa_serial_number, TokenCode=mfa_totp
        )
    else:
        response = sts_client.get_session_token()
    temp_credentials = response["Credentials"]

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Buckets for the account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Consulte detalhes da API em [GetSessionToken](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/GetSessionToken) na *Referência da API AWS SDK for Python (Boto3)*. 

------

## Chamar AssumeRole com autenticação MFA (Python)
<a name="MFAProtectedAPI-example-assumerole"></a>

Os exemplos a seguir mostram como chamar `AssumeRole` e transmitir informações da autenticação MFA. As credenciais de segurança temporárias retornadas por `AssumeRole` são, então, usadas para listar todos os buckets do Amazon S3 na conta.

Para ter mais informações sobre esse cenário, consulte [Cenário: Proteção por MFA para delegação entre contas](id_credentials_mfa_configure-api-require.md#MFAProtectedAPI-cross-account-delegation). 

Os exemplos de código a seguir mostram como usar o `AssumeRole`.

------
#### [ .NET ]

**SDK para .NET**  
 Há mais no GitHub. Encontre o exemplo completo e veja como configurar e executar no [AWS Code Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/STS#code-examples). 

```
using System;
using System.Threading.Tasks;
using Amazon;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;

namespace AssumeRoleExample
{
    class AssumeRole
    {
        /// <summary>
        /// This example shows how to use the AWS Security Token
        /// Service (AWS STS) to assume an IAM role.
        ///
        /// NOTE: It is important that the role that will be assumed has a
        /// trust relationship with the account that will assume the role.
        ///
        /// Before you run the example, you need to create the role you want to
        /// assume and have it trust the IAM account that will assume that role.
        ///
        /// See https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html
        /// for help in working with roles.
        /// </summary>

        // A region property may be used if the profile or credentials loaded do not specify a region,
        // or to use a specific region.
        private static readonly RegionEndpoint REGION = RegionEndpoint.USWest2;

        static async Task Main()
        {
            // Create the SecurityToken client and then display the identity of the
            // default user.
            var roleArnToAssume = "arn:aws:iam::123456789012:role/testAssumeRole";

            var client = new Amazon.SecurityToken.AmazonSecurityTokenServiceClient(REGION);

            // Get and display the information about the identity of the default user.
            var callerIdRequest = new GetCallerIdentityRequest();
            var caller = await client.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"Original Caller: {caller.Arn}");

            // Create the request to use with the AssumeRoleAsync call.
            var assumeRoleReq = new AssumeRoleRequest()
            {
                DurationSeconds = 1600,
                RoleSessionName = "Session1",
                RoleArn = roleArnToAssume
            };

            var assumeRoleRes = await client.AssumeRoleAsync(assumeRoleReq);

            // Now create a new client based on the credentials of the caller assuming the role.
            var client2 = new AmazonSecurityTokenServiceClient(credentials: assumeRoleRes.Credentials, REGION);

            // Get and display information about the caller that has assumed the defined role.
            var caller2 = await client2.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"AssumedRole Caller: {caller2.Arn}");
        }
    }
}
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/goto/DotNetSDKV3/sts-2011-06-15/AssumeRole) na *Referência da API AWS SDK para .NET*. 

------
#### [ Bash ]

**AWS CLI com script Bash**  
 Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWSCode Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/aws-cli/bash-linux/iam#code-examples). 

```
###############################################################################
# function iecho
#
# This function enables the script to display the specified text only if
# the global variable $VERBOSE is set to true.
###############################################################################
function iecho() {
  if [[ $VERBOSE == true ]]; then
    echo "$@"
  fi
}

###############################################################################
# function errecho
#
# This function outputs everything sent to it to STDERR (standard error output).
###############################################################################
function errecho() {
  printf "%s\n" "$*" 1>&2
}

###############################################################################
# function sts_assume_role
#
# This function assumes a role in the AWS account and returns the temporary
#  credentials.
#
# Parameters:
#       -n role_session_name -- The name of the session.
#       -r role_arn -- The ARN of the role to assume.
#
# Returns:
#       [access_key_id, secret_access_key, session_token]
#     And:
#       0 - If successful.
#       1 - If an error occurred.
###############################################################################
function sts_assume_role() {
  local role_session_name role_arn response
  local option OPTARG # Required to use getopts command in a function.

  # bashsupport disable=BP5008
  function usage() {
    echo "function sts_assume_role"
    echo "Assumes a role in the AWS account and returns the temporary credentials:"
    echo "  -n role_session_name -- The name of the session."
    echo "  -r role_arn -- The ARN of the role to assume."
    echo ""
  }

  while getopts n:r:h option; do
    case "${option}" in
      n) role_session_name=${OPTARG} ;;
      r) role_arn=${OPTARG} ;;
      h)
        usage
        return 0
        ;;
      \?)
        echo "Invalid parameter"
        usage
        return 1
        ;;
    esac
  done

  response=$(aws sts assume-role \
    --role-session-name "$role_session_name" \
    --role-arn "$role_arn" \
    --output text \
    --query "Credentials.[AccessKeyId, SecretAccessKey, SessionToken]")

  local error_code=${?}

  if [[ $error_code -ne 0 ]]; then
    aws_cli_error_log $error_code
    errecho "ERROR: AWS reports create-role operation failed.\n$response"
    return 1
  fi

  echo "$response"

  return 0
}
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/goto/aws-cli/sts-2011-06-15/AssumeRole) na *Referência de comandos da AWS CLI*. 

------
#### [ C\$1\$1 ]

**SDK para C\$1\$1**  
 Há mais no GitHub. Encontre o exemplo completo e veja como configurar e executar no [repositório de exemplos de código da AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp/example_code/sts#code-examples). 

```
bool AwsDoc::STS::assumeRole(const Aws::String &roleArn,
                             const Aws::String &roleSessionName,
                             const Aws::String &externalId,
                             Aws::Auth::AWSCredentials &credentials,
                             const Aws::Client::ClientConfiguration &clientConfig) {
    Aws::STS::STSClient sts(clientConfig);
    Aws::STS::Model::AssumeRoleRequest sts_req;

    sts_req.SetRoleArn(roleArn);
    sts_req.SetRoleSessionName(roleSessionName);
    sts_req.SetExternalId(externalId);

    const Aws::STS::Model::AssumeRoleOutcome outcome = sts.AssumeRole(sts_req);

    if (!outcome.IsSuccess()) {
        std::cerr << "Error assuming IAM role. " <<
                  outcome.GetError().GetMessage() << std::endl;
    }
    else {
        std::cout << "Credentials successfully retrieved." << std::endl;
        const Aws::STS::Model::AssumeRoleResult result = outcome.GetResult();
        const Aws::STS::Model::Credentials &temp_credentials = result.GetCredentials();

        // Store temporary credentials in return argument.
        // Note: The credentials object returned by assumeRole differs
        // from the AWSCredentials object used in most situations.
        credentials.SetAWSAccessKeyId(temp_credentials.GetAccessKeyId());
        credentials.SetAWSSecretKey(temp_credentials.GetSecretAccessKey());
        credentials.SetSessionToken(temp_credentials.GetSessionToken());
    }

    return outcome.IsSuccess();
}
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/goto/SdkForCpp/sts-2011-06-15/AssumeRole) na *Referência da API AWS SDK para C\$1\$1*. 

------
#### [ CLI ]

**AWS CLI**  
**Como assumir um perfil**  
O comando `assume-role`, apresentado a seguir, recupera um conjunto de credenciais de curto prazo para o perfil do IAM `s3-access-example`.  

```
aws sts assume-role \
    --role-arn arn:aws:iam::123456789012:role/xaccounts3access \
    --role-session-name s3-access-example
```
Resultado:  

```
{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA3XFRBF535PLBIFPI4:s3-access-example",
        "Arn": "arn:aws:sts::123456789012:assumed-role/xaccounts3access/s3-access-example"
    },
    "Credentials": {
        "SecretAccessKey": "9drTJvcXLB89EXAMPLELB8923FB892xMFI",
        "SessionToken": "AQoXdzELDDY//////////wEaoAK1wvxJY12r2IrDFT2IvAzTCn3zHoZ7YNtpiQLF0MqZye/qwjzP2iEXAMPLEbw/m3hsj8VBTkPORGvr9jM5sgP+w9IZWZnU+LWhmg+a5fDi2oTGUYcdg9uexQ4mtCHIHfi4citgqZTgco40Yqr4lIlo4V2b2Dyauk0eYFNebHtYlFVgAUj+7Indz3LU0aTWk1WKIjHmmMCIoTkyYp/k7kUG7moeEYKSitwQIi6Gjn+nyzM+PtoA3685ixzv0R7i5rjQi0YE0lf1oeie3bDiNHncmzosRM6SFiPzSvp6h/32xQuZsjcypmwsPSDtTPYcs0+YN/8BRi2/IcrxSpnWEXAMPLEXSDFTAQAM6Dl9zR0tXoybnlrZIwMLlMi1Kcgo5OytwU=",
        "Expiration": "2016-03-15T00:05:07Z",
        "AccessKeyId": "ASIAJEXAMPLEXEG2JICEA"
    }
}
```
A saída do comando contém uma chave de acesso, uma chave secreta e um token de sessão que você pode usar para se autenticar na AWS.  
Para o uso da AWS CLI, é possível configurar um perfil nomeado associado a um perfil. Ao usar o perfil, a AWS CLI chamará assume-role e gerenciará credenciais para você. Para obter mais informações, consulte [Uso de perfis do IAM na AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) no *Guia do usuário da AWS CLI*.  
+  Consulte detalhes da API em [AssumeRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html) na *Referência de comandos da AWS CLI*. 

------
#### [ Java ]

**SDK para Java 2.x**  
 Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWSCode Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2/example_code/sts#code-examples). 

