Gerenciamento de permissões

Gerencie permissões para controlar o acesso a identidades de humanos e máquinas que precisam de acesso à AWS e à suas workloads. Com as permissões, você controla quem pode acessar o quê e em quais condições. Ao definir permissões para identidades humanas e de máquina específicas, você concede a elas acesso a ações de serviço específicas em recursos específicos. Além disso, você pode especificar condições que precisem ser verdadeiras para que o acesso seja concedido.

Há várias maneiras de conceder acesso a diferentes tipos de recursos. Uma maneira é usar diferentes tipos de política.

As políticas baseadas em identidade no IAM são gerenciadas ou em linha e anexadas às identidades do IAM, incluindo usuários, grupos ou perfis. Essas políticas permitem que você especifique o que cada identidade pode fazer (suas respectivas permissões). As políticas baseadas em identidade podem ser subdivididas em outras categorias.

Políticas gerenciadas: políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em sua conta da AWS. Existem dois tipos de políticas gerenciadas:

As políticas gerenciadas são o método preferencial para aplicar permissões. No entanto, também é possível usar políticas em linha adicionadas diretamente a um único usuário, grupo ou perfil. As políticas em linha mantêm um relacionamento estrito de um para um entre uma política e uma identidade. As políticas em linha são excluídas quando a identidade é excluída.

Na maioria dos casos, é necessário criar suas próprias políticas gerenciadas pelo cliente seguindo o princípio do privilégio mínimo.

Políticas baseadas em recurso são anexadas a um recurso. Por exemplo, uma política de bucket do S3 é uma política baseada em recursos. Essas políticas concedem permissão a uma entidade principal que pode estar na mesma conta que o recurso ou em outra conta. Para obter uma lista de serviços que oferecem suporte a permissões baseadas em recursos, consulte Serviços da AWS que funcionam com o IAM.

Os limites de permissões usam uma política gerenciada para determinar as permissões máximas que um administrador pode definir. Isso permite que você delegue a capacidade de criar e gerenciar permissões para desenvolvedores, como a criação de um perfil do IAM, mas limita as permissões que eles podem conceder para que não possam escalar as próprias permissões usando o que eles criaram.

O Controle de acesso por atributo (ABAC) na AWS permite que você conceda permissões com base em atributos chamados de tags. As tags podem ser anexadas a entidades principais (usuários ou perfis) do IAM e a recursos da AWS. Os administradores podem criar políticas do IAM reutilizáveis que aplicam permissões com base nos atributos da entidade principal do IAM. Por exemplo, como administrador, você pode usar uma única política do IAM que concede aos desenvolvedores em sua organização acesso a recursos da AWS que correspondem às tags de projeto dos desenvolvedores. À medida que a equipe de desenvolvedores adiciona recursos aos projetos, as permissões são aplicadas automaticamente com base em atributos, eliminando a necessidade de atualizações de políticas para cada novo recurso.

As políticas de controle de serviços (SCP) de organizações definem o máximo de permissões para os membros da conta de uma organização ou unidade organizacional (UO). As SCPs limitam as permissões que as políticas baseadas em identidade ou políticas baseadas em recurso concedem a entidades (usuários ou funções) dentro da conta, mas não concedem permissões.

As políticas de sessão assumem uma função ou um usuário federado. Passe as políticas de sessão ao usar as políticas de sessão da AWS CLI ou AWS API para limitar as permissões que as políticas baseadas em identidade do usuário ou da função concedem à sessão. As políticas de sessão limitam as permissões para uma sessão criada, mas não concedem permissões. Para obter mais informações, consulte Políticas de sessão.