# Remover ou desativar um usuário do IAM
<a name="id_users_remove"></a>

As [práticas recomendadas](best-practices.md#remove-credentials) aconselham que você remova usuários do IAM não utilizados da Conta da AWS. Se quiser reter as credenciais dos usuários do IAM para uso futuro, em vez de excluí-las da conta, você poderá desativar o acesso do usuário. Para obter mais informações, consulte [Desativar um usuário do IAM](#id_users_deactivating).

**Atenção**  
Depois que um usuário do IAM e suas chaves de acesso são excluídos, não podem ser restaurados ou recuperados.

## Pré-requisito: visualizar o acesso do usuário do IAM
<a name="users-manage_prerequisites"></a>

Antes de remover um usuário, analise sua atividade recente em nível de serviço. Esse processo ajuda a evitar a remoção do acesso de uma entidade principal (pessoa ou aplicação) que o esteja usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Remoção de um usuário do IAM (console)
<a name="id_users_deleting_console"></a>

Quando você usa o Console de gerenciamento da AWS para remover um usuário do IAM, o IAM exclui automaticamente as seguintes informações associadas: 
+ O identificador de usuário do IAM
+ Quaisquer associações de grupo: ou seja, o usuário do IAM é removido de todos os grupos dos quais o usuário do IAM era membro
+ Qualquer senha associada ao usuário do IAM 
+ Todas as políticas em linha incorporadas no usuário do IAM (as políticas que foram aplicadas ao usuário do IAM usando permissões de grupo de usuários não são afetadas) 
**nota**  
O IAM remove todas as políticas gerenciadas anexadas ao usuário do IAM quando você exclui o usuário, mas não exclui as políticas gerenciadas. 
+ Todos os dispositivos MFA associados

### Para remover um usuário do IAM (console)
<a name="id_users_remove-section-1"></a>

------
#### [ Console ]

1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico [Como fazer login na AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do AWS Sign-In*.

1. Na **Página inicial do console do IAM**, no painel de navegação à esquerda, insira sua consulta na caixa de texto **Pesquisar IAM**.

1. No painel de navegação, escolha **Usuários** e, em seguida, marque a caixa de seleção ao lado do nome de usuário do IAM que você deseja excluir. 

1. Na parte superior da página, escolha **Delete** (Excluir).
**nota**  
Se algum dos usuários tiver chaves de acesso ativas, será necessário desativar as chaves de acesso antes de excluir os usuários. Para obter mais informações, consulte [Para desativar uma chave de acesso para um usuário do IAM](access-keys-admin-managed.md#admin-deactivate-access-key).

1. Na caixa de diálogo de confirmação, insira o nome de usuário no campo de entrada de texto para confirmar a exclusão do usuário. Escolha **Excluir**. 

O console exibe uma notificação de status informando que o usuário do IAM foi excluído.

------

## Exclusão de um usuário do IAM (AWS CLI)
<a name="id_users_deleting_cli"></a>

Ao contrário do Console de gerenciamento da AWS, quando você exclui um usuário do IAM com a AWS CLI, é necessário excluir manualmente os itens anexados ao usuário do IAM. Este procedimento ilustra o processo. 

**Para excluir um usuário do IAM da Conta da AWS (AWS CLI)**

1. Exclua a senha do usuário, caso ele tenha uma.

   `[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`

1. Exclui as chaves de acesso do usuário, se o usuário as tiver.

   `[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` (para listar as chaves de acesso do usuário) e `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`

1. Exclui o certificado de assinatura do usuário. Observe que ao excluir uma credencial de segurança, ela é removida permanentemente e não pode ser recuperada.

   `[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)` (para listar o certificados de assinatura do usuário) e `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`

1. Exclui a chave pública SSH do usuário, se o usuário tiver uma.

   `[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)` (para listar as chaves públicas SSH do usuário) e `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`

1. Exclui as credenciais do Git do usuário.

   `[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)` (para listar as credenciais do git do usuário) e `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`

1. Desativa o dispositivo de autenticação multifator (MFA), se o usuário tiver um.

   `[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)` (para listar os dispositivos MFA do usuário), `[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)` (para desativar o dispositivo) e `[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)` (para excluir permanentemente um dispositivo MFA virtual) 

1. Exclui as políticas em linha do usuário. 

   `[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)` (para listar as políticas em linha do usuário) e [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html) (para excluir a política) 

1. Desanexa todas as políticas gerenciadas anexadas ao usuário. 

   `[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)` (para listar as políticas gerenciadas anexadas ao usuário) e [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) (para desanexar a política) 

1. Remova o usuário de todos os grupos do IAM. 

   `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)` (para listar os grupos do IAM aos quais o usuário pertence) e `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)` 

1. Exclua o usuário.

   `[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)` 

## Desativar um usuário do IAM
<a name="id_users_deactivating"></a>

Talvez seja necessário desativar um usuário do IAM enquanto ele estiver temporariamente fora da empresa. Você pode manter as credenciais de usuário do IAM do usuário como estão e apenas bloquear o acesso dele à AWS.

Para desativar um usuário, crie e anexe uma política que negue ao usuário acesso à AWS. Você pode restaurar o acesso do usuário posteriormente.

Aqui estão dois exemplos de políticas de negação que você pode anexar a um usuário para negar seu acesso.

A política a seguir não inclui um limite de tempo. Você deve remover a política para restaurar o acesso do usuário.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}
```

------

A política a seguir inclui uma condição que inicia a política em 24 de dezembro de 2024 às 23:59 (UTC) e termina em 28 de fevereiro de 2025 às 23:59 (UTC).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}
```

------