Criar, gerenciar e excluir conjuntos de permissões

Os conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma Conta da AWS. Os conjuntos de permissões são armazenados no IAM Identity Center e podem ser provisionados para um ou mais Contas da AWS. Você pode atribuir mais de um conjunto de permissões a um usuário. Para obter mais informações sobre conjuntos de permissões e como eles são usados no IAM Identify Center, consulteGerenciar Contas da AWS com conjuntos de permissões.

Ao criar conjuntos de permissões, tenha em mente as seguintes considerações:

Começar com um conjunto de permissões predefinido

Com um conjunto de permissões predefinido, que usa permissões predefinidas, você escolhe uma única política gerenciada da AWS a partir da lista de políticas disponíveis. Cada política concede um nível específico de acesso a serviços e recursos da AWS ou permissões para uma função de trabalho comum. Para obter informações sobre cada uma dessas políticas, consulte políticas gerenciadas pela AWS para funções de trabalho. Depois de coletar os dados de uso, você pode refinar o conjunto de permissões para torná-lo mais restritivo.
Limitar a duração da sessão de gerenciamento a períodos de trabalho razoáveis

Quando os usuários se federam na Conta da AWS deles e usam o Console de gerenciamento da AWS ou a AWS Command Line Interface (AWS CLI), o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Quando a sessão do usuário atinge a duração da sessão, ele é desconectado do console e solicitado a fazer login novamente. Como prática de segurança, recomendamos que você não defina um tempo de duração da sessão maior do que o necessário para desempenhar a função. Por padrão, o valor de Duração da sessão é uma hora. Você pode especificar um valor máximo de 12 horas. Para ter mais informações, consulte Definir a duração da sessão para as Contas da AWS.
Limitar a duração da sessão do portal de usuários da força de trabalho

Os usuários da força de trabalho usam sessões do portal para escolher perfis e acessar aplicações. Por padrão, a duração máxima da sessão, que determina o período de tempo em que um usuário da força de trabalho pode entrar no portal de acesso da AWS antes de precisar se autenticar novamente, é de oito horas. Você pode especificar um valor máximo de 90 dias. Para ter mais informações, consulte Configure a duração da sessão do portal acesso AWS e das aplicações integradas do IAM Identity Center.
Usar o perfil que fornece permissões de privilégio mínimo

Cada conjunto de permissões que você cria e atribui ao seu usuário é exibido como um perfil disponível no Portal de acesso da AWS. Ao entrar no portal como esse usuário, escolha a função que corresponde ao conjunto de permissões mais restritivo que você pode utilizar para realizar tarefas na conta, em vez AdministratorAccess de. Teste os conjuntos de permissões para verificar se eles fornecem o acesso necessário antes de enviar o convite ao usuário.

nota

Como alternativa, você pode usar o AWS CloudFormation para criar e atribuir conjuntos de permissões e atribuir usuários a esses conjuntos de permissões.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões personalizadas

Criar um conjunto de permissões