Permissões personalizadas para políticas gerenciadas pela AWS e políticas gerenciadas pelo cliente
Você pode criar um conjunto de permissões com permissões personalizadas, combinando as políticas gerenciadas pela AWS e as políticas gerenciadas pelo cliente que você tem no AWS Identity and Access Management (IAM) junto com políticas em linha. Você também pode incluir um limite de permissões, definindo o máximo possível de permissões que outras políticas podem conceder aos usuários do seu conjunto de permissões.
Para obter instruções sobre como criar um conjunto de permissões, consulte Criar, gerenciar e excluir conjuntos de permissões.
Tipos de política que você pode anexar ao seu conjunto de permissões
Tópicos
Políticas em linha
Você pode anexar uma política em linha a um conjunto de permissões. Uma política em linha é um bloco de texto formatado como uma política do IAM que você adiciona diretamente ao seu conjunto de permissões. Você pode colar em uma política ou gerar uma nova com a ferramenta de criação de políticas no console do IAM Identity Center ao criar um novo conjunto de permissões. Você também pode criar políticas do IAM com o Gerador de Políticas da AWS
Quando você implanta um conjunto de permissões com uma política em linha, o IAM Identity Center cria uma política do IAM nas Contas da AWS que você atribui seu conjunto de permissões. O IAM Identity Center cria a política quando você atribui o conjunto de permissões à conta. Em seguida, a política é anexada ao perfil do IAM em sua Conta da AWS que seu usuário assume.
Quando você cria uma política em linha e atribui seu conjunto de permissões, o IAM Identity Center configura as políticas em suas Contas da AWS para você. Ao criar seu conjunto de permissões com Políticas gerenciadas pelo cliente, você deve criar por si mesmo(a) as políticas em suas Contas da AWS antes de atribuir o conjunto de permissões.
Políticas gerenciadas pela AWS
Você pode anexar políticas gerenciadas pela AWS ao seu conjunto de permissões. As políticas gerenciadas pela AWS são políticas do IAM que a AWS mantém. Por outro lado, Políticas gerenciadas pelo cliente são as políticas do IAM em sua conta que você cria e mantém. As políticas gerenciadas pela AWS tratam de casos de uso de privilégios mínimos comuns em sua Conta da AWS. Você pode atribuir uma política gerenciada da AWS como permissões para o perfil que o IAM Identity Center cria ou como um limite de permissões.
A AWS mantém políticas gerenciada da AWS para funções de trabalho que atribuem permissões de acesso específicas ao trabalho em seus recursos da AWS. Você pode adicionar uma política de função de trabalho ao optar por usar permissões predefinidas com seu conjunto de permissões. Ao escolher Permissões personalizadas, você pode adicionar mais de uma política de função de trabalho.
Sua Conta da AWS também contém um grande número de políticas do IAM gerenciadas pela AWS para Serviços da AWS específicos e combinações de Serviços da AWS. Ao criar um conjunto de permissões com Permissões personalizadas, você pode escolher entre várias políticas gerenciadas pela AWS para atribuir ao seu conjunto de permissões.
A AWS preenche cada Conta da AWS com políticas gerenciadas pela AWS. Para implantar um conjunto de permissões com políticas gerenciadas pela AWS, você não precisa primeiro criar uma política nas suas Contas da AWS. Ao criar seu conjunto de permissões com Políticas gerenciadas pelo cliente, você deve criar por si mesmo(a) as políticas em suas Contas da AWS antes de atribuir o conjunto de permissões.
Para obter mais informações sobre as políticas gerenciadas pela AWS, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
Políticas gerenciadas pelo cliente
Você pode anexar políticas gerenciadas pelo cliente ao seu conjunto de permissões. Políticas gerenciadas pelo cliente são políticas do IAM em sua conta que você cria e mantém. Por outro lado, Políticas gerenciadas pela AWS são as políticas do IAM em sua conta mantidas pela AWS. Você pode atribuir uma política gerenciada pelo cliente como permissões para o perfil que o IAM Identity Center cria ou como um limite de permissões.
Ao criar um conjunto de permissões com uma política gerenciada pelo cliente, você deve criar uma política do IAM com o mesmo nome e caminho em cada Conta da AWS que o IAM Identity Center atribui seu conjunto de permissões. Se você estiver especificando um caminho personalizado, certifique-se de especificar o mesmo caminho em cada Conta da AWS. Para obter mais informações, consulte Nome e caminhos amigáveis no Guia do usuário do IAM. O IAM Identity Center associa a política do IAM ao perfil do IAM que ele cria na sua Conta da AWS. Como prática recomendada, aplique as mesmas permissões à política em cada conta à qual você atribui o conjunto de permissões. Para ter mais informações, consulte Use políticas do IAM nos conjuntos de permissões.
Para obter mais informações, consulte Políticas gerenciadas pelo cliente no Guia do usuário do IAM.
Limites de permissões
Você pode anexar um limite de permissões ao seu conjunto de permissões. Um limite de permissões é uma política do IAM gerenciada pela AWS ou pelo cliente que define as permissões máximas que uma política baseada em identidade pode conceder a uma entidade principal do IAM. Quando você aplica um limite de permissões, seu Políticas em linha, Políticas gerenciadas pelo cliente e Políticas gerenciadas pela AWS não podem conceder nenhuma permissão que exceda as permissões que seu limite de permissões concede. Um limite de permissões não concede nenhuma permissão, mas faz com que o IAM ignore todas as permissões além do limite.
Ao criar um conjunto de permissões com uma política gerenciada pelo cliente como limite de permissões, você deve criar uma política do IAM com o mesmo nome em cada Conta da AWS em que o IAM Identity Center atribui seu conjunto de permissões. O IAM Identity Center anexa a política do IAM como um limite de permissões ao perfil do IAM que ele cria em sua Conta da AWS.
Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.