```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.sts.StsClient;
import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;
import software.amazon.awssdk.services.sts.model.StsException;
import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;
import software.amazon.awssdk.services.sts.model.Credentials;
import java.time.Instant;
import java.time.ZoneId;
import java.time.format.DateTimeFormatter;
import java.time.format.FormatStyle;
import java.util.Locale;

/**
 * To make this code example work, create a Role that you want to assume.
 * Then define a Trust Relationship in the AWS Console. You can use this as an
 * example:
 *
 * {
 * "Version":"2012-10-17",		 	 	 
 * "Statement": [
 * {
 * "Effect": "Allow",
 * "Principal": {
 * "AWS": "<Specify the ARN of your IAM user you are using in this code example>"
 * },
 * "Action": "sts:AssumeRole"
 * }
 * ]
 * }
 *
 * For more information, see "Editing the Trust Relationship for an Existing
 * Role" in the AWS Directory Service guide.
 *
 * Also, set up your development environment, including your credentials.
 *
 * For information, see this documentation topic:
 *
 * https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/get-started.html
 */
public class AssumeRole {
    public static void main(String[] args) {
        final String usage = """

                Usage:
                    <roleArn> <roleSessionName>\s

                Where:
                    roleArn - The Amazon Resource Name (ARN) of the role to assume (for example, arn:aws:iam::000008047983:role/s3role).\s
                    roleSessionName - An identifier for the assumed role session (for example, mysession).\s
                """;

        if (args.length != 2) {
            System.out.println(usage);
            System.exit(1);
        }

        String roleArn = args[0];
        String roleSessionName = args[1];
        Region region = Region.US_EAST_1;
        StsClient stsClient = StsClient.builder()
                .region(region)
                .build();

        assumeGivenRole(stsClient, roleArn, roleSessionName);
        stsClient.close();
    }

    public static void assumeGivenRole(StsClient stsClient, String roleArn, String roleSessionName) {
        try {
            AssumeRoleRequest roleRequest = AssumeRoleRequest.builder()
                    .roleArn(roleArn)
                    .roleSessionName(roleSessionName)
                    .build();

            AssumeRoleResponse roleResponse = stsClient.assumeRole(roleRequest);
            Credentials myCreds = roleResponse.credentials();

            // Display the time when the temp creds expire.
            Instant exTime = myCreds.expiration();
            String tokenInfo = myCreds.sessionToken();

            // Convert the Instant to readable date.
            DateTimeFormatter formatter = DateTimeFormatter.ofLocalizedDateTime(FormatStyle.SHORT)
                    .withLocale(Locale.US)
                    .withZone(ZoneId.systemDefault());

            formatter.format(exTime);
            System.out.println("The token " + tokenInfo + "  expires on " + exTime);

        } catch (StsException e) {
            System.err.println(e.getMessage());
            System.exit(1);
        }
    }
}
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/goto/SdkForJavaV2/sts-2011-06-15/AssumeRole) na *Referência da API AWS SDK for Java 2.x*. 

------
#### [ JavaScript ]

**SDK para JavaScript (v3)**  
 Há mais no GitHub. Encontre o exemplo completo e veja como configurar e executar no [Repositório de exemplos de código da AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/sts#code-examples). 
Crie o cliente.  

```
import { STSClient } from "@aws-sdk/client-sts";
// Set the AWS Region.
const REGION = "us-east-1";
// Create an AWS STS service client object.
export const client = new STSClient({ region: REGION });
```
Assuma um perfil do IAM.  

```
import { AssumeRoleCommand } from "@aws-sdk/client-sts";

import { client } from "../libs/client.js";

export const main = async () => {
  try {
    // Returns a set of temporary security credentials that you can use to
    // access Amazon Web Services resources that you might not normally
    // have access to.
    const command = new AssumeRoleCommand({
      // The Amazon Resource Name (ARN) of the role to assume.
      RoleArn: "ROLE_ARN",
      // An identifier for the assumed role session.
      RoleSessionName: "session1",
      // The duration, in seconds, of the role session. The value specified
      // can range from 900 seconds (15 minutes) up to the maximum session
      // duration set for the role.
      DurationSeconds: 900,
    });
    const response = await client.send(command);
    console.log(response);
  } catch (err) {
    console.error(err);
  }
};
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/client/sts/command/AssumeRoleCommand) na *Referência da API AWS SDK para JavaScript*. 

**SDK para JavaScript (v2)**  
 Há mais no GitHub. Encontre o exemplo completo e veja como configurar e executar no [repositório de exemplos de código da AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascript/example_code/sts#code-examples). 

```
// Load the AWS SDK for Node.js
const AWS = require("aws-sdk");
// Set the region
AWS.config.update({ region: "REGION" });

var roleToAssume = {
  RoleArn: "arn:aws:iam::123456789012:role/RoleName",
  RoleSessionName: "session1",
  DurationSeconds: 900,
};
var roleCreds;

// Create the STS service object
var sts = new AWS.STS({ apiVersion: "2011-06-15" });

//Assume Role
sts.assumeRole(roleToAssume, function (err, data) {
  if (err) console.log(err, err.stack);
  else {
    roleCreds = {
      accessKeyId: data.Credentials.AccessKeyId,
      secretAccessKey: data.Credentials.SecretAccessKey,
      sessionToken: data.Credentials.SessionToken,
    };
    stsGetCallerIdentity(roleCreds);
  }
});

//Get Arn of current identity
function stsGetCallerIdentity(creds) {
  var stsParams = { credentials: creds };
  // Create STS service object
  var sts = new AWS.STS(stsParams);

  sts.getCallerIdentity({}, function (err, data) {
    if (err) {
      console.log(err, err.stack);
    } else {
      console.log(data.Arn);
    }
  });
}
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/sts-2011-06-15/AssumeRole) na *Referência da API AWS SDK para JavaScript*. 

------
#### [ PowerShell ]

**Ferramentas para PowerShell V4**  
**Exemplo 1: retorna um conjunto de credenciais temporárias (chave de acesso, chave secreta e token de sessão) que, durante uma hora, podem ser usadas para acessar recursos da AWS aos quais o usuário solicitante normalmente não teria acesso. As credenciais retornadas têm as permissões permitidas pela política de acesso do perfil assumido e pela política fornecida (não é possível usar a política fornecida para conceder permissões além das definidas pela política de acesso do perfil que está sendo assumido).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Exemplo 2: retorna um conjunto de credenciais temporárias, válidas por uma hora, que têm as mesmas permissões definidas na política de acesso do perfil que está sendo assumido.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Exemplo 3: retorna um conjunto de credenciais temporárias que fornecem o número de série e o token gerado de uma MFA associada às credenciais do usuário usadas para executar o cmdlet.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Exemplo 4: retorna um conjunto de credenciais temporárias que assumiram um perfil definido em uma conta de cliente. Para cada perfil que o terceiro possa assumir, a conta do cliente deve criar um perfil usando um identificador a ser transmitido no parâmetro -ExternalId sempre que o perfil for assumido.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/powershell/v4/reference) na *Referência de cmdlets do Ferramentas da AWS para PowerShell (V4)*. 

**Ferramentas para o PowerShell V5**  
**Exemplo 1: retorna um conjunto de credenciais temporárias (chave de acesso, chave secreta e token de sessão) que, durante uma hora, podem ser usadas para acessar recursos da AWS aos quais o usuário solicitante normalmente não teria acesso. As credenciais retornadas têm as permissões permitidas pela política de acesso do perfil assumido e pela política fornecida (não é possível usar a política fornecida para conceder permissões além das definidas pela política de acesso do perfil que está sendo assumido).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Exemplo 2: retorna um conjunto de credenciais temporárias, válidas por uma hora, que têm as mesmas permissões definidas na política de acesso do perfil que está sendo assumido.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Exemplo 3: retorna um conjunto de credenciais temporárias que fornecem o número de série e o token gerado de uma MFA associada às credenciais do usuário usadas para executar o cmdlet.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Exemplo 4: retorna um conjunto de credenciais temporárias que assumiram um perfil definido em uma conta de cliente. Para cada perfil que o terceiro possa assumir, a conta do cliente deve criar um perfil usando um identificador a ser transmitido no parâmetro -ExternalId sempre que o perfil for assumido.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Para obter detalhes sobre a API, consulte [AssumeRole](https://docs.aws.amazon.com/powershell/v5/reference) na *Ferramentas da AWS para PowerShell Cmdlet Reference (V5)*. 

------
#### [ Python ]

**SDK para Python (Boto3).**  
 Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWSCode Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples). 
Assuma um perfil do IAM que exija um token de MFA e use credenciais temporárias para listar os buckets do Amazon S3 para a conta.  

```
def list_buckets_from_assumed_role_with_mfa(
    assume_role_arn, session_name, mfa_serial_number, mfa_totp, sts_client
):
    """
    Assumes a role from another account and uses the temporary credentials from
    that role to list the Amazon S3 buckets that are owned by the other account.
    Requires an MFA device serial number and token.

    The assumed role must grant permission to list the buckets in the other account.

    :param assume_role_arn: The Amazon Resource Name (ARN) of the role that
                            grants access to list the other account's buckets.
    :param session_name: The name of the STS session.
    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an ARN.
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    response = sts_client.assume_role(
        RoleArn=assume_role_arn,
        RoleSessionName=session_name,
        SerialNumber=mfa_serial_number,
        TokenCode=mfa_totp,
    )
    temp_credentials = response["Credentials"]
    print(f"Assumed role {assume_role_arn} and got temporary credentials.")

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Listing buckets for the assumed role's account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/AssumeRole) na *Referência da API AWS SDK for Python (Boto3)*. 

------
#### [ Ruby ]

**SDK para Ruby**  
 Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWSCode Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby/example_code/iam#code-examples). 

```
  # Creates an AWS Security Token Service (AWS STS) client with specified credentials.
  # This is separated into a factory function so that it can be mocked for unit testing.
  #
  # @param key_id [String] The ID of the access key used by the STS client.
  # @param key_secret [String] The secret part of the access key used by the STS client.
  def create_sts_client(key_id, key_secret)
    Aws::STS::Client.new(access_key_id: key_id, secret_access_key: key_secret)
  end

  # Gets temporary credentials that can be used to assume a role.
  #
  # @param role_arn [String] The ARN of the role that is assumed when these credentials
  #                          are used.
  # @param sts_client [AWS::STS::Client] An AWS STS client.
  # @return [Aws::AssumeRoleCredentials] The credentials that can be used to assume the role.
  def assume_role(role_arn, sts_client)
    credentials = Aws::AssumeRoleCredentials.new(
      client: sts_client,
      role_arn: role_arn,
      role_session_name: 'create-use-assume-role-scenario'
    )
    @logger.info("Assumed role '#{role_arn}', got temporary credentials.")
    credentials
  end
```
+  Consulte detalhes da API em [AssumeRole](https://docs.aws.amazon.com/goto/SdkForRubyV3/sts-2011-06-15/AssumeRole) na *Referência da API AWS SDK para Ruby*. 

------
#### [ Rust ]

**SDK para Rust**  
 Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWSCode Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1/examples/sts/#code-examples). 

