Recursos do AWS Identity and Access Management (IAM)
Principais recursos
Abrir tudoAs permissões possibilitam especificar e controlar o acesso aos serviços e recursos da AWS. Para conceder permissões aos perfis do IAM, você poderá anexar uma política que especifique o tipo de acesso, as ações que poderão ser executadas e os recursos em que as ações poderão ser executadas.
Usando políticas do IAM, é possível conceder acesso a APIs e recursos específicos da AWS. Também é possível definir condições específicas em que o acesso é concedido, como conceder acesso a identidades de uma organização específica da AWS ou acesso por meio de um serviço específico da AWS.
Com os perfis do IAM é possível delegar acesso a usuários ou serviços da AWS para operar dentro de sua conta da AWS. Os usuários do seu provedor de identidade ou dos serviços da AWS podem assumir um perfil para obter credenciais temporárias de segurança que podem ser usadas para fazer uma solicitação à AWS na conta do perfil do IAM. Consequentemente, os perfis do IAM fornecem uma maneira de contar com credenciais de curto prazo para usuários, workloads e serviços da AWS que precisam executar ações nas suas contas da AWS.
Use o IAM Roles Anywhere para permitir que workloads executadas fora da AWS, como ambientes on-premises, híbridos e multinuvem, acessem os recursos da AWS usando certificados digitais X.509 emitidos por autoridades certificadoras registradas. Com o IAM Roles Anywhere, é possível obter credenciais temporárias da AWS e usar os mesmos perfis e políticas do IAM configurados para suas workloads da AWS para acessar os recursos da AWS.
Obter privilégio mínimo é um ciclo contínuo para conceder as permissões refinadas corretas à medida que seus requisitos evoluem. O IAM Access Analyzer ajuda a simplificar o gerenciamento de permissões já que elas podem ser definidas, verificadas e refinadas.
Com o AWS Organizations, é possível usar as políticas de controle de serviço (SCPs) e as políticas de controle de recursos (RCPs) para estabelecer barreiras de proteção às permissões adotadas por todas as entidades principais e recursos das contas de uma organização. Você pode usar SCPs para controlar de forma centralizada o acesso das entidades principais (usuários e perfis do IAM) em suas contas. Você pode usar RCPs para controlar de forma centralizada o acesso aos recursos da AWS em toda a sua organização. Você pode optar por habilitar somente SCPs ou RCPs ou usar os dois tipos de política juntos para ajudar a alcançar seus objetivos de segurança.
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que pode ser usada para criar permissões minuciosas com base nos atributos do usuário, como departamento, função de trabalho e nome da equipe. Usando o ABAC é possível reduzir o número de permissões diferentes necessárias para criar controles minuciosos em sua conta da AWS.
Com o gerenciamento centralizado de acesso raiz às contas dos membros no AWS Organizations, você pode gerenciar facilmente as credenciais raiz e realizar tarefas com altos níveis de privilégio.