As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar, gerenciar e excluir conjuntos de permissões
Os conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma Conta da AWS. Os conjuntos de permissões são armazenados no IAM Identity Center e podem ser provisionados para um ou mais. Contas da AWS Você pode atribuir mais de um conjunto de permissões a um usuário. Para obter mais informações sobre conjuntos de permissões e como eles são usados no IAM Identity Center, consulteGerencie Contas da AWS com conjuntos de permissões.
nota
Você pode pesquisar e classificar conjuntos de permissões por nome no console do IAM Identity Center.
Ao criar conjuntos de permissões, tenha em mente as seguintes considerações:
-
Começar com um conjunto de permissões predefinido
Com um conjunto de permissões predefinido, que usa permissões predefinidas, você escolhe uma única política AWS gerenciada em uma lista de políticas disponíveis. Cada política concede um nível específico de acesso a AWS serviços e recursos ou permissões para uma função de trabalho comum. Para obter informações sobre cada uma dessas políticas, consulte políticas gerenciadas pela AWS para funções de trabalho. Depois de coletar os dados de uso, você pode refinar o conjunto de permissões para torná-lo mais restritivo.
-
Limitar a duração da sessão de gerenciamento a períodos de trabalho razoáveis
Quando os usuários se federam Conta da AWS e usam a interface AWS Management Console de linha de AWS comando (AWS CLI), o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Quando a sessão do usuário atinge a duração da sessão, ele é desconectado do console e solicitado a fazer login novamente. Como prática de segurança, recomendamos que você não defina um tempo de duração da sessão maior do que o necessário para desempenhar a função. Por padrão, o valor de Duração da sessão é uma hora. Você pode especificar um valor máximo de 12 horas. Para obter mais informações, consulte Defina a duração da sessão para Contas da AWS.
-
Limitar a duração da sessão do portal de usuários da força de trabalho
Os usuários da força de trabalho usam sessões do portal para escolher perfis e acessar aplicações. Por padrão, o valor da duração máxima da sessão, que determina o período de tempo em que um usuário da força de trabalho pode entrar no portal de AWS acesso antes de precisar se autenticar novamente, é de oito horas. Você pode especificar um valor máximo de 90 dias. Para obter mais informações, consulte Configure a duração da sessão do portal acesso AWS e das aplicações integradas do IAM Identity Center.
-
Usar o perfil que fornece permissões de privilégio mínimo
Cada conjunto de permissões que você cria e atribui ao seu usuário aparece como uma função disponível no portal de AWS acesso. Ao entrar no portal como esse usuário, escolha a função que corresponde ao conjunto de permissões mais restritivo que você pode utilizar para realizar tarefas na conta, em vez
AdministratorAccessde. Teste os conjuntos de permissões para verificar se eles fornecem o acesso necessário antes de enviar o convite ao usuário.
nota
Como alternativa, você pode usar o AWS CloudFormation para criar e atribuir conjuntos de permissões e atribuir usuários a esses conjuntos de permissões.
Tópicos