```
async fn assume_role(config: &SdkConfig, role_name: String, session_name: Option<String>) {
    let provider = aws_config::sts::AssumeRoleProvider::builder(role_name)
        .session_name(session_name.unwrap_or("rust_sdk_example_session".into()))
        .configure(config)
        .build()
        .await;

    let local_config = aws_config::from_env()
        .credentials_provider(provider)
        .load()
        .await;
    let client = Client::new(&local_config);
    let req = client.get_caller_identity();
    let resp = req.send().await;
    match resp {
        Ok(e) => {
            println!("UserID :               {}", e.user_id().unwrap_or_default());
            println!("Account:               {}", e.account().unwrap_or_default());
            println!("Arn    :               {}", e.arn().unwrap_or_default());
        }
        Err(e) => println!("{:?}", e),
    }
}
```
+  Consulte detalhes da API em [AssumeRole](https://docs.rs/aws-sdk-sts/latest/aws_sdk_sts/client/struct.Client.html#method.assume_role) na *Referência do AWS SDK para API Rust*. 

------
#### [ Swift ]

**SDK para Swift**  
 Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWSCode Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift/example_code/iam#code-examples). 

```
import AWSSTS

    public func assumeRole(role: IAMClientTypes.Role, sessionName: String)
        async throws -> STSClientTypes.Credentials
    {
        let input = AssumeRoleInput(
            roleArn: role.arn,
            roleSessionName: sessionName
        )
        do {
            let output = try await stsClient.assumeRole(input: input)

            guard let credentials = output.credentials else {
                throw ServiceHandlerError.authError
            }

            return credentials
        } catch {
            print("Error assuming role: ", dump(error))
            throw error
        }
    }
```
+  Para obter detalhes da API, consulte [AssumeRole](https://sdk.amazonaws.com/swift/api/awssts/latest/documentation/awssts/stsclient/assumerole(input:)) na *Referência do AWS SDK para API Swift*. 

------

# Credenciais específicas do serviço para usuários do IAM
<a name="id_credentials_service-specific-creds"></a>

Credenciais específicas do serviço são mecanismos de autenticação especializados criados para serviços específicos da AWS. Essas credenciais fornecem autenticação simplificada em comparação com as credenciais padrão da AWS e são ajustadas aos requisitos de autenticação de serviços individuais da AWS. Diferentemente das chaves de acesso, que podem ser usadas em vários serviços da AWS, as credenciais específicas do serviço destinam-se a ser usadas apenas com o serviço para o qual foram criadas. Essa abordagem direcionada aumenta a segurança por limitar o escopo das credenciais.

As credenciais específicas do serviço geralmente consistem em um par de nome de usuário e senha ou em chaves de API especializadas que são formatadas de acordo com os requisitos do serviço específico. Quando você cria credenciais específicas do serviço, elas estão ativas por padrão e podem ser usadas imediatamente. Você pode ter, no máximo, dois conjuntos de credenciais específicas do serviço para cada serviço compatível por usuário do IAM. Esse limite permite que você mantenha um conjunto ativo enquanto troca para um novo conjunto quando necessário. Atualmente, a AWS é compatível com credenciais específicas dos seguintes serviços:

## Quando usar credenciais específicas do serviço
<a name="id_credentials_service-specific-creds-usecase"></a>

As credenciais específicas do serviço são destinadas à compatibilidade com bibliotecas, SDKs, ferramentas ou aplicações de terceiros que não são compatíveis nativamente com credenciais da AWS, AWS SDKs ou APIs da AWS. Esses casos de uso incluem migrar para a AWS serviços existentes em infraestrutura auto-hospedada ou serviços hospedados por outros provedores.

Ao começar do zero, e sempre que possível, recomendamos usar credenciais da AWS temporárias, como as fornecidas por um perfil do IAM, para se autenticar em um serviço da AWS usando um AWS SDK ou uma biblioteca que ofereça suporte a credenciais temporárias da AWS.

## Troca de credenciais específicas do serviço
<a name="id_credentials_service-specific-creds-rotation"></a>

Como uma prática recomendada de segurança, troque as credenciais específicas do serviço regularmente. Para trocar as credenciais sem prejudicar as aplicações:

1. Crie um segundo conjunto de credenciais específicas do serviço para o mesmo serviço e usuário do IAM

1. Atualize todas a aplicações para que usem as novas credenciais e verifique se elas funcionam bem

1. Altere o status das credenciais originais para "Inativas"

1. Verifique se todas as aplicações continuam a funcionar adequadamente

1. Exclua as credenciais específicas do serviço inativas quando tiver certeza de que não são mais necessárias

## Monitorar credenciais específicas do serviço
<a name="id_credentials_service-specific-creds-monitoring"></a>

Você pode usar o AWS CloudTrail para monitorar o uso de credenciais específicas do serviço em sua conta da AWS. Para visualizar os eventos do CloudTrail relacionados ao uso das credenciais específicas do serviço, revise os logs do CloudTrail para verificar os eventos do serviço nos quais as credenciais são usadas. Para obter mais informações, consulte [Registro em log de chamadas de API do IAM e do AWS STS com o AWS CloudTrail](cloudtrail-integration.md).

Para ter mais segurança, pense em configurar alarmes do CloudWatch que notifiquem sobre padrões específicos de uso das credenciais que possam indicar acesso não autorizado ou outras preocupações de segurança. Para obter mais informações, consulte [Monitoring CloudTrail Log Files with Amazon CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) no *AWS CloudTrail User Guide*.

Os tópicos a seguir fornecem informações sobre credenciais específicas do serviço.

**Topics**
+ [Quando usar credenciais específicas do serviço](#id_credentials_service-specific-creds-usecase)
+ [Troca de credenciais específicas do serviço](#id_credentials_service-specific-creds-rotation)
+ [Monitorar credenciais específicas do serviço](#id_credentials_service-specific-creds-monitoring)
+ [Chaves de API do Amazon Bedrock e o Amazon CloudWatch Logs](id_credentials_bedrock_cloudwatchlogs.md)
+ [Usar o IAM com o Amazon Keyspaces (para Apache Cassandra)](id_credentials_keyspaces.md)

# Chaves de API do Amazon Bedrock e o Amazon CloudWatch Logs
<a name="id_credentials_bedrock_cloudwatchlogs"></a>

**nota**  
As chaves de API do Amazon CloudWatch Logs estão disponíveis atualmente em versão prévia e estarão disponíveis para o público em geral nas próximas semanas. As chaves de API do Amazon CloudWatch Logs se assemelham muito às chaves de API de longo prazo do Amazon Bedrock, descritas nesta página. Para saber mais sobre as chaves de API de longo prazo do Amazon CloudWatch Logs, consulte [Enviar logs para o Amazon CloudWatch Logs usando o endpoint de HLC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HLC_Endpoint.html).

O Amazon Bedrock é um serviço totalmente gerenciado que oferece os modelos básicos de grandes empresas de IA e da Amazon. Você pode acessar o Amazon Bedrock usando o Console de gerenciamento da AWS e programaticamente usando a AWS CLI ou a API da AWS. Ao fazer solicitações programáticas ao Amazon Bedrock, você pode fazer a autenticação usando [credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) ou as chaves de API do Amazon Bedrock. O Amazon Bedrock é compatível com dois tipos de chaves de API:
+ **Chaves de API de curto prazo**: uma chave de API de curto prazo é uma URL pré-assinada que usa o AWS Signature versão 4. As chaves de API de curto prazo têm as mesmas permissões e validade que as credenciais da identidade que gera a chave de API e são válidas por até 12 horas ou pelo tempo restante da sua sessão do console, o que for menor. Você pode usar o console do Amazon Bedrock, o pacote do Python `aws-bedrock-token-generator` e pacotes de outras linguagens de programação para gerar chaves de API de curto prazo. Para obter mais informações, consulte [Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) no *Amazon Bedrock User Guide*.
+ **Chaves de API de longo prazo**: as chaves de API de longo prazo são associadas a um usuário do IAM e são geradas usando as [credenciais específicas do serviço](id_credentials_service-specific-creds.md) do IAM. Essas credenciais se destinam a ser usadas apenas com o Amazon Bedrock, aumentando a segurança por limitar o escopo das credenciais. Você pode definir um prazo de validade para a API de longo prazo. Você pode usar o console do IAM ou do Amazon Bedrock, a CLI da AWS ou a API da AWS para gerar chaves de API de longo prazo.

Um usuário do IAM pode ter até duas chaves de API de longo prazo para o Amazon Bedrock, o que ajuda você a implementar práticas seguras de troca das chaves. 

Quando você gera uma chave de API de longo prazo, a política gerenciada pela AWS [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/bedrock/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonBedrockLimitedAccess) é automaticamente anexada ao usuário do IAM. Esta política concede acesso às principais operações de API do Amazon Bedrock. Se você precisar de acesso adicional ao Amazon Bedrock, poderá modificar as permissões do usuário do IAM. Para obter mais informações sobre modificação de permissões, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md). Para obter mais informações sobre como usar uma chave do Amazon Bedrock, consulte [Use an Amazon Bedrock API key](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) no *Amazon Bedrock User Guide*.

**nota**  
As chaves de API de longo prazo têm um risco de segurança maior em comparação com as chaves de API de curto prazo. Recomendamos o uso de chaves de API de curto prazo ou de credenciais de segurança temporárias quando possível. Se você usar chaves de API de longo prazo, recomendamos que implemente práticas regulares de troca das chaves.

## Pré-requisitos
<a name="id_credentials_bedrock_prerequisites"></a>

Antes de gerar uma chave de API de longo prazo do Amazon Bedrock usando o console do IAM, você deve atender aos seguintes pré-requisitos:
+ Um usuário do IAM a ser associado à chave de API de longo prazo. Para obter instruções para criar um usuário do IAM, consulte [Criar um usuário do IAM na Conta da AWS](id_users_create.md).
+ Certifique-se de ter as seguintes permissões da política do IAM para gerenciar as credenciais específicas do serviço de um usuário do IAM. O exemplo de política concede permissão para criar, listar, atualizar, excluir e redefinir credenciais específicas do serviço. Substitua o valor `username` no elemento Recurso pelo nome do usuário do IAM para o qual você vai gerar as chaves de API do Amazon Bedrock:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "ManageBedrockServiceSpecificCredentials",
              "Effect": "Allow",
              "Action": [
                  "iam:CreateServiceSpecificCredential",
                  "iam:ListServiceSpecificCredentials",
                  "iam:UpdateServiceSpecificCredential",
                  "iam:DeleteServiceSpecificCredential",
                  "iam:ResetServiceSpecificCredential"
              ],
              "Resource": "arn:aws:iam::*:user/username"
          }
      ]
  }
  ```

