# AWSCredenciais de segurança de
<a name="security-creds"></a>

Ao interagir com a AWS, você especifica as *credenciais de segurança* da AWS para verificar quem você é e se tem permissão para acessar os recursos que está solicitando. A AWS usa as credenciais de segurança para autenticar e autorizar suas solicitações.

Por exemplo, se você quiser baixar um arquivo protegido de um bucket do Amazon Simple Storage Service (Amazon S3), suas credenciais devem permitir esse acesso. Se suas credenciais não mostram que você tem autorização para baixar o arquivo, a AWS nega sua solicitação. Porém, suas credenciais de segurança da AWS não são obrigatórias para baixar um arquivo em um bucket do Amazon S3 que seja compartilhado publicamente.

Existem diferentes tipos de usuários da AWS, cada um com suas próprias credenciais de segurança: 
+ **Proprietário da conta (usuário-raiz)**: o usuário que criou a Conta da AWS e tem acesso total.
+ **Usuários do Centro de Identidade do AWS IAM**: usuários gerenciados no Centro de Identidade do AWS IAM.
+ **Entidades principais federadas**: usuários de provedores de identidades externos aos quais é concedido acesso temporário à AWS por meio de federação. Para obter mais informações sobre identidades federadas, consulte [Federação e provedores de identidade na AWS](id_roles_providers.md).
+ **Usuários do IAM**: usuários individuais criados dentro do serviço AWS Identity and Access Management (IAM).

Os usuários têm credenciais de segurança temporárias ou de longo prazo. O usuário-raiz, o usuário do IAM e as chaves de acesso têm credenciais de segurança de longo prazo que não expiram. Para proteger as credenciais de longo prazo, tenha processos em vigor para [gerenciar chaves de acesso](id_credentials_access-keys.md), [alterar senhas](id_credentials_passwords.md) e [habilitar a MFA](id_credentials_mfa.md). 

Para simplificar o gerenciamento das credenciais de usuário-raiz em todas as contas-membro no AWS Organizations, é possível proteger centralmente as credenciais de usuário-raiz das suas Contas da AWS gerenciadas usando o AWS Organizations. [Gerencie centralmente o acesso raiz para contas-membro](id_root-user.md#id_root-user-access-management) permite que você remova e evite centralmente a recuperação de credenciais de usuário-raiz em longo prazo, evitando o acesso raiz não intencional em grande escala.

Perfis do IAM, usuários no Centro de Identidade do AWS IAM e entidades principais de usuários federados do AWS STS têm credenciais de segurança temporárias. As credenciais de segurança temporárias expiram após um período definido ou quando o usuário encerra a sessão. As credenciais temporárias funcionam quase de forma idêntica às credenciais de longo prazo, com as seguintes diferenças:
+ As credenciais de segurança temporárias são de *curto prazo*, como o nome indica. Elas podem ser configuradas para durar de alguns minutos a várias horas. Depois que as credenciais expiram, a AWS não as reconhece mais ou permite qualquer tipo de acesso de solicitações de API feitas com elas.
+ As credenciais de segurança temporárias não são armazenadas com o usuário, mas são geradas dinamicamente e fornecidas ao usuário quando solicitadas. Quando (ou até mesmo antes) as credenciais de segurança temporárias expiram, o usuário pode solicitar novas credenciais, desde que o usuário solicitante ainda tenha permissões para fazê-lo.

Como resultado, as credenciais temporárias apresentam as seguintes vantagens em relação às credenciais de longo prazo:
+ Você não tem que distribuir ou incorporar credenciais de segurança da AWS de longo prazo com um aplicativo.
+ É possível fornecer acesso aos seus recursos da AWS para os usuários sem a necessidade de definir uma identidade da AWS para eles. As credenciais temporárias são a base para [funções e federação de identidades](id_roles.md).
+ As credenciais de segurança temporárias têm vida limitada. Portanto, não é necessário atualizá-las ou explicitamente revogá-las quando elas não forem mais necessárias. Quando as credenciais de segurança temporárias expiram, elas não podem ser reutilizadas. É possível especificar por quanto tempo as credenciais são válidas, até um limite máximo. 

