O que é o IAM?

Você pode conceder permissões a outras pessoas para administrar e usar recursos em sua conta da AWS sem a necessidade de compartilhar sua senha ou chave de acesso.

Você pode conceder permissões diferentes a pessoas diferentes para diferentes recursos. Por exemplo, você pode permitir que alguns usuários tenham acesso completo ao Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift e outros produtos da AWS. Para outros usuários, você pode permitir acesso somente leitura a apenas alguns buckets do S3 ou permissão para administrar apenas algumas instâncias do EC2 ou para acessar suas informações de faturamento, mas nada mais.

Você pode usar recursos do IAM para fornecer credenciais de forma segura às aplicações que são executadas em instâncias do EC2. Essas credenciais fornecem permissões ao aplicativo para acessar outros recursos da AWS. Os exemplos incluem buckets do S3 e tabelas do DynamoDB.

Você pode adicionar a autenticação de dois fatores à sua conta e a usuários individuais para proporcionar segurança extra. Com a MFA, você ou seus usuários devem fornecer não apenas uma senha ou chave de acesso para trabalhar com a sua conta, mas também um código de um dispositivo especialmente configurado. Se você já usa uma chave de segurança FIDO com outros serviços e ela tem uma configuração com suporte da AWS, você pode usar WebAuthn para segurança de MFA. Para ter mais informações, consulte Configurações compatíveis com o uso de chaves de acesso e chaves de segurança.

Você pode permitir que os usuários que já têm senhas em outro lugar, por exemplo, na sua rede corporativa ou com um provedor de identidade de Internet, obtenham acesso temporário à sua Conta da AWS.

Se você usar o AWS CloudTrail, receberá registros de log com informações sobre quem fez solicitações de recursos na sua conta. Essas informações são baseadas em identidades do IAM.

O IAM é compatível com o processamento, o armazenamento e a transmissão de dados de cartão de crédito por um comerciante ou um provedor de serviços e foi aprovado como estando em conformidade com o Data Security Standard (DSS – Padrão de Segurança de Dados) da Payment Card Industry (PCI – Indústria de Pagamento com Cartão). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

Para obter uma lista dos produtos da AWS que funcionam com o IAM, consulte Serviços da AWS que funcionam com o IAM.

O IAM, como muitos outros produtos da AWS, oferece consistência final. O IAM atinge alta disponibilidade ao replicar dados em vários servidores dentro de datacenters da Amazon em todo o mundo. Se uma solicitação para alterar alguns dados for bem-sucedida, a alteração estará comprometida e armazenada com segurança. No entanto, a alteração deverá ser replicada em todo o IAM, o que pode levar algum tempo. Essas alterações incluem a criação ou a atualização de usuários, grupos, funções ou políticas. Recomendamos que você não inclua essas alterações do IAM nos caminhos de código crítico de alta disponibilidade do seu aplicativo. Em vez disso, faça alterações do IAM em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas. Para ter mais informações, consulte As alterações que eu faço nem sempre ficam imediatamente visíveis.

O AWS Identity and Access Management (IAM) e o AWS Security Token Service (AWS STS) são recursos da conta da AWS oferecidos sem custo adicional. Você só será cobrado quando acessar outros produtos da AWS usando seus usuários do IAM ou as credenciais de segurança temporárias do AWS STS. Para obter informações sobre preços de outros produtos da AWS, consulte a página de preços da Amazon Web Services.

O console é uma interface baseada em navegador para gerenciar recursos do IAM e da AWS. Para obter mais informações sobre como acessar o IAM pelo console, consulte Como fazer login na AWS no Guia do usuário do Início de Sessão da AWS.

Você pode usar as ferramentas da linha de comando da AWS para emitir comandos na linha de comando do seu sistema e realizar tarefas do IAM e da AWS. Usar a linha de comando pode ser mais rápido e mais conveniente do que o console. As ferramentas da linha de comando também são úteis se você quiser criar scripts que realizem tarefas da AWS.

A AWS fornece dois conjuntos de ferramentas de linha de comando: a AWS Command Line Interface (AWS CLI) e o AWS Tools for Windows PowerShell. Para obter informações sobre a instalação e o uso da AWS CLI, consulte o Guia do usuário da AWS Command Line Interface. Para obter informações sobre a instalação e o uso do Tools for Windows PowerShell, consulte o Guia do usuário do AWS Tools for Windows PowerShell.

Depois de entrar no console, será possível usar a AWS CloudShell partir do seu navegador para executar comandos da CLI ou do SDK. As permissões para acessar recursos da AWS são baseadas nas credenciais que você usou para entrar no console. Dependendo da sua experiência, talvez você considere a CLI um método mais eficiente de gerenciar a Conta da AWS. Para ter mais informações, consulte Utilização da AWS CloudShell para operação com o AWS Identity and Access Management.

A AWS fornece SDKs (kits de desenvolvimento de software) que consistem em bibliotecas e códigos de exemplo para várias linguagens de programação e plataformas (Java, Python, Ruby, .NET, iOS, Android, etc.). Os SDKs constituem uma forma conveniente de criar acesso programático para o IAM e a AWS. Por exemplo, os SDKs processam tarefas como assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre os AWS SDKs, incluindo como fazer download deles e instalá-los, consulte a página Ferramentas para a Amazon Web Services.

Você pode acessar o IAM e a AWS de forma programática usando a API Query do IAM, que permite emitir solicitações HTTPS diretamente ao serviço. Ao usar a API Query, é necessário incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte Chamar a API do IAM usando solicitações de consulta HTTP e a Referência da API do IAM.