------

## Gerar uma chave de API de longo prazo para o Amazon Bedrock (console)
<a name="id_credentials_bedrock_console_create"></a>

**Gerar uma chave de API de longo prazo para o Amazon Bedrock (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Usuários**.

1. Selecione o usuário do IAM para o qual você deseja gerar as chaves de API de longo prazo do Amazon Bedrock.

1. Escolha a guia **Credenciais de segurança**.

1. Na seção **Chaves de API para o Amazon Bedrock**, escolha **Gerar chave de API**.

1. Em **Validade da chave de API**, faça uma das seguintes opções:
   + Selecione a duração da validade da chave de API de **1**, **5**, **30**, **90** ou **365** dias.
   + Escolha **Duração personalizada** para especificar uma data de validade personalizada para a chave de API.
   + Selecione **Nunca expira** (não recomendado)

1. Escolha **Gerar chave de API**.

1. Copie ou baixe a chave de API. Esta é a única vez que você pode visualizar o valor da chave de API.
**Importante**  
Armazene a chave de API em segurança. Após fechar a caixa de diálogo, não será mais possível recuperar a chave de API. Se você perder ou esquecer sua chave de acesso secreta, não poderá recuperá-la. Em vez disso, crie uma nova chave de acesso e desative a chave antiga.

## Gerar uma chave de API de longo prazo para o Amazon Bedrock (AWS CLI)
<a name="id_credentials_bedrock_cli_create"></a>

Para gerar uma chave de API de longo prazo do Amazon Bedrock usando a AWS CLI, siga as seguintes etapas:

1. Crie um usuário do IAM que será usado com o Amazon Bedrock usando o comando [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html):

   ```
   aws iam create-user \
       --user-name BedrockAPIKey_1
   ```

1. Anexe a política gerenciada pela AWS `AmazonBedrockLimitedAccess` ao usuário do IAM do Amazon Bedrock usando o comando [attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html):

   ```
   aws iam attach-user-policy --user-name BedrockAPIKey_1 \
       --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
   ```

1. Gere a chave de API de longo prazo do Amazon Bedrock usando o comando [create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html). Para o prazo de validade da credencial, você pode especificar um valor entre 1 e 36.600 dias. Se você não especificar o prazo de validade de uma credencial, a chave da API não expirará.

   Para gerar uma chave de API de longo prazo com validade em 30 dias:

   ```
   aws iam create-service-specific-credential \
       --user-name BedrockAPIKey_1 \
       --service-name bedrock.amazonaws.com \
       --credential-age-days 30
   ```

O `ServiceApiKeyValue` retornado na resposta é sua chave de API de longo prazo do Amazon Bedrock. Armazene o valor `ServiceApiKeyValue` em segurança, pois não será possível recuperá-lo mais tarde.

### Listar chaves de API de longo prazo (AWS CLI)
<a name="id_credentials_bedrock_cli_list"></a>

Para listar os metadados das chaves de API de longo prazo do Amazon Bedrock para um usuário específico, use o comando [list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html) com o parâmetro `--user-name`:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1
```

Para listar todos os metadados das chaves de API de longo prazo do Amazon Bedrock da conta, use o comando [list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html) com o parâmetro `--all-users`:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users
```

### Atualizar o status de uma chave de API de longo prazo (AWS CLI)
<a name="id_credentials_bedrock_cli_update"></a>

Para atualizar o status de uma chave de API de longo prazo do Amazon Bedrock, use o comando [update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html):

```
aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active
```

## Gerar uma chave de API de longo prazo para o Amazon Bedrock (API da AWS)
<a name="id_credentials_bedrock_api"></a>

Você pode usar as seguintes operações de API para gerar e gerenciar as chaves de API de longo prazo do Amazon Bedrock:
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html) 

# Usar o IAM com o Amazon Keyspaces (para Apache Cassandra)
<a name="id_credentials_keyspaces"></a>

O Amazon Keyspaces (para Apache Cassandra) é um serviço de banco de dados compatível com Apache Cassandra, escalável, de alta disponibilidade e gerenciado. Você pode acessar o Amazon Keyspaces por meio do Console de gerenciamento da AWS ou de maneira programática. Para acessar o Amazon Keyspaces de maneira programática com credenciais específicas do serviço, você pode usar `cqlsh` ou drivers de código aberto do Cassandra. *Credenciais específicas do serviço* incluem um nome de usuário e senha como os que o Cassandra usa para autenticação e gerenciamento de acesso. Você pode ter no máximo dois conjuntos de credenciais específicas do serviço para cada serviço suportado por usuário.

Para acessar o Amazon Keyspaces de maneira programática com chaves de acesso da AWS, você pode usar o AWS SDK, a AWS Command Line Interface (AWS CLI) ou drivers do Cassandra de código aberto com o plug-in SigV4. Para saber mais, consulte [Create and configure AWS credentials for Amazon Keyspaces](https://docs.aws.amazon.com//keyspaces/latest/devguide/access.credentials.html) no *Amazon Keyspaces (for Apache Cassandra) Developer Guide*.

**nota**  
Se você planeja interagir com o Amazon Keyspaces apenas por meio do console, não precisa gerar credenciais específicas do serviço. Para obter mais informações, consulte [Accessing Amazon Keyspaces using the console](https://docs.aws.amazon.com/keyspaces/latest/devguide/console_keyspaces.html) (Acessar o Amazon Keyspaces usando o console) no *Amazon Keyspaces (para Apache Cassandra) Developer Guide* (Guia do desenvolvedor do Amazon Keyspaces [for Apache Cassandra]).

Para obter mais informações sobre as permissões necessárias para acessar o Amazon Keyspaces, consulte [Exemplos de políticas baseadas em identidade do Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html#security_iam_id-based-policy-examples-console) no *Guia do desenvolvedor do Amazon Keyspaces (para Apache Cassandra)*.

## Gerar credenciais do Amazon Keyspaces (console)
<a name="keyspaces_credentials_console"></a>

É possível usar o Console de gerenciamento da AWS para gerar credenciais do Amazon Keyspaces (para Apache Cassandra) para os usuários do IAM.

**Como gerar credenciais específicas do serviço Amazon Keyspaces (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Users (Usuários)** e escolha o nome do usuário que requer as credenciais.

1. Na guia **Security Credentials** (Credenciais de segurança), abaixo de **Credentials for Amazon Keyspaces (for Apache Cassandra)** (Credenciais do Amazon Keyspaces [for Apache Cassandra]), selecione **Generate credentials** (Gerar credenciais).

1. As credenciais específicas do seu serviço agora estão disponíveis. Esta é a única vez que a senha pode ser visualizada ou baixada. Não será possível recuperá-la posteriormente. No entanto, é possível redefinir a senha a qualquer momento. Salve o usuário e a senha em um local seguro, pois você precisará deles mais tarde.

## Gerar credenciais do Amazon Keyspaces (AWS CLI)
<a name="keyspaces_credentials_cli"></a>

É possível usar o AWS CLI para gerar credenciais do Amazon Keyspaces (para Apache Cassandra) para os usuários do IAM.

**Para gerar credenciais específicas do serviço Amazon Keyspaces (AWS CLI)**
+ Use o seguinte comando:
  + [aws iam create-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-specific-credential.html)

## Gerar credenciais do Amazon Keyspaces (API da AWS)
<a name="keyspaces_credentials_api"></a>

Você pode usar a API da AWS para gerar credenciais do Amazon Keyspaces (para Apache Cassandra) para seus usuários do IAM.

**Para gerar credenciais específicas do serviço Amazon Keyspaces (API da AWS)**
+ Conclua a seguinte operação:
  + [CreateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 

# Encontrar credenciais da AWS não utilizadas
<a name="id_credentials_finding-unused"></a>

Para aumentar a segurança da sua Conta da AWS remova as credenciais de usuários do IAM (ou seja, senhas e chaves de acesso) que não são necessárias. Por exemplo, quando os usuários deixam sua organização ou não precisam mais de acesso à AWS, localize as credenciais que eles estavam utilizando e certifique-se de que elas não estejam mais operando. O ideal é que você exclua as credenciais se não forem mais necessárias. Você pode sempre recriá-las em posteriormente, se necessário. No mínimo, você deve alterar a senha ou desativar as chaves de acesso para que os usuários antigos não possam mais ter acesso.

Naturalmente, a definição de *não usada* pode variar e geralmente significa uma credencial que não foi usada durante determinado período.

## Encontrar senhas não utilizadas
<a name="finding-unused-passwords"></a>

Você pode usar o Console de gerenciamento da AWS para visualizar informações de uso de senha para seus usuários. Se você tiver um grande número de usuários, você pode usar o console para fazer download de um relatório de credenciais com informações sobre quando cada usuário usou sua senha do console pela última vez. Você também pode acessar as informações da AWS CLI ou da API do IAM.