## Considerações sobre segurança
<a name="security-considerations-ref"></a>

Recomendamos considerar as seguintes informações ao determinar as provisões de segurança para sua Conta da AWS:
+  Quando você cria uma Conta da AWS, nós criamos a conta de usuário-raiz. As credenciais do usuário-raiz (proprietário da conta) permitem acesso total a todos os recursos da conta. A primeira tarefa que você executa com o usuário-raiz é conceder a outro usuário permissões administrativas para sua Conta da AWS para minimizar o uso do usuário-raiz. 
+ A autenticação multifator (MFA) fornece um nível adicional de segurança para usuários que podem acessar sua Conta da AWS. Para reforçar a segurança, recomendamos que você exija a MFA nas credenciais de Usuário raiz da conta da AWS e em todos os usuários do IAM. Para obter mais informações, consulte [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).
+ A AWS exige diferentes tipos de credenciais de segurança, dependendo de como você acessa a AWS e do tipo de usuário da AWS que você é. Por exemplo, você usa credenciais de login para o Console de gerenciamento da AWS e usa chaves de acesso para fazer chamadas programáticas para a AWS. Para obter ajuda para determinar o tipo de usuário e a página de login, consulte [What is AWS Sign-In](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html) no *Guia do usuário do Início de Sessão da AWS*.
+ Não é possível usar as políticas do IAM para negar explicitamente ao usuário-raiz o acesso aos recursos. Só é possível usar uma [política de controle de serviços (SCP) do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) para limitar as permissões do usuário-raiz. 
+ Caso esqueça ou perca sua senha de usuário-raiz, você deverá ter acesso ao endereço de e-mail associado à conta para redefini-la.
+ Caso perca suas chaves de acesso de usuário-raiz, você deverá conseguir fazer login na conta como usuário-raiz para criar novas.
+ Não use o usuário-raiz para tarefas cotidianas. Use para executar as tarefas que somente o usuário-raiz pode executar. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](id_root-user.md#root-user-tasks).
+ As credenciais de segurança são específicas para cada conta. Se tiver acesso a várias Contas da AWS, você terá credenciais separadas para cada conta.
+ As [políticas](access_policies.md) determinam quais ações um usuário, um perfil ou o membro de um grupo de usuários pode executar, em quais recursos da AWS e em quais condições. Ao usar políticas, você pode controlar com segurança o acesso a Serviços da AWS e recursos em sua Conta da AWS. Se precisar modificar ou revogar as permissões em resposta a um evento de segurança, exclua ou modifique as políticas em vez de fazer alterações diretamente na identidade.
+ Salve as credenciais de login de seu usuário do IAM de *acesso de emergência* e todas as chaves de acesso que você criou para acesso programático em um local seguro. Caso perca suas chaves de acesso, você deverá fazer login na conta para criar novas.
+ É altamente recomendável usar credenciais temporárias fornecidas por perfis do IAM e entidades principais federadas em vez das credenciais de longo prazo fornecidas por usuários do IAM e chaves de acesso.

# Acesso programático com credenciais de segurança da AWS
<a name="security-creds-programmatic-access"></a>

Recomendamos usar chaves de acesso de curto prazo quando possível para fazer chamadas programáticas para a AWS ou usar a AWS Command Line Interface ou o Ferramentas da AWS para PowerShell. No entanto, você também pode usar chaves de acesso da AWS de longo prazo para essas finalidades.

Ao criar uma chave de acesso de longo prazo, você cria o ID de chave de acesso (por exemplo, `AKIAIOSFODNN7EXAMPLE`) e a chave de acesso secreta (por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`) como um conjunto. A chave de acesso secreta só está disponível para baixar no momento em que é criada. Se não fizer download da chave de acesso secreta ou perdê-la, você deverá criar uma nova.

Em muitos casos, você não precisa de chaves de acesso de longo prazo que nunca expiram (como é necessário ao criar chaves de acesso para um usuário do IAM). Em vez disso, você pode criar perfis do IAM e gerar credenciais de segurança temporárias. As credenciais de segurança temporárias incluem um ID da chave de acesso e uma chave de acesso secreta, mas também incluem um token de segurança que indica quando as credenciais expiram. Depois que expiram, não são mais válidas. Para obter mais informações, consulte . [Alternativas para chaves de acesso de longo prazo](#security-creds-alternatives-to-long-term-access-keys)

Os IDs da chave de acesso que começam com `AKIA` são chaves de acesso de longo prazo para um usuário do IAM ou um usuário raiz da Conta da AWS. Os IDs de chave de acesso que começam com `ASIA` são chaves de acesso temporárias que você cria usando operações do AWS STS.

Os usuários precisam de acesso programático se quiserem interagir com a AWS de fora do Console de gerenciamento da AWS. A forma de conceder acesso programático depende do tipo de usuário que está acessando a AWS.

