As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de identidade e acesso na AWS Control Tower
Para realizar qualquer operação em sua landing zone, como provisionar contas no Account Factory ou criar novas unidades organizacionais (OUs) no console da AWS Control Tower, AWS Identity and Access Management (IAM) ou AWS IAM Identity Center exigem que você autentique que é aprovado AWS usuário. Por exemplo, se você estiver usando o console AWS Control Tower, autentica sua identidade fornecendo seu AWS credenciais, conforme fornecidas pelo administrador.
Depois de autenticar sua identidade, IAM controla seu acesso a AWS com um conjunto definido de permissões em um conjunto específico de operações e recursos. Se você for administrador da conta, poderá usar IAM para controlar o acesso de outros IAM usuários aos recursos associados à sua conta.
Tópicos
- Autenticação
- Controle de acesso
- Trabalhando com o AWS IAM Identity Center e o AWS Control Tower
- Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower
- Evite a falsificação de identidade entre serviços
- Usando políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower
Autenticação
Você tem acesso a AWS como qualquer um dos seguintes tipos de identidades:
-
AWS usuário raiz da conta — Quando você cria uma conta pela primeira vez AWS conta, você começa com uma identidade que tem acesso completo a todos AWS serviços e recursos na conta. Essa identidade é chamada de AWS usuário raiz da conta. Você tem acesso a essa identidade ao fazer login com o endereço de e-mail e a senha usados para criar a conta. É recomendável não usar o usuário raiz para suas tarefas diárias, nem mesmo para as administrativas. Em vez disso, adote a prática recomendada de usar o usuário root somente para criar seu primeiro usuário (recomendado) ou IAM usuário do IAM Identity Center (não é uma prática recomendada na maioria dos casos de uso). Depois, guarde as credenciais do usuário raiz em um lugar seguro e utilize-as para executar somente algumas tarefas de gerenciamento de contas e serviços. Para obter mais informações, consulte Quando fazer login como usuário root.
-
IAMusuário — Um IAMusuário é uma identidade dentro do seu AWS conta que tem permissões específicas e personalizadas. Você pode usar as credenciais IAM do usuário para fazer login e proteger AWS páginas da web como o AWS Console de gerenciamento, AWS Fóruns de discussão ou o AWS Support Center. AWS as melhores práticas recomendam que você crie um usuário do IAM Identity Center em vez de um IAM usuário, porque há mais risco de segurança ao criar um IAM usuário com credenciais de longo prazo.
Se você precisar criar um IAM usuário para uma determinada finalidade, além das credenciais de login, poderá gerar chaves de acesso para cada usuário. IAM Você pode usar essas teclas ao ligar AWS serviços programaticamente, seja por meio de um dos vários SDKs ou usando o AWS Interface de linha de comando (CLI). As CLI ferramentas SDK e usam as chaves de acesso para assinar criptograficamente sua solicitação. Se você não usa AWS ferramentas, você mesmo deve assinar a solicitação. AWSO Control Tower oferece suporte ao Signature Version 4, um protocolo para autenticar solicitações de entradaAPI. Para obter mais informações sobre a autenticação de solicitações, consulte Processo de assinatura da versão 4 no AWS Referência geral.
-
IAMfunção — Uma IAMfunção é uma IAM identidade que você pode criar em sua conta com permissões específicas. Uma IAM função é semelhante a de um IAM usuário, pois é uma AWS identidade, e tem políticas de permissões que determinam o que a identidade pode ou não fazer em AWS. No entanto, em vez de ser associada exclusivamente a uma pessoa, uma função deve ser assumida por qualquer pessoa que precise dela. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. IAMfunções com credenciais temporárias são úteis nas seguintes situações:
-
Acesso de usuário federado — Em vez de criar um IAM usuário, você pode usar identidades existentes de AWS Directory Service, seu diretório de usuários corporativos ou um provedor de identidade na web. Estes são conhecidos como usuários federados. AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidade. Para obter mais informações sobre usuários federados, consulte Usuários e funções federados no Guia do IAMusuário.
-
AWS acesso ao serviço — Uma função de serviço é uma IAM função que um serviço assume para realizar ações em sua conta em seu nome. Quando você configura alguns AWS ambientes de serviço, você deve definir uma função a ser assumida pelo serviço. Essa função de serviço deve incluir todas as permissões necessárias para que o serviço acesse o AWS recursos de que precisa. As funções de serviço variam de acordo com o serviço, mas muitas permitem que você escolha suas permissões, desde que atenda aos requisitos documentados para esse serviço. As funções de serviço fornecem acesso apenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços em outras contas. Você pode criar, modificar e excluir uma função de serviço de dentroIAM. Por exemplo, é possível criar uma função que permita ao Amazon Redshift acessar um bucket do Amazon S3 em seu nome e carregar dados do bucket em um cluster do Amazon Redshift. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS Serviço no Guia do IAM Usuário.
-
Aplicativos em execução na Amazon EC2 — Você pode usar uma IAM função para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma EC2 instância da Amazon e criando AWS CLIou AWS APIsolicitações. Isso é preferível ao armazenamento de chaves de acesso na EC2 instância da Amazon. Para atribuir um AWS Ao atribuir uma função a uma EC2 instância da Amazon e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância que é anexado à instância. Um perfil de instância contém a função e permite que programas em execução na EC2 instância da Amazon obtenham credenciais temporárias. Para obter mais informações, consulte Usando uma IAM função para conceder permissões a aplicativos executados em EC2 instâncias da Amazon no Guia IAM do usuário.
-
-
IAMA autenticação do usuário do IAM Identity Center no portal do usuário do Identity Center é controlada pelo diretório que você conectou ao IAM Identity Center. No entanto, autorização para o AWS as contas que estão disponíveis para usuários finais a partir do portal do usuário são determinadas por dois fatores:
-
A quem foi atribuído acesso a esses AWS contas no AWS IAMConsole do Identity Center. Para obter mais informações, consulte Acesso ao Single Sign-On no AWS IAM Identity Center Guia do usuário.
-
Que nível de permissões foi concedido aos usuários finais no AWS IAMConsole do Identity Center para permitir que eles tenham o acesso apropriado a esses AWS contas. Para obter mais informações, consulte Conjuntos de permissões no AWS IAM Identity Center Guia do usuário.
-
Controle de acesso
Para criar, atualizar, excluir ou listar recursos da AWS Control Tower ou outros AWS recursos em sua landing zone, você precisa de permissões para realizar a operação e precisa de permissões para acessar os recursos correspondentes. Além disso, para realizar a operação de forma programática, você precisa de chaves de acesso válidas.
As seções a seguir descrevem como gerenciar as permissões do AWS Control Tower:
Tópicos