**Para encontrar as senhas não utilizadas (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Se necessário, adicione a coluna **Último login no console** na tabela dos usuários:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações (![\[Settings icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Em **Selecionar colunas visíveis**, selecione **Último login do console**.

   1. Escolha **Confirmar** para retornar à lista de usuários.

1. A coluna **Console last sign-in (Último login no console)** exibe o número de dias desde que o usuário efetuou login na AWS pelo console pela última vez. Você pode usar essas informações para localizar os usuários com senhas que não fizeram login há mais tempo do que o período especificado. A coluna exibe **Nunca** para usuários com senhas que nunca efetuaram login. **Nenhuma** indica usuários sem senhas. Senhas que não tenham sido usadas recentemente podem ser bons candidatos para remoção.
**Importante**  
Devido a um problema de serviço, os dados usados mais recentemente da senha não incluem o uso de senha entre 3 de maio de 2018 22:50 PDT e 23 de maio de 2018 14:08 PDT. Isso afeta as datas de [último login](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) mostradas no console do IAM e as datas de última senha usadas no [relatório de credencial do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html) e retornadas pela [operação da API GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html). Se os usuários fizerem login durante a hora afetada, a data usada pela última vez na senha retornada será a data em que o usuário fez login pela última vez antes de 3 de maio de 2018. Para usuários que fizeram login depois de 23 de maio de 2018 14:08 PDT, a data usada mais recentemente para a senha retornada será precisa.  
Se você usar as informações usadas mais recentemente para a senha para identificar credenciais não utilizadas para exclusão, como excluir usuários que não fizeram login na AWS nos últimos 90 dias, será recomendável ajustar a janela de avaliação para incluir datas após 23 de maio de 2018. Como alternativa, se os usuários usarem chaves de acesso para acessar a AWS de maneira programática, você poderá consultar as informações usadas mais recentemente da chave de acesso, pois elas são precisas para todas as datas. 

**Para encontrar senhas não utilizadas ao fazer download do relatório de credenciais (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Relatório de credenciais**.

1. Selecione **Fazer download do relatório** para fazer download de um arquivo de valores separados por vírgula (CSV) chamado `status_reports_<date>T<time>.csv`. A quinta coluna é a coluna `password_last_used` com as datas ou uma das seguintes opções:
   + **N/A** (N/D): os usuários que não têm qualquer senha atribuída.
   + **no\$1information**: os usuários que não usaram suas senhas desde que o IAM começou a rastrear o tempo de duração das senhas em 20 de outubro de 2014.

**Para encontrar senhas não usadas (AWS CLI)**  
Execute o seguinte comando para encontrar senhas não usadas:
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)` retorna uma lista de usuários, cada um com um valor `PasswordLastUsed`. Se o valor estiver ausente, o usuário não tem senha ou a senha não foi usada desde que o IAM começou a rastrear o tempo de duração das senhas em 20 de outubro de 2014.

**Para encontrar senhas não usadas (API da AWS)**  
Chame a seguinte operação para encontrar senhas não usadas:
+  ` [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)` retorna uma coleção de usuários, cada um com um valor `<PasswordLastUsed>`. Se o valor estiver ausente, o usuário não tem senha ou a senha não foi usada desde que o IAM começou a rastrear o tempo de duração das senhas em 20 de outubro de 2014.

Para obter informações sobre os comandos para fazer download do relatório de credenciais, consulte [Obter relatórios de credenciais (AWS CLI)](id_credentials_getting-report.md#getting-credential-reports-cliapi).

## Encontrar chaves de acesso não utilizadas
<a name="finding-unused-access-keys"></a>

Você pode usar o Console de gerenciamento da AWS para visualizar informações de uso de chaves de acesso para seus usuários. Se você tiver um grande número de usuários, você pode usar o console para fazer download de um relatório de credenciais para descobrir quando cada usuário usou sua chave de acesso pela última vez. Você também pode acessar as informações da AWS CLI ou da API do IAM.

**Para localizar chaves de acesso não utilizadas (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Se necessário, adicione a coluna **Chave de acesso usada pela última vez** na tabela dos usuários:

   1. Acima da tabela, no canto direito, selecione o ícone de configurações (![\[Settings icon\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Em **Selecionar colunas visíveis**, selecione **Última chave de acesso utilizada**.

   1. Escolha **Confirmar** para retornar à lista de usuários.

1. A coluna **Chave de acesso usada pela última vez** exibe o número de dias desde que o usuário acessou a AWS de forma programática pela última vez. Você pode usar essas informações para localizar os usuários com chaves de acesso que não tenham sido usadas há mais tempo do que o período especificado. A coluna exibe **–** para usuários sem chaves de acesso. Chaves de acesso que não tenham sido usadas recentemente podem ser bons candidatos para remoção.

**Para encontrar chaves de acesso não utilizadas ao fazer download do relatório de credenciais (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Relatório de credenciais**.

1. Selecione **Fazer download do relatório** para fazer download de um arquivo de valores separados por vírgula (CSV) chamado `status_reports_<date>T<time>.csv`. As colunas 11 a 13 contêm a última data usada, a região e informações de serviço para a chave de acesso 1. As colunas 16 a 18 contêm as mesmas informações para chave de acesso 2. O valor será **N/A** (N/D) se o usuário não tiver uma chave de acesso ou se o usuário não tiver usado a chave de acesso desde que o IAM começou a rastrear o tempo de duração das chaves de acesso em 22 de abril de 2015.

**Para localizar chaves de acesso não utilizadas (AWS CLI)**  
Execute os seguintes comandos para encontrar chaves de acesso não utilizadas:
+ `[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` retorna informações sobre as chaves de acesso para um usuário, incluindo o `AccessKeyID`.
+ `[aws iam get-access-key-last-used](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)` exige um ID de chave de acesso e retorna a saída que inclui a `LastUsedDate`, `Region` na qual a chave de acesso foi usada pela última vez e o `ServiceName` do último serviço solicitado. Se `LastUsedDate` estiver ausente, significa que a chave de acesso não foi usada desde que o IAM começou a rastrear o tempo de duração das chaves de acesso em 22 de abril de 2015.

**Para localizar chaves de acesso não utilizadas (API da AWS)**  
Chame as seguintes operações para encontrar chaves de acesso não utilizadas:
+ `[ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)` retorna uma lista de valores `AccessKeyID` para chaves de acesso associadas ao usuário especificado. 
+ `[GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)` exige um ID de chave de acesso e retorna um conjunto de valores. Os valores incluem a `LastUsedDate`, a `Region` em que a chave de acesso foi usada pela última vez e o `ServiceName` do último serviço solicitado. Se o valor estiver ausente, significa que o usuário não possui uma chave de acesso ou a chave de acesso não é usada desde que o IAM começou a rastrear o tempo de duração das chaves de acesso em 22 de abril de 2015.

Para obter informações sobre os comandos para fazer download do relatório de credenciais, consulte [Obter relatórios de credenciais (AWS CLI)](id_credentials_getting-report.md#getting-credential-reports-cliapi).

# Gerar relatórios de credenciais para sua Conta da AWS
<a name="id_credentials_getting-report"></a>

Você pode gerar e fazer o download de um *relatório de credenciais* que lista todos os usuários em sua conta e o status de diversas credenciais deles, incluindo senhas, chaves de acesso e dispositivos MFA. Você pode obter um relatório de credenciais do Console de gerenciamento da AWS, dos [SDKs da AWS](https://aws.amazon.com/tools) e das [Ferramentas da linha de comando](https://aws.amazon.com/tools/#Command_Line_Tools) ou da API do IAM. 

**nota**  
O relatório de credenciais do IAM inclui apenas as seguintes credenciais gerenciadas pelo IAM: senhas, as duas primeiras chaves de acesso por usuário, dispositivos de MFA e certificados de assinatura X.509. O relatório não inclui as credenciais específicas do serviço (como senhas do CodeCommit, chaves de API do Amazon Bedrock ou chaves de API de longo prazo do Amazon CloudWatch Logs) ou qualquer outra chave de acesso de usuário além das duas primeiras. Para obter visibilidade completa das credenciais, use as APIs [ListServiceSpecificCredentials](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) e [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html).

Você pode usar os relatórios de credenciais para auxiliar em seus esforços de auditoria e compatibilidade. É possível usar o relatório para auditar os efeitos dos requisitos de ciclo de vida da credencial, como a atualização da chave de acesso e da senha. Você pode fornecer o relatório a um auditor externo ou conceder permissões a um auditor para que ele possa fazer download do relatório diretamente.

Você pode gerar um relatório de credenciais a cada quatro horas. Quando você solicita um relatório, o IAM primeiro verifica se um relatório da Conta da AWS foi gerado nas últimas quatro horas. Se esse for o caso, o relatório mais recente será baixado. Se o relatório mais recente da conta tiver mais de quatro horas ou se não houver relatórios anteriores para a conta, o IAM gerará e baixará um novo relatório. 

**Topics**
+ [Permissões obrigatórias](#id_credentials_required_permissions)
+ [Noções básicas sobre o formato do relatório](#id_credentials_understanding_the_report_format)
+ [Obter relatórios de credenciais (console)](#getting-credential-reports-console)
+ [Obter relatórios de credenciais (AWS CLI)](#getting-credential-reports-cliapi)
+ [Obter relatórios de credenciais (API da AWS)](#getting-credential-reports-api)

## Permissões obrigatórias
<a name="id_credentials_required_permissions"></a>

As seguintes permissões são necessárias para criar e fazer download de relatórios:
+ Para criar um relatório de credenciais: `iam:GenerateCredentialReport` 
+ Para fazer download do relatório: `iam:GetCredentialReport`

## Noções básicas sobre o formato do relatório
<a name="id_credentials_understanding_the_report_format"></a>

Os relatórios de credenciais são formatados como arquivos de valores separados por vírgulas (CSV). Você pode abrir arquivos CSV com software de planilha comum para realizar a análise, ou pode criar um aplicativo que consuma os arquivos CSV de forma programática e realize análises personalizadas. 

