Como gerenciar o IAM?
O gerenciamento do AWS Identity and Access Management em um ambiente da AWS envolve o aproveitamento de uma variedade de ferramentas e interfaces. O método mais comum é por meio do AWS Management Console, uma interface baseada na Web que permite realizar uma ampla variedade de tarefas administrativas do IAM, desde a criação de usuários e funções até a configuração de permissões.
Para usuários mais confortáveis com as interfaces de linha de comando, o AWS fornece dois conjuntos de ferramentas de linha de comando: o AWS Command Line Interface e o AWS Tools for Windows PowerShell. Isso permite que você emita comandos relacionados ao IAM diretamente do terminal, geralmente com mais eficiência do que navegar no console. Além disso, o AWS CloudShell permite que você execute comandos da CLI ou SDK diretamente do seu navegador, usando as permissões associadas ao login no console.
Além do console e da linha de comando, a AWS oferece kits de desenvolvimento de software (SDKs) para várias linguagens de programação, permitindo que você integre a funcionalidade de gerenciamento do IAM diretamente em suas aplicações. Como alternativa, você pode acessar o IAM programaticamente usando a API de consulta do IAM, que permite emitir solicitações HTTPS diretamente para o serviço. O aproveitamento dessas diferentes abordagens de gerenciamento oferece a flexibilidade de incorporar o IAM em seus fluxos de trabalho e processos existentes.
Usar a AWS Management Console
O console é uma interface baseada em navegador para gerenciar recursos do IAM e da AWS. Para obter mais informações sobre como acessar o IAM pelo console, consulte Como fazer login na AWS no Guia do usuário do Início de Sessão da AWS.
Console do AWS
O Console de gerenciamento da AWS é uma aplicação Web que compreende e se refere a um amplo acervo de consoles de serviço para gerenciar recursos da AWS. Quando você faz login pela primeira vez, vê a página inicial do console. A página inicial fornece acesso a todos os consoles de serviço e oferece um único local para acessar as informações necessárias para executar suas tarefas relacionadas à AWS. Os serviços e aplicações disponíveis para você depois de entrar no console dependem dos recursos da AWS que você tem permissão para acessar. É possível receber permissões para recursos assumindo um perfil, sendo membro de um grupo ao qual permissões foram concedidas ou recebendo uma permissão explícita. Para uma conta da AWS independente, o usuário raiz ou o administrador do IAM configura o acesso aos recursos. Nas AWS Organizations, a conta de gerenciamento ou o administrador delegado configura o acesso aos recursos.
Se você planeja que as pessoas usem o Console de gerenciamento da AWS para gerenciar recursos da AWS, recomendamos configurar usuários com credenciais temporárias como uma prática recomendada de segurança. Os usuários do IAM que assumiram um perfil, os usuários federados e os usuários no Centro de Identidade do IAM têm credenciais temporárias, enquanto o usuário do IAM e o usuário raiz têm credenciais de longo prazo. As credenciais do usuário raiz fornecem acesso total à Conta da AWS, enquanto outros usuários têm credenciais que fornecem acesso aos recursos concedidos pelas políticas do IAM.
A experiência de login é diferente para os diferentes tipos de usuários do AWS Management Console.
-
Os usuários do IAM e o usuário raiz fazem login via URL de login principal da AWS (https://signin.aws.amazon.com). Depois de fazer login, eles têm acesso aos recursos da conta para a qual receberam permissão.
Para fazer login como usuário raiz, é necessário ter o endereço de e-mail e a senha do usuário raiz.
Para entrar como usuário do IAM, é necessário ter o número ou o alias da Conta da AWS, o nome de usuário do IAM e a senha do usuário do IAM.
Recomendamos restringir os usuários do IAM em sua conta a situações específicas que exijam credenciais de longo prazo, como acesso de emergência, e usar o usuário raiz somente para tarefas que exijam credenciais de usuário raiz.
Para maior conveniência, a página de login da AWS usa um cookie de navegador para lembrar o nome de usuário e as informações da conta do IAM. Na próxima vez que o usuário acessar qualquer página no AWS Management Console, o console usará o cookie para redirecionar o usuário para a página de login da conta.
Saia do console ao terminar sua sessão para evitar a reutilização do seu login anterior.
-
Os usuários do Centro de Identidade do IAM fazem login usando um portal de acesso específico da AWS que é exclusivo para sua organização. Depois de fazer login, eles podem escolher qual conta ou aplicação acessar. Se optarem por acessar uma conta, eles escolherão qual conjunto de permissões desejam usar para a sessão de gerenciamento.
-
Usuários federados gerenciados em um provedor de identidade externo vinculado a um login de Conta da AWS usando um portal de acesso corporativo personalizado. Os recursos da AWS disponíveis para usuários federados dependem das políticas selecionadas por sua organização.
nota
Para fornecer um nível adicional de segurança, o usuário raiz, os usuários do IAM e os usuários do Centro de Identidade do IAM podem ter a autenticação multifator (MFA) verificada pela AWS antes de conceder acesso aos recursos da AWS. Quando a MFA está habilitada, você também deve ter acesso ao dispositivo de MFA para fazer login.
Para saber mais sobre como diferentes usuários fazem login no console de gerenciamento, consulte Login no Console de gerenciamento da AWS no Guia do usuário de login da AWS.
Ferramentas de linha de comando da AWS
Você pode usar as ferramentas da linha de comando da AWS para emitir comandos na linha de comando do seu sistema e realizar tarefas do IAM e da AWS. Usar a linha de comando pode ser mais rápido e mais conveniente do que o console. As ferramentas da linha de comando também são úteis se você quiser criar scripts que realizem tarefas da AWS.
