Permissões permitem especificar e controlar o acesso aos serviços e recursos da AWS. Para conceder permissões às funções do IAM, você poderá anexar uma política que especifique o tipo de acesso, as ações que poderão ser executadas e os recursos em que as ações poderão ser executadas.
Usando políticas do IAM, é possível conceder acesso a APIs e recursos específicos da AWS. Também é possível definir condições específicas nas quais o acesso é concedido, como conceder acesso a identidades de uma organização específica da AWS ou acesso por meio de um serviço da AWS específico.
Com os perfis do IAM é possível delegar acesso a usuários ou serviços da AWS para operar dentro de sua conta da AWS. Os usuários do seu provedor de identidade ou dos serviços da AWS podem assumir uma função para obter credenciais temporárias de segurança que podem ser usadas para fazer uma solicitação à AWS na conta da função do IAM. Consequentemente, as funções do IAM fornecem uma maneira de confiar em credenciais de curto prazo para usuários, workloads e serviços da AWS que precisam executar ações nas suas contas da AWS.
Use o IAM Roles Anywhere para permitir que workloads executadas fora da AWS, como ambientes on-premises, híbridos e multinuvem, acessem os recursos da AWS usando certificados digitais X.509 emitidos por autoridades certificadoras registradas. Com o IAM Roles Anywhere, é possível obter credenciais temporárias da AWS e usar os mesmos perfis e políticas do IAM configurados para suas workloads da AWS para acessar os recursos da AWS.
Obter privilégio mínimo é um ciclo contínuo para conceder as permissões detalhadas corretas à medida que seus requisitos evoluem. O IAM Access Analyzer ajuda a simplificar o gerenciamento de permissões já que elas podem ser definidas, verificadas e refinadas.
Com o AWS Organizations, é possível usar as políticas de controle de serviço (SCPs) para estabelecer barreiras de proteção de permissão às quais todos os usuários e perfis do IAM aderem nas contas de uma organização. Quer você esteja apenas começando a usar SCPs ou já tenha SCPs existentes, é possível usar análises de acesso do IAM para ajudar a restringir premissões com confiança em toda a sua organização da AWS.
O controle de acesso baseado em atributo (ABAC) é uma estratégia de autorização que pode ser usada para criar permissões minuciosas com base nos atributos do usuário, como departamento, função de trabalho e nome da equipe. Usando o ABAC é possível reduzir o número de permissões diferentes necessárias para criar controles minuciosos em sua conta da AWS.