O arquivo CSV contém as seguintes colunas:

**usuário**  
O nome amigável do usuário. 

**arn**  
O nome de recurso da Amazon (ARN) do usuário. (Para obter mais informações sobre ARNs, consulte ) [ARNs do IAM](reference_identifiers.md#identifiers-arns). 

**user\$1creation\$1time**  
A data e a hora em que o usuário foi criado, no [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601).

**password\$1enabled**  
Quando o usuário tem uma senha, esse valor será `TRUE`. Caso contrário, o valor será `FALSE`. Esse valor é `FALSE` para novas contas de membros criadas como parte da organização, pois elas não têm, por padrão, credenciais de usuário-raiz.

**password\$1last\$1used**  
A data e a hora em que a senha do usuário ou do Usuário raiz da conta da AWS foi usada pela última vez para fazer login em um site da AWS, no [formato de data/hora ISO 8601](http://www.iso.org/iso/iso8601). Os sites da AWS que registram a hora do último login de um usuário são o Console de gerenciamento da AWS, os fóruns de discussão da AWS e o AWS Marketplace. Quando uma senha é usada mais de uma vez em um intervalo de 5 minutos, apenas o primeiro uso é gravado nesse campo.   
+ O valor nesse campo é `no_information` nos seguintes casos:
  + A senha do usuário nunca foi usada.
  + Não há dados de login associados à senha, como quando a senha do usuário não tiver sido usada depois que o IAM começou a rastrear essas informações em 20 de outubro de 2014.
+ O valor nesse campo será `N/A` (não aplicável) quando o usuário não tiver uma senha.

**Importante**  
Devido a um problema de serviço, os dados usados mais recentemente da senha não incluem o uso de senha entre 3 de maio de 2018 22:50 PDT e 23 de maio de 2018 14:08 PDT. Isso afeta as datas de [último login](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) mostradas no console do IAM e as datas de última senha usadas no [relatório de credencial do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html) e retornadas pela [operação da API GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html). Se os usuários fizerem login durante a hora afetada, a data usada pela última vez na senha retornada será a data em que o usuário fez login pela última vez antes de 3 de maio de 2018. Para usuários que fizeram login depois de 23 de maio de 2018 14:08 PDT, a data usada mais recentemente para a senha retornada será precisa.  
Se você usar as informações usadas mais recentemente para a senha para identificar credenciais não utilizadas para exclusão, como excluir usuários que não fizeram login na AWS nos últimos 90 dias, será recomendável ajustar a janela de avaliação para incluir datas após 23 de maio de 2018. Como alternativa, se os usuários usarem chaves de acesso para acessar a AWS de maneira programática, você poderá consultar as informações usadas mais recentemente da chave de acesso, pois elas são precisas para todas as datas. 

**password\$1last\$1changed**  
A data e a hora em que a senha do usuário foi definida pela última vez no [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Se o usuário não tiver uma senha, o valor nesse campo será `N/A` (não aplicável).

**password\$1next\$1rotation**  
Quando a conta tem uma [política de senha](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html) que requer a mudança de senha, esse campo contém a data e a hora em [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), quando o usuário precisa definir uma nova senha. O valor para a Conta da AWS (raiz) é sempre `not_supported`.

**mfa\$1active**  
Quando um dispositivo de [autenticação multifator](id_credentials_mfa.md) (MFA) for ativado para o usuário, esse valor será `TRUE`. Caso contrário, o valor será `FALSE`.

**access\$1key\$11\$1active**  
Quando o usuário tem uma chave de acesso e o status da chave de acesso é `Active`, esse valor será `TRUE`. Caso contrário, o valor será `FALSE`. Aplica-se tanto a usuários do IAM como usuários-raiz da conta.

**access\$1key\$11\$1last\$1rotated**  
A data e a hora, em [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), quando a chave de acesso do usuário foi criada ou alterada pela última vez. Se o usuário não tiver uma chave de acesso ativa, o valor nesse campo será `N/A` (não aplicável). Aplica-se tanto a usuários do IAM como usuários-raiz da conta.

**access\$1key\$11\$1last\$1used\$1date**  
A data e a hora, em [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), quando a chave de acesso do usuário tiver sido usada recentemente para assinar uma solicitação da API da AWS. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. Aplica-se tanto a usuários do IAM como usuários-raiz da conta.  
O valor nesse campo será `N/A` (não aplicável) nos seguintes casos:  
+ O usuário não tiver uma chave de acesso.
+ A chave de acesso nunca tiver sido usada.
+ A chave de acesso não tiver sido usada depois que o IAM começou a rastrear essas informações em 22 de abril de 2015.

**access\$1key\$11\$1last\$1used\$1region**  
A [região da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) em que a chave de acesso foi usada mais recentemente. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. Aplica-se tanto a usuários do IAM como usuários-raiz da conta.  
O valor nesse campo será `N/A` (não aplicável) nos seguintes casos:  
+ O usuário não tiver uma chave de acesso.
+ A chave de acesso nunca tiver sido usada.
+ A chave de acesso tiver sido usada pela última vez antes do IAM começar a rastrear essas informações em 22 de abril de 2015.
+ O último serviço usado não for específico da região, como o Amazon S3.

**access\$1key\$11\$1last\$1used\$1service**  
O serviço da AWS que foi acessado recentemente com a chave de acesso. O valor nesse campo usa o namespace do serviço, por exemplo, `s3` para o Amazon S3 e `ec2` para o Amazon EC2. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. Aplica-se tanto a usuários do IAM como usuários-raiz da conta.  
O valor nesse campo será `N/A` (não aplicável) nos seguintes casos:  
+ O usuário não tiver uma chave de acesso.
+ A chave de acesso nunca tiver sido usada.
+ A chave de acesso tiver sido usada pela última vez antes do IAM começar a rastrear essas informações em 22 de abril de 2015.

**access\$1key\$12\$1active**  
Quando o usuário tem uma segunda chave de acesso e o status da segunda chave de acesso é `Active`, esse valor será `TRUE`. Caso contrário, o valor será `FALSE`. Aplica-se tanto a usuários do IAM como usuários-raiz da conta.  
Os usuários podem ter até duas chaves de acesso para facilitar a rotação atualizando a chave primeiro e depois excluindo a chave anterior. Para obter mais informações sobre a atualização de chaves de acesso, consulte [Atualizar chaves de acesso](id-credentials-access-keys-update.md).

**access\$1key\$12\$1last\$1rotated**  
A data e a hora, no [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), quando a segunda chave de acesso do usuário tiver sido criada ou alterada mais recentemente. Se o usuário não tiver uma segunda chave de acesso ativa, o valor nesse campo será `N/A` (não aplicável). Aplica-se tanto a usuários do IAM como usuários-raiz da conta.

**access\$1key\$12\$1last\$1used\$1date**  
A data e a hora, em [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), quando a segunda chave de acesso do usuário tiver sido usada recentemente para assinar uma solicitação da API da AWS. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. Aplica-se tanto a usuários do IAM como usuários-raiz da conta.  
O valor nesse campo será `N/A` (não aplicável) nos seguintes casos:  
+ O usuário não tiver uma segunda chave de acesso.
+ A segunda chave de acesso do usuário nunca tiver sido usada.
+ A segunda chave de acesso do usuário tiver sido usada pela última vez antes de o IAM começar a rastrear essas informações em 22 de abril de 2015.

**access\$1key\$12\$1last\$1used\$1region**  
A [ região da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) em que a segunda chave de acesso do usuário foi usada mais recentemente. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. Aplica-se tanto a usuários do IAM como usuários-raiz da conta. O valor nesse campo será `N/A` (não aplicável) nos seguintes casos:  
+ O usuário não tiver uma segunda chave de acesso.
+ A segunda chave de acesso do usuário nunca tiver sido usada.
+ A segunda chave de acesso do usuário tiver sido usada pela última vez antes de o IAM começar a rastrear essas informações em 22 de abril de 2015.
+ O último serviço usado não for específico da região, como o Amazon S3.

**access\$1key\$12\$1last\$1used\$1service**  
O serviço da AWS que foi acessado recentemente com a segunda chave de acesso do usuário. O valor nesse campo usa o namespace do serviço, por exemplo, `s3` para o Amazon S3 e `ec2` para o Amazon EC2. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. Aplica-se tanto a usuários do IAM como usuários-raiz da conta. O valor nesse campo será `N/A` (não aplicável) nos seguintes casos:  
+ O usuário não tiver uma segunda chave de acesso.
+ A segunda chave de acesso do usuário nunca tiver sido usada.
+ A segunda chave de acesso do usuário tiver sido usada pela última vez antes de o IAM começar a rastrear essas informações em 22 de abril de 2015.

**cert\$11\$1active**  
Quando o usuário tem um certificado de assinatura X.509 e o status do certificado é `Active`, esse valor será `TRUE`. Caso contrário, o valor será `FALSE`.

**cert\$11\$1last\$1rotated**  
A data e a hora, em [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), quando o certificado de assinatura do usuário foi criado ou alterado pela última vez. Se o usuário não tiver um certificado de assinatura ativo, o valor nesse campo será `N/A` (não aplicável).

**cert\$12\$1active**  
Quando o usuário tem um segundo certificado de assinatura X.509 e o status do certificado é `Active`, esse valor será `TRUE`. Caso contrário, o valor será `FALSE`.  
Os usuários podem ter até dois certificado de assinatura X.509 para facilitar a mudança do certificado.

**cert\$12\$1last\$1rotated**  
A data e a hora, em [formato de data/hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), quando o segundo certificado de assinatura do usuário foi criado ou alterado pela última vez. Se o usuário não tiver um segundo certificado de assinatura ativo, o valor nesse campo será `N/A` (não aplicável).

**additional\$1credentials\$1info**  
Quando o usuário tem mais de duas chaves de acesso ou certificados, esse valor é o número de chaves de acesso ou certificados adicionais e as ações que você pode usar para listar as chaves de acesso ou os certificados associados ao usuário.

## Obter relatórios de credenciais (console)
<a name="getting-credential-reports-console"></a>

Você pode usar o Console de gerenciamento da AWS para fazer download de um relatório de credenciais como um arquivo de valores separados por vírgula (CSV).

**Para fazer download de um relatório de credenciais (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Relatório de credenciais**.

