Por meio de funções de IAM, vários usuários podem receber o mesmo conjunto de permissões, em vez de conceder a cada usuário um conjunto separado de permissões. As funções de IAM são usadas para decidir quais serviços e recursos um usuário pode acessar e quais não.
O artigo cobrirá as seguintes áreas deste tópico:
O motivo por trás dos papéis do IAM
Entregar os usuários ou os funcionários conectados a uma empresa, sua conta de usuário raiz é um grande risco, pois pode ser imaginado como permitindo que todos façam qualquer coisa com a infraestrutura do negócio. Mas os usuários anexados à infraestrutura devem ter acesso aos recursos e trabalhar nessa empresa usando seus serviços. Qual pode ser a solução para isso?
Aqui os papéis do IAM são usados. As funções de IAM são atribuídas a cada usuário associado à empresa ou à organização, e as funções definem as permissões concedidas aos usuários. Por exemplo, a equipe que trabalha como desenvolvedores da Web receberá o papel do IAM exatamente de acordo com a natureza de suas tarefas, e os recursos e serviços permitidos para essa função não excederão o requisito de seu trabalho. Eles não poderão acessar os serviços de outros departamentos, como RH, finanças, designers gráficos, editores, etc.
Como os papéis do IAM são atribuídos?
Iam fornece os IDs de acesso e as chaves secretas para as contas que estão conectadas. Se um titular da conta do IAM encontrar algum problema, uma nova chave de acesso também pode ser gerada de maneira fácil e conveniente. O IAM fornece credenciais temporárias aos usuários que expirarem dentro de um limite de tempo definido, diferentemente de uma sessão de login típica, onde os usuários precisam inserir os mesmos detalhes toda vez que efetuam login.
Lembrar: O número de papéis do IAM em uma conta da AWS é limitada a 1000, e uma única função do IAM pode ter 10 políticas. As políticas em cada função do IAM são implementadas nas contas de usuário associadas a essa função de IAM.
Quem pode usar papéis IAM?
As funções podem ser usadas por:
Criando um papel de IAM
Discutimos minuciosamente o que são os papéis de IAM e como eles funcionam. Agora, vamos ver como criar um papel de IAM. Isso tornará o conceito de papéis de IAM muito mais compreensível.
Criar papéis do IAM requer assinar com uma conta de usuário do IAM. Vá para os "papéis" na parte "Access Management" do painel de navegação do lado do painel:
Na próxima página, clique no botão "Criar função":
Na próxima página, o usuário é solicitado a selecionar o tipo para o qual a função está sendo criada. As funções podem ser criadas para serviço da AWS, conta, identidade da web, federação SAML e política de confiança personalizada.
Por exemplo, aqui, selecionamos o serviço da AWS para atribuir uma função a um serviço da AWS.
Selecione o estojo de uso para criar a função do IAM e clique no botão "Avançar".
Na seção de política de permissão, o usuário deve definir permissões únicas ou múltiplas para a função.
Aqui, por exemplo, apenas procuramos uma política de permissão "IamReadonlyAccess", marcamos a caixa de seleção para essa política e depois continuamos.
Agora, insira um nome de função significativo.
Clique no botão "Criar função".
A próxima interface exibe uma mensagem de sucesso indicando que a função foi criada com sucesso.
Explicado acima está o procedimento de criação de uma função de IAM através de uma conta do IAM que consegue conceder permissões e políticas às contas, recursos e aplicativos de usuário.
Características de iam w.r.Os papéis
A seguir, alguns dos recursos do IAM em relação às funções do IAM atribuídas aos usuários:
Acesso compartilhado: Não há necessidade de compartilhar credenciais de conta (email e senha). Todo o trabalho que um usuário deve fazer pode ser executado com base na permissão (função) concedida pelo titular da conta principal.
Permissões granulares: Diferentes usuários podem receber permissão diferente. Todo usuário pode executar bem a tarefa baseada em rolo e não pode interromper um rolo diferente de um.
Autenticação multifatorial: Existe uma instalação para a autenticação multifatorada fornecida aos usuários do IAM com papéis especificados do IAM. Isso é feito para manter os padrões de segurança do IAM.
Federação de Identidade: Os usuários podem se inscrever com informações de inscrição de terceiros para a função atribuída a eles.
Gerenciando papéis do IAM
Modificações ocasionais em funções são necessárias em quase todas as organizações usando serviços da AWS. A modificação inclui:
Conclusão
Uma função do IAM é uma identidade IAM que é anexada às contas e serviços de usuário com o objetivo de permitir que eles tenham acesso apenas aos serviços necessários. O papel do IAM é tudo sobre políticas de permissão, e essas políticas são determinadas durante o tempo da criação de um papel de IAM.