Gerenciamento de permissões

Gerencie permissões para controlar o acesso a identidades de humanos e máquinas que precisam de acesso à AWS e à suas workloads. As permissões controlam quem pode acessar o quê e em quais condições. Defina permissões para identidades humanas e de máquina específicas para conceder acesso a ações de serviço específicas em recursos específicos. Além disso, especifique condições que devem ser verdadeiras para que o acesso seja concedido. Por exemplo, você pode permitir que os desenvolvedores criem novas funções do Lambda, mas apenas em uma Região específica. Ao gerenciar seus ambientes da AWS em escala, siga as práticas recomendadas a seguir para garantir que as identidades tenham apenas o acesso de que precisam e nada mais.

Há várias maneiras de conceder acesso a diferentes tipos de recursos. Uma maneira é usar diferentes tipos de política.

Políticas baseadas em identidade no IAM são gerenciadas ou em linha, e se agregam a identidades do IAM, incluindo usuários, grupos e funções. Essas políticas permitem especificar o que essa identidade pode fazer (permissões). As políticas baseadas em identidade podem ser subdivididas em outras categorias.

Políticas gerenciadas: políticas individuais baseadas em identidade que você pode anexar a vários usuários, grupos e funções em sua conta da AWS. Há dois tipos de políticas gerenciadas:

As políticas gerenciadas são o método preferencial para aplicar permissões. No entanto, também é possível usar políticas em linha adicionadas diretamente a um único usuário, grupo ou função. As políticas em linha mantêm uma relação um para um estrita entre uma política e uma identidade. As políticas em linha são excluídas quando você exclui a identidade.

Na maioria dos casos, é necessário criar as próprias políticas gerenciadas pelo cliente seguindo o princípio de privilégio mínimo.

Políticas baseadas em recursos são anexadas ao recurso. Por exemplo, uma política de bucket do S3 é uma política baseada em recursos. Essas políticas concedem permissão a uma entidade principal que pode estar na mesma conta que o recurso ou em outra conta. Para obter uma lista de serviços que oferecem suporte a políticas baseadas em recursos, consulte AWS services that work with IAM (Serviços da AWS que funcionam com IAM).

Limites de permissões usam uma política gerenciada para definir as permissões máximas que um administrador pode definir. Isso permite que você delegue a capacidade de criar e gerenciar permissões para desenvolvedores, como a criação de um perfil do IAM, mas limita as permissões que eles podem conceder para que não possam escalar as próprias permissões usando o que eles criaram.

Controle de acesso baseado em atributos (ABAC) permite que você conceda permissões com base em atributos. Na AWS, elas são chamadas de tags. As tags podem ser anexadas a entidades principais (usuários ou funções) do IAM e a recursos da AWS. Usando políticas do IAM, os administradores podem criar uma política reutilizável que aplique permissões com base nos atributos da entidade principal do IAM. Por exemplo, como administrador, você pode usar uma única política do IAM que concede aos desenvolvedores em sua organização acesso a recursos da AWS que correspondam às tags de projeto dos desenvolvedores. À medida que a equipe de desenvolvedores adiciona recursos aos projetos, as permissões são aplicadas automaticamente com base em atributos. Como resultado, nenhuma atualização de política é necessária para cada novo recurso.

Políticas de controle de serviço (SCP) definem as permissões máximas para membros da conta de uma organização ou unidade organizacional (UO). As SCPs limitam as permissões que as políticas baseadas em identidade ou as políticas baseadas em recursos concedem a entidades (usuários ou funções) dentro da conta, mas não concedem permissões.

Políticas de sessão assumem uma função ou um usuário federado. Passe as políticas de sessão ao usar as políticas de sessão da AWS CLI ou AWS API para limitar as permissões que as políticas baseadas em identidade do usuário ou da função concedem à sessão. Essas políticas limitam as permissões para uma sessão criada, mas não concedem. Para obter mais informações, consulte Políticas de sessão.