1. Escolha **Download Report (Fazer download do relatório)**.

## Obter relatórios de credenciais (AWS CLI)
<a name="getting-credential-reports-cliapi"></a>

**Para fazer download um relatório de credenciais (AWS CLI)**

1. Gere um relatório de credenciais. O AWS armazena um único relatório. Se um relatório existir, a geração de um relatório de credenciais substituirá o relatório anterior. [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html)

1. Exibir o último relatório gerado: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html)

## Obter relatórios de credenciais (API da AWS)
<a name="getting-credential-reports-api"></a>

**Para fazer download de um relatório de credenciais (API AWS)**

1. Gere um relatório de credenciais. O AWS armazena um único relatório. Se um relatório existir, a geração de um relatório de credenciais substituirá o relatório anterior. [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)

1. Exibir o último relatório gerado: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)

# Credenciais do IAM para o CodeCommit: credenciais do Git, chaves SSH e chaves de acesso da AWS
<a name="id_credentials_ssh-keys"></a>

O CodeCommit é um serviço de controle de versão gerenciado que hospeda repositórios privados do Git na Nuvem AWS. Para usar o CodeCommit, configure seu cliente Git para se comunicar com repositórios do CodeCommit. Como parte dessa configuração, forneça credenciais do IAM que podem ser usadas pelo CodeCommit para autenticar você. O IAM oferece suporte ao CodeCommit com três tipos de credenciais:
+ Credenciais do Git, um par de nome de usuário e senha gerado pelo IAM que você pode usar para se comunicar com repositórios do CodeCommit por HTTPS.
+ As chaves SSH, um par de chaves privada e pública gerado localmente, que você pode associar ao seu usuário do IAM para se comunicar com repositórios do CodeCommit por SSH.
+  [Chaves de acesso da AWS](id_credentials_access-keys.md) que você pode usar com o auxiliar de credenciais incluído na AWS CLI para se comunicar com repositórios do CodeCommit por HTTPS.

**nota**  
Você não pode usar as chaves SSH ou as credenciais do Git para acessar repositórios em outra conta da AWS. Para saber como configurar o acesso aos repositórios do CodeCommit para usuários e grupos do IAM em outra Conta da AWS, consulte [Configurar o acesso entre contas a um repositório do AWS CodeCommit usando perfis](https://docs.aws.amazon.com/codecommit/latest/userguide/cross-account.html), no *Guia do usuário do AWS CodeCommit*.

Consulte as seções a seguir para obter mais informações sobre cada opção. 

## Usar as credenciais do Git e HTTPS com o CodeCommit (recomendado)
<a name="git-credentials-code-commit"></a>

Com as credenciais do Git, é possível gerar um par de nome de usuário e senha estáticos para o seu usuário do IAM e, em seguida, usar essas credenciais para conexões HTTPS. Você também pode usar essas credenciais com qualquer ferramenta de terceiros ou ambiente de desenvolvimento integrado (IDE), que seja compatível com as credenciais estáticas do Git.

Como essas credenciais são universais para todos os sistemas operacionais com suporte e compatíveis com a maioria dos sistemas de gerenciamento de credenciais, ambientes de desenvolvimento e outras ferramentas de desenvolvimento de software, esse é o método recomendado. Você pode redefinir a senha para as credenciais do Git a qualquer momento. Você também pode tornar as credenciais inativas ou excluí-las se elas não forem mais necessárias.

**nota**  
Você não pode escolher seu próprio nome do usuário ou senha para as credenciais do Git. O IAM gera essas credenciais para ajudar a garantir que atendam aos padrões de segurança da AWS e de repositórios seguros no CodeCommit. Você pode fazer download das credenciais somente uma vez, no momento em que elas são geradas. Certifique-se de salvar as credenciais em um local seguro. Se necessário, você pode redefinir a senha a qualquer momento, mas isso invalida todas as conexões configuradas com a senha antiga. Você deve reconfigurar as conexões para usar a nova senha antes de se conectar.

Consulte os tópicos a seguir para obter mais informações: 
+ Para criar um usuário do IAM, consulte [Criar um usuário do IAM na Conta da AWS](id_users_create.md). 
+ Para gerar e usar as credenciais do Git com o CodeCommit, consulte [Para usuários HTTPS que usam credenciais do Git](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html) no *Guia do usuário do AWS CodeCommit*. 

**nota**  
A alteração do nome de um usuário do IAM após a geração de credenciais do Git não altera o nome do usuário das credenciais do Git. O nome do usuário e a senha são os mesmos e ainda são válidos. 

**Para atualizar credenciais específicas do serviço**

1. Crie um segundo conjunto de credenciais específicas do serviço além do conjunto em uso no momento.

1. Atualize todos os seus aplicativos para utilizar o novo conjunto de credenciais e confirme que os aplicativos estão funcionando.

1. Altere o estado das credenciais originais para "Inativas".

1. Certificar-se de que todos os seus aplicativos ainda estejam funcionando.

1. Exclua as credenciais inativas específicas do serviço.

## Usar chaves SSH e SSH com o CodeCommit
<a name="ssh-keys-code-commit"></a>

Com conexões SSH, você cria arquivos de chave pública e privada em sua máquina local que o Git e o CodeCommit usam para a autenticação SSH. Associe a chave pública ao seu usuário do IAM e armazene a chave privada em sua máquina local. Consulte os tópicos a seguir para obter mais informações: 
+ Para criar um usuário do IAM, consulte [Criar um usuário do IAM na Conta da AWS](id_users_create.md). 
+ Para criar uma chave pública SSH e associá-la a um usuário do IAM, consulte [Para conexões SSH no Linux, macOS ou Unix](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-unixes.html) ou consulte [Para conexões SSH no Windows](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-windows.html) no *Guia do usuário do AWS CodeCommit*. 

**nota**  
A chave pública deve ser codificada no formato ssh-rsa ou PEM. O tamanho mínimo de bit da chave pública é de 2.048 bits, e o tamanho máximo é de 16.384 bits. Isso não tem relação com o tamanho do arquivo que você carregou. Por exemplo, você pode gerar uma chave de 2.048 bits, e o arquivo PEM resultante terá 1.679 bytes. Se você fornecer a chave pública em outro formato ou tamanho, verá uma mensagem de erro indicando que o formato da chave é inválido.

## Usar HTTPS com o auxiliar de credenciais da AWS CLI e o CodeCommit
<a name="access-keys-code-commit"></a>

Como uma alternativa às conexões HTTPS com credenciais do Git, você pode permitir que o Git use uma versão assinada com criptografia de suas credenciais de usuário do IAM ou uma função de instância do Amazon EC2 sempre que o Git precisar de autenticação na AWS para interagir com repositórios do CodeCommit. Este é o único método de conexão para repositórios do CodeCommit que não exige um usuário do IAM. Também é o único método que funciona com acesso federado e credenciais temporárias. Consulte os tópicos a seguir para obter mais informações:
+ Para saber mais sobre o acesso federado, consulte [Federação e provedores de identidade na AWS](id_roles_providers.md) e [Acesso aos usuários autenticados externamente (federação de identidades)](id_roles_common-scenarios_federated-users.md). 
+ Para saber mais sobre credenciais temporárias, consulte [Credenciais de segurança temporárias no IAM](id_credentials_temp.md) e [Acesso temporário a repositórios do CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/temporary-access.html). 

O auxiliar de credenciais da AWS CLI não é compatível com outros sistemas auxiliares de credencial, como o Keychain Access ou o Windows Credential Management. Há considerações de configuração adicionais ao configurar conexões HTTPS com o auxiliar de credenciais. Para obter mais informações, consulte [Para conexões HTTPS no Linux, macOS ou Unix com o auxiliar de credenciais da AWS CLI](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-https-unixes.html) ou [Conexões HTTPS no Windows com o auxiliar de credenciais da AWS CLI](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-https-windows.html) no *Guia do usuário do AWS CodeCommit*.

# Gerenciar certificados de servidor no IAM
<a name="id_credentials_server-certs"></a>

Para habilitar conexões HTTPS para o seu site ou aplicativo na AWS você precisa de um *certificado de servidor* SSL/TLS. Para certificados em uma região compatível com o AWS Certificate Manager (ACM), recomendamos que você use o ACM para provisionar, gerenciar e implantar seus certificados de servidor. Nas regiões sem suporte, você deve usar o IAM como gerenciador de certificados. Para saber quais regiões são compatíveis com o ACM, consulte [Cotas e endpoints do AWS Certificate Manager](https://docs.aws.amazon.com/general/latest/gr/acm.html) na *Referência geral da AWS*.

**Importante**  
O ACM é a ferramenta preferencial para provisionar, gerenciar e implantar seus certificados de servidor. Com o ACM você pode solicitar um certificado ou implantar um ACM existente ou um certificado externo nos recursos da AWS. Os certificados fornecidos pelo ACM são gratuitos e são renovados automaticamente. Em uma [região compatível](https://docs.aws.amazon.com/general/latest/gr/acm.html), você pode usar o ACM para gerenciar certificados de servidor no console ou de forma programática. Para obter mais informações sobre o ACM, consulte o [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Para obter mais informações sobre como solicitar um certificado do ACM, consulte [Solicitar um certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) ou [Solicitar um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) no *Guia do usuário do AWS Certificate Manager*. Para obter mais informações sobre a importação de certificados de terceiros para o ACM, consulte [Importação de certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) no *Manual do usuário do AWS Certificate Manager*.

Use o IAM como um gerenciador de certificados apenas quando precisar oferecer suporte a conexões HTTPS em uma região que não é [compatível com o ACM](https://docs.aws.amazon.com/general/latest/gr/acm.html). O IAM criptografa com segurança suas chaves privadas e armazena a versão criptografada no armazenamento de certificado SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você deve obter seu certificado de um provedor externo para usar com a AWS. Você não pode carregar um certificado do ACM no IAM. Além disso, não é possível gerenciar seus certificados do console do IAM.

Para obter mais informações sobre como carregar certificados de terceiros para o IAM, consulte os tópicos a seguir.

