Criar um conjunto de permissões para funções - AWS IAM Identity Center
Criar um conjunto de permissões que aplica permissões de privilégio mínimo

Criar um conjunto de permissões para funções

Os conjuntos de permissões são armazenadas no IAM Identity Center e definem o nível de acesso que os usuários e grupos têm a uma conta da Conta da AWS. O primeiro conjunto de permissões que você cria é o conjunto de permissões administrativas. Se você já concluiu um dos Tutoriais sobre fontes de identidades do IAM Identity Center, já criou seu conjunto de permissões administrativas. Use esse procedimento para criar conjuntos de permissões como descrito no tópico AWS managed policies for job functions no IAM User Guide.

  1. Realize um dos procedimentos a seguir para entrar no AWS Management Console.

    • Novo(a) na AWS (usuário raiz) – Faça login como o proprietário da conta ao escolher a opção Usuário raiz e inserir o endereço de e-mail da Conta da AWS. Na próxima página, insira sua senha.

    • Já está usando a AWS (credenciais do IAM): faça login usando suas credenciais do IAM com permissões administrativas.

  2. Abra o console do IAM Identity Center.

  3. No painel de navegação do IAM Identity Center, em Permissões de várias contas, escolha Conjuntos de permissões.

  4. Escolha Create permission set (Criar conjunto de permissões).

    1. Na página Selecionar tipo de conjunto de permissões, na seção Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

    2. Na seção Política para um conjunto de permissões predefinido, escolha uma das seguintes opções:

      • AdministratorAccess

      • Faturamento

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. Na página Especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Próximo. A configuração padrão limita sua sessão a uma hora.

  6. Na página Revisar e criar, confirme o seguinte:

    1. Em Etapa 1: selecionar tipo de conjunto de permissões, o tipo de conjunto de permissões que você escolheu é exibido.

    2. Em Etapa 2: definir detalhes do conjunto de permissões, o nome do conjunto de permissões que você escolheu é exibido.

    3. Escolha Criar.

Criar um conjunto de permissões que aplica permissões de privilégio mínimo

Para seguir as práticas recomendadas para aplicar permissões de privilégio mínimo, depois de criar um conjunto de permissões administrativas, crie um conjunto de permissões mais restritivo e o atribua a um ou mais usuários. Os conjuntos de permissões criados no procedimento anterior fornecem um ponto de partida para você avaliar de quanto acesso aos recursos os usuários precisam. Para alternar para permissões de privilégio mínimo, você pode executar o IAM Access Analyzer para monitorar as entidades principais com políticas gerenciadas pela AWS. Depois de descobrir quais permissões elas estão usando, você pode escrever uma política personalizada ou gerar uma política apenas com as permissões necessárias para sua equipe.

Com o IAM Identity Center, você pode atribuir vários conjuntos de permissões para o mesmo usuário. Ao usuário administrativo também devem ser atribuídos conjuntos de permissões adicionais, mais restritivos. Dessa forma, eles podem acessar a Conta da AWS apenas com as permissões necessárias, em vez de usar as permissões administrativas.

Por exemplo, se você for um desenvolvedor, após criar seu usuário administrativo no IAM Identity Center, poderá criar um novo conjunto de permissões que conceda permissões de PowerUserAccess e atribuir esse conjunto de permissões a si mesmo. Diferentemente do conjunto de permissões administrativas, que usa as permissões de AdministratorAccess, o conjunto de permissões de PowerUserAccess não permite o gerenciamento de usuários e grupos do IAM. Ao entrar no portal de acesso da AWS para acessar sua conta da AWS, você pode escolher PowerUserAccess em vez de AdministratorAccess para realizar tarefas de desenvolvimento na conta.

Lembre-se das seguintes considerações:

  • Para começar rapidamente a criar um conjunto de permissões mais restritivo, use um conjunto de permissões predefinido em vez de um conjunto de permissões personalizado.

    Com um conjunto de permissões predefinido, que usa permissões predefinidas, você escolhe uma única política gerenciada da AWS a partir da lista de políticas disponíveis. Cada política concede um nível específico de acesso a serviços e recursos da AWS ou permissões para uma função de trabalho comum. Para obter informações sobre cada uma dessas políticas, consulte políticas gerenciadas pela AWS para funções de trabalho.

  • Você pode configurar a duração da sessão de um conjunto de permissões para controlar o período de tempo que um usuário fica conectado a uma. Conta da AWS.

    Quando os usuários se federam na Conta da AWS deles e usam o Console de gerenciamento da AWS ou a AWS Command Line Interface (AWS CLI), o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Por padrão, a Duração da sessão, que determina o período de tempo em que um usuário pode se conectar à Conta da AWS antes que a AWS o retire da sessão, é definido como uma hora. Você pode especificar um valor máximo de 12 horas. Para ter mais informações, consulte Definir a duração da sessão para as Contas da AWS.

  • Você também pode configurar a duração da sessão do portal de acesso da AWS para controlar o período de tempo em que um usuário da força de trabalho fica conectado ao portal.

    Por padrão, a duração máxima da sessão, que determina o período de tempo em que um usuário da força de trabalho pode entrar no portal de acesso da AWS antes de precisar se autenticar novamente, é de oito horas. Você pode especificar um valor máximo de 90 dias. Para ter mais informações, consulte Configure a duração da sessão do portal acesso AWS e das aplicações integradas do IAM Identity Center.

  • Ao entrar no portal de acesso da AWS, escolha a função que fornece permissões de privilégio mínimo.

    Cada conjunto de permissões que você cria e atribui ao seu usuário é exibido como um perfil disponível no Portal de acesso da AWS. Ao entrar no portal como esse usuário, escolha a função que corresponde ao conjunto de permissões mais restritivo que você pode utilizar para realizar tarefas na conta, em vez AdministratorAccess de.

  • Você pode adicionar outros usuários ao IAM Identity Center e atribuir conjuntos de permissões novos ou existentes a esses usuários.

    Para obter mais informações, consulte Atribuir a grupos acesso à Conta da AWS.