Configurar acesso de usuário com o diretório padrão do IAM Identity Center - AWS IAM Identity Center

Configurar acesso de usuário com o diretório padrão do IAM Identity Center

Quando você habilita o IAM Identity Center pela primeira vez, ele é configurado automaticamente com um diretório do Identity Center como sua fonte de identidades padrão, portanto não é necessário escolher uma fonte de identidades. Se a organização usar outro provedor de identidades, como o AWS Directory Service for Microsoft Active Directory, o Microsoft Entra ID ou o Okta, considere a opção de integrar essa fonte de identidades com o IAM Identity Center em vez de usar a configuração padrão.

Objetivo

Neste tutorial, você usará o diretório padrão como fonte de identidades e configurará e testará o acesso do usuário. Nesse cenário, você gerencia todos os usuários e grupos do IAM Identity Center. Os usuários fazem login pelo portal de acesso da AWS. Este tutorial é destinado a usuários iniciantes da AWS ou que já usam o IAM para gerenciar usuários e grupos. Nas próximas etapas, você criará o seguinte:

  • Um usuário administrativo chamado Nikki Wolf

  • Um grupo chamado Equipe de administração

  • Um conjunto de permissões chamado AdminAccess

Para verificar se tudo foi criado corretamente, você fará login e definirá a senha do usuário administrativo. Depois de concluir este tutorial, você pode usar o usuário administrativo para adicionar mais usuários ao IAM Identity Center, criar conjuntos de permissões adicionais e configurar o acesso organizacional às aplicações.

Se você ainda não habilitou o IAM Identity Center, consulte Habilitar o AWS IAM Identity Center.

Realize um dos procedimentos a seguir para entrar no AWS Management Console.

  • Iniciante na AWS (usuário raiz): faça login como o proprietário da conta escolhendo Usuário raiz do Conta da AWS e inserindo seu endereço de e-mail da Conta da AWS. Na próxima página, insira sua senha.

  • Já está usando a AWS (credenciais do IAM): faça login usando suas credenciais do IAM com permissões administrativas.

Abra o console do IAM Identity Center.

  1. No painel de navegação do IAM Identity Center, escolha Usuários e selecione Adicionar usuário.

  2. Na página Especar detalhes do usuário, preencha as seguintes informações:

    • Nome de usuário: para este tutorial, insira nikkiw.

      Ao criar usuários, escolha nomes de usuário fáceis de lembrar. Os usuários devem lembrar o nome de usuário para fazer login no Portal de acesso do AWS e você não pode alterá-lo posteriormente.

    • Senha: escolha Enviar um e-mail para este usuário com instruções de configuração de senha (recomendado).

      Essa opção envia ao usuário um e-mail da Amazon Web Services, com a linha de assunto Convite para ingressar no IAM Identity Center. O e-mail vem de no-reply@signin.aws ou de no-reply@login.awsapps.com. Adicione esses endereços de e-mail à sua lista de remetentes aprovados.

    • Endereço de e-mail: insira um endereço de e-mail para o usuário no qual você possa receber o e-mail. Em seguida, insira-o novamente para confirmar. Cada usuário deve ter um endereço de e-mail exclusivo.

    • Nome: insira o nome do usuário. Para este tutorial, insira Nikki.

    • Sobrenome: insira o sobrenome do usuário. Para este tutorial, insira Wolf.

    • Nome de exibição: o valor padrão é nome e sobrenome do usuário. Se quiser alterar o nome de exibição, você pode inserir algo diferente. O nome de exibição é visível no portal de login e na lista de usuários.

    • Preencha as informações opcionais, se desejar. Elas não são usadas durante este tutorial e você pode alterá-las posteriormente.

  3. Escolha Próximo. A página Adicionar usuário a grupos é exibida. Nós vamos criar um grupo ao qual atribuir permissões administrativas em vez de concedê-las diretamente a Nikki.

    Escolha Criar grupo.

    Uma nova guia do navegador é aberta para exibir a página Criar grupo.

    1. Em Detalhes do grupo, em Nome do grupo, insira um nome para o grupo. Recomendamos um nome de grupo que identifique a função do grupo. Para este tutorial, insira Equipe de administração.

    2. Escolha Criar grupo.

    3. Feche a guia Grupos do navegador para retornar à guia Adicionar usuário do navegador

  4. Na área Grupos, selecione o botão Atualizar. O grupo Equipe de administração aparece na lista.

    Marque a caixa de seleção ao lado de Equipe de administração e selecione Avançar.

  5. Na página Revisar e adicionar usuário, confirme o seguinte:

    • As informações primárias aparecem como você pretendia

    • Grupos mostra o usuário adicionado ao grupo que você criou

    Se precisar fazer alterações, escolha Editar. Quando todos os detalhes estiverem corretos, escolha Adicionar usuário.