**Topics**
+ [Fazer upload de um certificado de servidor (API da AWS)](#upload-server-certificate)
+ [Operações de API da AWS para certificados de servidor](#id_credentials_server-certs-api)
+ [Solucionar problemas com certificados de servidor](#server-certificate-troubleshooting)

## Fazer upload de um certificado de servidor (API da AWS)
<a name="upload-server-certificate"></a>

Para carregar um certificado de servidor para o IAM, você deve fornecer o certificado e sua chave privada correspondente. quando o certificado não for autoassinado, você também deverá fornecer uma cadeia de certificado. (Você não precisa de uma cadeia de certificado ao fazer upload de um certificado autoassinado.) Antes de fazer upload de um certificado, verifique se você tem todos estes itens e que atendem aos seguintes critérios:
+ O certificado deve ser válido no momento do upload. Você não pode fazer upload de um certificado antes de seu período de validade começar (a data `NotBefore` do certificado) ou após sua expiração (a data `NotAfter` do certificado).
+ A chave privada deve ser não criptografada. Você não pode fazer upload de uma chave privada que seja protegida por uma senha ou código de acesso. Para ajudar a descriptografar uma chave privada criptografada, consulte [Solucionar problemas com certificados de servidor](#server-certificate-troubleshooting).
+ O certificado, a chave privada e a cadeia de certificação devem ser codificados em PEM. Para ajudar a converter esses itens no formato PEM, consulte [Solucionar problemas com certificados de servidor](#server-certificate-troubleshooting).

Para usar a [API do IAM](https://docs.aws.amazon.com/IAM/latest/APIReference/) para carregar um certificado, envie uma solicitação [UploadServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UploadServerCertificate.html). O exemplo a seguir mostra como fazer isso com a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). O exemplo supõe o seguinte:
+ O certificado codificado PEM está armazenado em um arquivo chamado `Certificate.pem`.
+ A cadeia do certificado codificado PEM está armazenada em um arquivo chamado `CertificateChain.pem`.
+ A chave privada não criptografada codificada PEM está armazenada em um arquivo chamado `PrivateKey.pem`.
+ (Opcional) Você deseja etiquetar o certificado do servidor com um par de chave-valor. Por exemplo, você pode adicionar a chave de tag `Department` e o valor de tag `Engineering` para ajudar a identificar e organizar seus certificados.

Para usar o comando de exemplo a seguir, substitua os nomes de arquivo pelos seus próprios. Substitua *ExampleCertificate* pelo nome do seu certificado carregado. Se quiser marcar o certificado, substitua o par de chave-valor das tags *ExampleKey* e *ExampleValue* por seus próprios valores. Digite o comando em uma única linha contínua. O exemplo a seguir inclui quebras de linha e espaços extras para facilitar a leitura.

```
aws iam upload-server-certificate --server-certificate-name ExampleCertificate
                                    --certificate-body file://Certificate.pem
                                    --certificate-chain file://CertificateChain.pem
                                    --private-key file://PrivateKey.pem
                                    --tags '{"Key": "ExampleKey", "Value": "ExampleValue"}'
```

Quando o comando anterior for executado com êxito, ele retornará metadados sobre o certificado carregado, incluindo [nome de recurso da Amazon (ARN)](reference_identifiers.md#identifiers-arns), nome fácil, identificador (ID), data de expiração, tags etc.

**nota**  
Se você estiver carregando um certificado de servidor para usar com o Amazon CloudFront, deverá especificar um caminho usando a opção `--path`. O caminho deve começar com `/cloudfront` e deve incluir uma barra no final (por exemplo, `/cloudfront/test/`).

Para usar o AWS Tools for Windows PowerShell para fazer upload de um certificado, use [Publish-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Publish-IAMServerCertificate.html&tocid=Publish-IAMServerCertificate).

## Operações de API da AWS para certificados de servidor
<a name="id_credentials_server-certs-api"></a>

Use os comandos a seguir para visualizar, marcar, renomear e excluir certificados de servidor.
+ Use [GetServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServerCertificate.html) para recuperar um certificado. Essa solicitação retorna o certificado, a cadeia de certificado (se foi carregado) e metadados sobre o certificado.
**nota**  
Você não pode baixar nem recuperar uma chave privada do IAM depois de carregá-lo.
+ Use [Get-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Get-IAMServerCertificate.html&tocid=Get-IAMServerCertificate) para recuperar um certificado.
+ Use [ListServerCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServerCertificates.html) para listar seus certificados do servidor carregados. A solicitação retorna uma lista com metadados sobre cada certificado.
+ Use [Get-IAMServerCertificates](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Get-IAMServerCertificates.html&tocid=Get-IAMServerCertificates) para listar seus certificados de servidor carregados.
+ Use [TagServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagServerCertificate.html) para marcar um certificado de servidor existente. 
+ Use [UntagServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagServerCertificate.html) para desmarcar um certificado de servidor.
+ Use [UpdateServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServerCertificate.html) para renomear um certificado de servidor ou atualizar esse caminho.

   O exemplo a seguir mostra como fazer isso com a AWS CLI.

  Para usar o exemplo de comando a seguir, substitua os nomes de certificados novo e antigo e o caminho do certificado e digite o comando em uma única linha contínua. O exemplo a seguir inclui quebras de linha e espaços extras para facilitar a leitura.

  ```
  aws iam update-server-certificate --server-certificate-name ExampleCertificate
                                      --new-server-certificate-name CloudFrontCertificate
                                      --new-path /cloudfront/
  ```

  Para usar o AWS Tools for Windows PowerShell para renomear um certificado de servidor ou atualizar seu caminho, use [Update-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Update-IAMServerCertificate.html&tocid=Update-IAMServerCertificate).
+ Use [DeleteServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServerCertificate.html) para excluir um certificado de servidor. 

  Para usar o AWS Tools for Windows PowerShell para excluir um certificado de servidor, use [Remove-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Remove-IAMServerCertificate.html&tocid=Remove-IAMServerCertificate).

## Solucionar problemas com certificados de servidor
<a name="server-certificate-troubleshooting"></a>

Antes de carregar um certificado para o IAM, você deve garantir que o certificado, a chave privada e a cadeia de certificados estejam todos codificados por PEM. Você também deve garantir que a chave privada não seja criptografada. Veja os exemplos a seguir.

**Example Exemplo de certificado codificado em PEM**  

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
```

**Example Exemplo de chave privada não criptografada, codificada por PEM**  

```
-----BEGIN RSA PRIVATE KEY-----
Base64-encoded private key
-----END RSA PRIVATE KEY-----
```

**Example Exemplo de cadeia de certificado codificado em PEM**  
Uma cadeia de certificados contém um ou mais certificados. Você pode usar um editor de texto, o comando copy no Windows ou o comando cat do Linux para concatenar os arquivos de certificado em uma cadeia. Quando você inclui vários certificados, cada certificado deve certificar o anterior. Você pode fazer isso concatenando os certificados, incluindo o certificado CA raiz por último.  
O exemplo a seguir contém três certificados, mas sua cadeia de certificados pode conter mais ou menos certificados.  

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
```

Se esses itens não estiverem no formato correto para carregamento no IAM, você poderá usar [OpenSSL](https://openssl.org/) para convertê-los no formato correto.

**Para converter um certificado ou uma cadeia de certificado de DER em PEM**  
Use o comando [OpenSSL **x509**](https://openssl.org/docs/manmaster/man1/x509.html) como no exemplo a seguir. No exemplo a seguir, substitua o comando `Certificate.der` pelo nome do arquivo que contém o certificado codificado em DER. Substitua `Certificate.pem` pelo nome preferido do arquivo de saída para conter o certificado codificado por PEM.  

```
openssl x509 -inform DER -in Certificate.der -outform PEM -out Certificate.pem
```
 

**Para converter uma chave privada de DER em PEM**  
Use o comando [OpenSSL **rsa**](https://openssl.org/docs/manmaster/man1/rsa.html) como no exemplo a seguir. No exemplo a seguir, substitua o comando `PrivateKey.der` pelo nome do arquivo que contém sua chave privada codificada por DER. Substitua `PrivateKey.pem` pelo nome preferido do arquivo de saída para conter a chave privada codificada por PEM.  

```
openssl rsa -inform DER -in PrivateKey.der -outform PEM -out PrivateKey.pem
```
 

**Para descriptografar uma chave privada criptografada (remover a senha ou a frase secreta)**  
Use o comando [OpenSSL **rsa**](https://openssl.org/docs/manmaster/man1/rsa.html) como no exemplo a seguir. Para usar o exemplo de comando a seguir, substitua `EncryptedPrivateKey.pem` pelo nome do arquivo que contém sua chave privada criptografada. Substitua `PrivateKey.pem` pelo nome preferido do arquivo de saída para conter a chave privada descriptografada codificada por PEM.  

```
openssl rsa -in EncryptedPrivateKey.pem -out PrivateKey.pem
```
 

**Para converter um pacote de certificado de PKCS\$112 (PFX) em PEM**  
Use o comando [OpenSSL **pkcs12**](https://openssl.org/docs/manmaster/man1/pkcs12.html) como no exemplo a seguir. No exemplo a seguir, substitua o comando `CertificateBundle.p12` pelo nome do arquivo que contém o pacote de certificado codificado por PKCS\$112. Substitua `CertificateBundle.pem` pelo nome preferido do arquivo de saída para conter o pacote de certificado codificado por PEM.  

```
openssl pkcs12 -in CertificateBundle.p12 -out CertificateBundle.pem -nodes
```
 

**Para converter um pacote de certificado de PKCS\$17 em PEM**  
Use o comando [OpenSSL **pkcs7**](https://openssl.org/docs/manmaster/man1/pkcs7.html) como no exemplo a seguir. No exemplo a seguir, substitua o comando `CertificateBundle.p7b` pelo nome do arquivo que contém o pacote de certificado codificado por PKCS\$17. Substitua `CertificateBundle.pem` pelo nome preferido do arquivo de saída para conter o pacote de certificado codificado por PEM.  

```
openssl pkcs7 -in CertificateBundle.p7b -print_certs -out CertificateBundle.pem
```