Controle de acesso minucioso IAM
Visão geral
O AWS Identity and Access Management (IAM) oferece controle de acesso minucioso para ajudar a estabelecer permissões que determinam quem podem acessar quais recursos da AWS e em quais condições. Use o controle de acesso minucioso para ajudar a proteger seus recursos da AWS na jornada para alcançar o privilégio mínimo.
Como funciona?
Como funciona: no IAM você define quem pode acessar seus recursos da AWS usando políticas. Você anexa políticas a perfis do IAM nas suas contas da AWS e nos seus recursos da AWS. Para cada solicitação feita para a AWS, o IAM autoriza a solicitação ao compará-la com suas políticas, e permite ou nega a solicitação. Para mais informações, consulte a seção Entenda como o IAM funciona no Guia do usuário do IAM.
Linguagem da política do IAM: a linguagem da política do IAM, chamada JSON, permite que você expresse seus requisitos de acesso com granularidade usando ações, recursos e elementos de condição nas políticas. Para mais informações, consulte a referência da política IAM JSON.
Tipos de política para conceder acesso: o IAM oferece a você flexibilidade para anexar políticas tanto aos seus perfis do IAM quando aos recursos AWS que oferecem a possibilidade de políticas baseadas em recursos. Políticas baseadas em identidade e políticas baseadas em recursos funcionam em conjunto para definir o controle de acesso. Para mais informações sobre os tipos de política, consulte a seção Políticas e permissões no IAM do Guia do usuário do IAM.
Barreiras de proteção preventivas: barreiras de proteção preventivas ajudam a estabelecer limites das permissões máximas disponíveis para seus perfis do IAM. Usepolíticas de controle de serviço, limites de permissões e políticas de sessão para limitar as permissões que podem ser concedidas a um perfil do IAM. Para mais informações sobre a criação de barreiras de proteção, consulte Perímetros de dados na AWS.
Controle de acesso baseado em atributo (Attribute-based access control - ABAC): use o ABAC para definir permissões minuciosas baseadas nos atributos anexados a perfis do IAM, como departamentos e funções de trabalho. Ao conceder acesso a recursos individuais baseados em atributos, não será preciso atualizar políticas para cada novo recurso adicionado no futuro. Para obter mais informações, consulte ABAC para a AWS.
Para mais informações sobre a simplificação do gerenciamento de permissões, consulte O IAM Access Analyzer orienta você com relação às permissões de privilégios mínimos. Além disso, assista Identidade AWS: a próxima geração de gerenciamento de permissões para mais informações sobre o controle de acesso minucioso no IAM.