Credenciais de segurança da AWS - AWS Identity and Access Management

Credenciais de segurança da AWS

Ao interagir com a AWS, você especifica as credenciais de segurança da AWS para verificar quem você é e se tem permissão para acessar os recursos que está solicitando. A AWS usa as credenciais de segurança para autenticar e autorizar suas solicitações.

Por exemplo, se você quiser baixar um arquivo protegido de um bucket do Amazon Simple Storage Service (Amazon S3), suas credenciais devem permitir esse acesso. Se suas credenciais não mostram que você tem autorização para baixar o arquivo, a AWS nega sua solicitação. Porém, suas credenciais de segurança da AWS não são obrigatórias para baixar um arquivo em um bucket do Amazon S3 que seja compartilhado publicamente.

Existem diferentes tipos de usuários da AWS, cada um com suas próprias credenciais de segurança:

  • Proprietário da conta (usuário-raiz): o usuário que criou a Conta da AWS e tem acesso total.

  • Usuários do AWS IAM Identity Center: usuários gerenciados no AWS IAM Identity Center.

  • Usuários federados: usuários de provedores de identidades externos aos quais é concedido acesso temporário à AWS por meio de federação. Para obter mais informações sobre identidades federadas, consulte Provedores de identidade e federação.

  • Usuários do IAM: usuários individuais criados dentro do serviço AWS Identity and Access Management (IAM).

Os usuários têm credenciais de segurança temporárias ou de longo prazo. O usuário-raiz, o usuário do IAM e as chaves de acesso têm credenciais de segurança de longo prazo que não expiram. Para proteger as credenciais de longo prazo, tenha processos em vigor para gerenciar chaves de acesso, alterar senhas e habilitar a MFA.

Para simplificar o gerenciamento das credenciais de usuário-raiz em todas as contas de membros no AWS Organizations, é possível proteger centralmente as credenciais de usuário-raiz das suas Contas da AWS gerenciadas usando o AWS Organizations. Gerencie centralmente o acesso raiz para contas-membro permite que você remova e evite centralmente a recuperação de credenciais de usuário-raiz em longo prazo, evitando o acesso raiz não intencional em grande escala.

Perfis do IAM, usuários no Centro de Identidade do AWS IAM e usuários federados têm credenciais de segurança temporárias. As credenciais de segurança temporárias expiram após um período definido ou quando o usuário encerra a sessão. As credenciais temporárias funcionam quase de forma idêntica às credenciais de longo prazo, com as seguintes diferenças:

  • As credenciais de segurança temporárias são de curto prazo, como o nome indica. Elas podem ser configuradas para durar de alguns minutos a várias horas. Depois que as credenciais expiram, a AWS não as reconhece mais ou permite qualquer tipo de acesso de solicitações de API feitas com elas.

  • As credenciais de segurança temporárias não são armazenadas com o usuário, mas são geradas dinamicamente e fornecidas ao usuário quando solicitadas. Quando (ou até mesmo antes) as credenciais de segurança temporárias expiram, o usuário pode solicitar novas credenciais, desde que o usuário solicitante ainda tenha permissões para fazê-lo.

Como resultado, as credenciais temporárias apresentam as seguintes vantagens em relação às credenciais de longo prazo:

  • Você não tem que distribuir ou incorporar credenciais de segurança da AWS de longo prazo com um aplicativo.

  • É possível fornecer acesso aos seus recursos da AWS para os usuários sem a necessidade de definir uma identidade da AWS para eles. As credenciais temporárias são a base para funções e federação de identidades.

  • As credenciais de segurança temporárias têm vida limitada. Portanto, não é necessário atualizá-las ou explicitamente revogá-las quando elas não forem mais necessárias. Quando as credenciais de segurança temporárias expiram, elas não podem ser reutilizadas. É possível especificar por quanto tempo as credenciais são válidas, até um limite máximo.

Considerações sobre segurança

Recomendamos considerar as seguintes informações ao determinar as provisões de segurança para sua Conta da AWS:

  • Quando você cria uma Conta da AWS, nós criamos a conta de usuário-raiz. As credenciais do usuário-raiz (proprietário da conta) permitem acesso total a todos os recursos da conta. A primeira tarefa que você executa com o usuário-raiz é conceder a outro usuário permissões administrativas para sua Conta da AWS para minimizar o uso do usuário-raiz.

  • A autenticação multifator (MFA) fornece um nível adicional de segurança para usuários que podem acessar sua Conta da AWS. Para reforçar a segurança, recomendamos que você exija a MFA nas credenciais de Usuário raiz da conta da AWS e em todos os usuários do IAM. Para ter mais informações, consulte Código da autenticação multifator no IAM da AWS.

  • A AWS exige diferentes tipos de credenciais de segurança, dependendo de como você acessa a AWS e do tipo de usuário da AWS que você é. Por exemplo, você usa credenciais de login para o AWS Management Console e usa chaves de acesso para fazer chamadas programáticas para a AWS. Para obter ajuda para determinar o tipo de usuário e a página de login, consulte What is AWS Sign-In no Guia do usuário do Início de Sessão da AWS.

  • Não é possível usar as políticas do IAM para negar explicitamente ao usuário-raiz o acesso aos recursos. Só é possível usar uma política de controle de serviços (SCP) do AWS Organizations para limitar as permissões do usuário-raiz.

  • Caso esqueça ou perca sua senha de usuário-raiz, você deverá ter acesso ao endereço de e-mail associado à conta para redefini-la.

  • Caso perca suas chaves de acesso de usuário-raiz, você deverá conseguir fazer login na conta como usuário-raiz para criar novas.

  • Não use o usuário-raiz para tarefas cotidianas. Use para executar as tarefas que somente o usuário-raiz pode executar. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz.

  • As credenciais de segurança são específicas para cada conta. Se tiver acesso a várias Contas da AWS, você terá credenciais separadas para cada conta.

  • As políticas determinam quais ações um usuário, um perfil ou o membro de um grupo de usuários pode executar, em quais recursos da AWS e em quais condições. Ao usar políticas, você pode controlar com segurança o acesso a Serviços da AWS e recursos em sua Conta da AWS. Se precisar modificar ou revogar as permissões em resposta a um evento de segurança, exclua ou modifique as políticas em vez de fazer alterações diretamente na identidade.

  • Salve as credenciais de login de seu usuário do IAM de acesso de emergência e todas as chaves de acesso que você criou para acesso programático em um local seguro. Caso perca suas chaves de acesso, você deverá fazer login na conta para criar novas.

  • É altamente recomendável usar credenciais temporárias fornecidas por perfis do IAM e usuários federados em vez das credenciais de longo prazo fornecidas por usuários do IAM e chaves de acesso.