Para conceder acesso programático aos usuários, selecione uma das seguintes opções:


****  

| Qual usuário precisa de acesso programático? | Para | Por | 
| --- | --- | --- | 
| IAM | (Recomendado) Use credenciais do console como credenciais temporárias para assinar solicitações programáticas para a AWS CLI, os AWS SDKs ou as APIs da AWS. |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/security-creds-programmatic-access.html)  | 
|  Identidade da força de trabalho (Usuários gerenciados no Centro de Identidade do IAM)  | Use credenciais temporárias para assinar solicitações programáticas para a AWS CLI, os SDKs da AWS ou as APIs da AWS. |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/security-creds-programmatic-access.html)  | 
| IAM | Use credenciais temporárias para assinar solicitações programáticas para a AWS CLI, os SDKs da AWS ou as APIs da AWS. | Siga as instruções em [Usar credenciais temporárias com recursos da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) no Guia do usuário do IAM. | 
| IAM | (Não recomendado)Use credenciais de longo prazo para assinar solicitações programáticas para a AWS CLI, os SDKs da AWS ou as APIs da AWS. |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/security-creds-programmatic-access.html)  | 

## Alternativas para chaves de acesso de longo prazo
<a name="security-creds-alternatives-to-long-term-access-keys"></a>

Para muitos casos de uso comuns, há alternativas às chaves de acesso de longo prazo. Para melhorar a segurança de sua conta, considere as instruções a seguir.
+ **Não incorpore chaves de acesso de longo prazo e chaves de acesso secretas ao código de sua aplicação ou a um repositório de código**: em vez disso, use o AWS Secrets Manager ou outra solução de gerenciamento de segredos para não precisar codificar chaves em texto não criptografado. A aplicação ou o cliente pode então recuperar segredos quando necessário. Para obter mais informações, consulte [O que é o AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) no * Guia do usuário do AWS Secrets Manager*.
+ **Use perfis do IAM para gerar credenciais de segurança temporárias sempre que possível:** use sempre mecanismos para emitir credenciais de segurança temporárias quando possível, em vez de chaves de acesso de longo prazo. As credenciais de segurança temporárias são mais seguras porque não são armazenadas com o usuário, mas são geradas dinamicamente e fornecidas ao usuário quando solicitadas. Como as credenciais de segurança temporárias têm uma vida útil limitada, não é necessário gerenciá-las ou atualizá-las. Os mecanismos que fornecem chaves de acesso temporárias incluem perfis do IAM ou a autenticação de um usuário do Centro de Identidade do IAM. Para máquinas que funcionam fora da AWS, você pode usar o [AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html). 
+ **Use alternativas às chaves de acesso de longo prazo para a AWS Command Line Interface (AWS CLI) ou `aws-shell`:** as alternativas incluem as opções a seguir.
  + **Login para desenvolvimento local da AWS usando credenciais do console**. Você pode usar a versão 2 da AWS CLI e o comando `aws login` para gerar credenciais de curto prazo para executar comandos da AWS CLI usando as credenciais do console. Para saber mais, consulte [Login para desenvolvimento local da AWS](https://docs.aws.amazon.com//cli/latest/userguide/cli-authentication-user.html) no *Guia do usuário da AWS Command Line Interface*. 
  + **O AWS CloudShell** é um shell pré-autenticado que você pode iniciar diretamente do Console de gerenciamento da AWS. Você pode executar comandos da AWS CLI em Serviços da AWS usando o shell de sua preferência (Bash, Powershell ou Z shell). Ao fazer isso, você não precisa baixar nem instalar ferramentas de linha de comando. Para obter mais informações, consulte [O que é o AWS CloudShell?](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) no * Guia do usuário do AWS CloudShell*.
+ **Não crie chaves de acesso de longo prazo para usuários humanos que precisam acessar aplicações ou Serviços da AWS:** o Centro de Identidade do IAM pode gerar credenciais de acesso temporárias para que seus usuários de IdP externo acessem os Serviços da AWS. Isso elimina a necessidade de criar e gerenciar credenciais de longo prazo no IAM. No Centro de Identidade do IAM, crie um conjunto de permissões do Centro de Identidade IAM que conceda acesso aos usuários de IdP externo. Em seguida, atribua um grupo do Centro de Identidade IAM ao conjunto de permissões nas Contas da AWS selecionadas. Para obter mais informações, consulte [O que é o Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html), [Conectar-se a um provedor de identidades externo](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) e [Conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do usuário do Centro de Identidade do AWS IAM*. 
+ **Não armazene chaves de acesso de longo prazo em um serviço de computação da AWS:** em vez disso, atribua um perfil do IAM aos recursos de computação. Isso automaticamente fornece credenciais temporárias para conceder acesso. Por exemplo, ao criar um perfil de instância que esteja anexado a uma instância do Amazon EC2, você pode atribuir um perfil da AWS à instância e disponibilizá-la para todas as suas aplicações. Um perfil de instância contém o perfil e permite que programas que estejam em execução na instância do Amazon EC2 obtenham credenciais temporárias. Para saber mais, consulte [Uso de um perfil do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).