    Uma mensagem notifica você de que o usuário foi adicionado.

Em seguida, você adicionará permissões administrativas para o grupo Equipe de administração para que Nikki tenha acesso aos recursos.

  1. No painel de navegação do IAM Identity Center, em Permissões multicontas, escolha Contas da AWS.

  2. Na página Contas da AWS, a Estrutura organizacional exibe a organização com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione Atribuir usuários ou grupos.

  3. O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste em três etapas:

    1. Em Etapa 1: selecionar usuários e grupos, escolha o grupo Equipe de administração que você criou. Em seguida, escolha Próximo.

    2. Em Etapa 2: selecionar conjuntos de permissões, escolha Criar conjunto de permissões para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.

      1. Em Etapa 1: selecionar o tipo de conjunto de permissões, preencha o seguinte:

        • Em Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

        • Em Política para conjunto de permissões predefinido, escolha AdministratorAccess.

        Escolha Próximo.

      2. Em Etapa 2: especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar.

        As configurações padrão criam um conjunto de permissões denominado AdministratorAccess com a duração da sessão definida como uma hora. Você pode alterar o nome do conjunto de permissões inserindo um novo nome no campo Nome do conjunto de permissões.

      3. Em Etapa 3: revisar e criar, verifique se o Tipo de conjunto de permissões usa a política gerenciada pela AWS AdministratorAccess. Escolha Criar. Na página Conjuntos de permissões, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.

      Na guia Atribuir usuários e grupos do navegador, você ainda está na Etapa 2: selecionar conjuntos de permissões na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.

      Na área Conjuntos de permissões, escolha o botão Atualizar. O conjunto de permissões AdministratorAccess que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha Avançar.

    3. Na página Etapa 3: revisar e enviar atribuições, confirme se o grupo Equipe de administração e o conjunto de permissões AdministratorAccess estão selecionados e escolha Enviar.

      A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.

      Você será levado de volta para a página Contas da AWS. Uma mensagem informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado.

Parabéns!

Você configurou com sucesso seu primeiro usuário, grupo e conjunto de permissões.

Na próxima parte deste tutorial, você testará o acesso de Nikki fazendo login no Portal de acesso do AWS com as credenciais administrativas de Nikki e definindo a senha dela. Saia do console agora.

Agora que Nikki Wolf é um usuário da organização, ela pode fazer login e acessar os recursos para os quais recebeu permissão de acordo com seu conjunto de permissões. Para verificar se o usuário está configurado corretamente, na próxima etapa, você usará as credenciais de Nikki para fazer login e configurar a senha dela. Ao adicionar o usuário Nikki Wolf na etapa 1, você decidiu que Nikki receberia um e-mail com instruções para configuração da senha. É hora de abrir esse e-mail e fazer o seguinte:

  1. No e-mail, selecione o link Aceitar convite para aceitar o convite.

    nota

    O e-mail também inclui o nome de usuário de Nikki e o URL do Portal de acesso do AWS que ela usará para fazer login na organização. Registre essas informações para uso futuro.

    Você é levado para a página Inscrição de novo usuário onde pode definir a senha de Nikki.

  2. Depois de definir a senha de Nikki, você será direcionado para a página Fazer login. Insira nikkiw e escolha Avançar, depois insira senha de Nikki e escolha Fazer login.

  3. O portal de acesso AWS se abre exibindo a organização e as aplicações que você pode acessar.

    Selecione a organização para expandi-la para uma lista de Contas da AWS e depois selecione a conta para exibir os perfis que você pode usar para acessar os recursos da conta.

    Cada conjunto de permissões tem dois métodos de gerenciamento que você pode usar, perfil ou Chaves de acesso.

    • Perfil, por exemplo AdministratorAccess - abre o AWS Console Home.

    • Chaves de acesso: fornece credenciais que você pode usar com a AWS CLI e o SDK da AWS. Inclui as informações para usar credenciais de curto prazo que são atualizadas automaticamente ou chaves de acesso de curto prazo. Para ter mais informações, consulte Obter credenciais de usuário do IAM Identity Center para os SDKs AWS CLI ou AWS..

  4. Escolha o link Perfil para fazer login no AWS Console Home.

Você fez login e navegou até página AWS Console Home. Explore o console e confirme se você tem o acesso esperado.

Agora que você criou um usuário administrativo no IAM Identity Center, você pode:

Depois que os usuários aceitam o convite para ativar suas contas e fazer login no Portal de acesso do AWS, os únicos itens que aparecem no portal são para as Contas da AWS, os perfis e as aplicações à quais eles estão atribuídos.

Importante

Recomendamos muito que você habilite a autenticação multifator (MFA) para os seus usuários. Para ter mais informações, consulte Autenticação multifator para usuários do Identity Center.