A AWS fornece dois conjuntos de ferramentas de linha de comando: a AWS Command Line Interface
Depois de entrar no console, será possível usar a AWS CloudShell partir do seu navegador para executar comandos da CLI ou do SDK. As permissões para acessar recursos da AWS são baseadas nas credenciais que você usou para entrar no console. Dependendo da sua experiência, talvez você considere a CLI um método mais eficiente de gerenciar a Conta da AWS. Para ter mais informações, consulte Usar o AWS CloudShell para operação com o AWS Identity and Access Management.
Interface de linha de comando (CLI) da AWS e kits de desenvolvimento de software (SDKs)
Os usuários do Centro de Identidade do IAM e os usuários do IAM usam métodos diferentes para autenticar suas credenciais quando se autenticam por meio da CLI ou das interfaces de aplicações (APIs) nos SDKs associados.
As credenciais e as configurações estão localizadas em vários locais, como variáveis de ambiente do sistema ou do usuário, arquivos de configuração local da AWS, ou explicitamente declaradas na linha de comando como um parâmetro. Certos locais têm precedência sobre outros.
Tanto o Centro de Identidade do IAM quanto o IAM fornecem chaves de acesso que podem ser usadas com a CLI ou o SDK. As chaves de acesso do Centro de Identidade do IAM são credenciais temporárias que podem ser atualizadas automaticamente e são recomendadas no lugar das chaves de acesso de longo prazo associadas aos usuários do IAM.
Para gerenciar sua Conta da AWS usando a CLI ou o SDK, é possível usar a AWS CloudShell a partir do seu navegador. Se você usa o CloudShell para executar comandos da CLI ou do SDK, é necessário entrar no console primeiro. As permissões para acessar recursos da AWS são baseadas nas credenciais que você usou para entrar no console. Dependendo da sua experiência, talvez você considere a CLI um método mais eficiente de gerenciar a Conta da AWS.
Para o desenvolvimento de aplicações, é possível baixar a CLI ou o SDK para o seu computador e fazer login no prompt de comando ou em uma janela do Docker. Nesse cenário, você configura as credenciais de autenticação e acesso como parte do script da CLI ou da aplicação do SDK. É possível configurar o acesso programático aos recursos de maneiras diferentes, dependendo do ambiente e do acesso disponível para você.
-
As opções recomendadas para autenticar o código local com serviço da AWS são o Centro de Identidade do IAM e o IAM Roles Anywhere
-
As opções recomendadas para autenticar o código executado em um ambiente da AWS são usar perfis do IAM ou usar as credenciais do Centro de Identidade do IAM.
Quando você inicia sessão pelo portal de acesso do AWS, pode obter credenciais de curto prazo na página inicial em que escolhe seu conjunto de permissões. Essas credenciais têm duração definida e não são atualizadas automaticamente. Se desejar utilizar essas credenciais, após entrar no portal da AWS, escolha a Conta da AWS e, em seguida, escolha o conjunto de permissões. Selecione Linha de comando ou acesso programático para ver as opções que podem ser usadas para acessar os recursos da AWS de forma programática ou via CLI. Para obter mais informações sobre esses métodos, consulte Obtenção e atualização de credenciais temporárias no Guia do usuário do Centro de Identidade do IAM. Essas credenciais são frequentemente usadas durante o desenvolvimento da aplicação para testar rapidamente o código.
Recomendamos usar as credenciais do Centro de Identidade do IAM, as quais são atualizadas automaticamente ao automatizar o acesso aos seus recursos da AWS. Se você configurou usuários e conjuntos de permissões no Centro de Identidade do IAM, use o comando aws configure sso para usar um assistente de linha de comando que ajudará a identificar as credenciais disponíveis para você e armazená-las em um perfil. Para obter mais informações sobre como configurar seu perfil, consulte Configuração do seu perfil com o assistente aws configure sso no Guia do usuário da Interface de linha de comando da AWS para a versão 2.
nota
Muitas aplicações de exemplo usam chaves de acesso de longo prazo associadas aos usuários do IAM ou ao usuário raiz. Use as credenciais de longo prazo somente em um ambiente sandbox como parte de um exercício de aprendizado. Analise as alternativas às chaves de acesso de longo prazo e planeje fazer a transição do seu código para usar credenciais alternativas, como credenciais ou perfis do IAM do Centro de Identidade do IAM, o mais rápido possível. Depois de fazer a transição do código, exclua as chaves de acesso.
Para saber mais sobre como configurar a CLI, consulte Instalação ou atualização da versão mais recente da CLI da AWS no Guia do usuário da Interface de linha de comando da AWS para a versão 2 e Credenciais de autenticação e acesso no Guia do usuário da Interface de linha de comando da AWS
Para saber mais sobre como configurar o SDK, consulte Autenticação do Centro de Identidade do IAM no Guia de referência de SDKs e ferramentas da AWS e IAM Roles Anywhere no Guia de referência de SDKs e ferramentas da AWS.
Usar os SDKs da AWS
A AWS fornece SDKs (kits de desenvolvimento de software) que consistem em bibliotecas e códigos de exemplo para várias linguagens de programação e plataformas (Java, Python, Ruby, .NET, iOS, Android, etc.). Os SDKs constituem uma forma conveniente de criar acesso programático para o IAM e a AWS. Por exemplo, os SDKs processam tarefas como assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre os AWS SDKs, incluindo como fazer download deles e instalá-los, consulte a página Ferramentas para a Amazon Web Services
Usar a API Query do IAM
Você pode acessar o IAM e a AWS de forma programática usando a API Query do IAM, que permite emitir solicitações HTTPS diretamente ao serviço. Ao usar a API Query, é necessário incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte Chamar a API do IAM usando solicitações de consulta HTTP e a Referência da API do IAM.
