As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Recomendações de controle de segurança para gerenciamento de identidades e acesso
Você pode criar identidades em AWS ou conectar uma fonte de identidade externa. Por meio de políticas AWS Identity and Access Management (IAM), você concede aos usuários as permissões necessárias para que eles possam acessar ou gerenciar AWS recursos e aplicativos integrados. O gerenciamento eficaz de identidades e acesso ajuda a validar se as pessoas e as máquinas certas têm acesso aos recursos certos, nas condições certas. O AWS Well-Architected Framework [fornece as melhores práticas para gerenciar identidades](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) e suas permissões. Exemplos de práticas recomendadas incluem contar com um provedor de identidades centralizado e usar mecanismos de login robustos, como a autenticação multifator (MFA). Os controles de segurança nesta seção podem ajudar você a implementar essas práticas recomendadas.
**Topics**
+ [Monitorar e configurar notificações da atividade do usuário-raiz](#root-user-activity)
+ [Não crie chaves de acesso para o usuário-raiz](#root-user-access-keys)
+ [Habilitar a MFA para o usuário-raiz](#root-user-mfa)
+ [Siga as práticas recomendadas de segurança do IAM](#iam-best-practices)
+ [Conceder permissões de privilégio mínimo](#least-privilege)
+ [Definir barreiras de permissão no nível da workload](#workload-guardrails)
+ [Alternar chaves de acesso do IAM em um intervalo regular](#rotate-keys)
+ [Identificar recursos compartilhados com uma entidade externa](#resources-shared-externally)
## Monitorar e configurar notificações da atividade do usuário-raiz
Ao criar um pela primeira vez Conta da AWS, você começa com uma identidade de login único chamada usuário *raiz*. Por padrão, o usuário-raiz tem acesso completo a todos os recursos e Serviços da AWS na conta. Você deve controlar e monitorar rigorosamente o usuário-raiz e usá-lo somente para [tarefas que exijam credenciais de usuário-raiz](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html).
Para saber mais, consulte os seguintes recursos:
+ [Conceda acesso com privilégios mínimos no Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html) AWS
+ [Monitore a atividade do usuário raiz do IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) na AWS orientação prescritiva
## Não crie chaves de acesso para o usuário-raiz
O usuário raiz é o mais privilegiado em uma Conta da AWS. Desabilitar o acesso programático ao usuário-raiz ajuda a reduzir o risco de exposição acidental das credenciais do usuário e o subsequente comprometimento do ambiente de nuvem. Recomendamos que você crie e use perfis do IAM como credenciais temporárias para acessar seus recursos e Contas da AWS .
Para saber mais, consulte os seguintes recursos:
+ A [chave de acesso do usuário raiz do IAM não deve existir](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-4) na AWS Security Hub CSPM documentação
+ [Excluir chaves de acesso para o usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_delete-key.html) na documentação do IAM
+ [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) na documentação do IAM
## Habilitar a MFA para o usuário-raiz
Recomendamos que você habilite vários dispositivos de autenticação multifator (MFA) para Conta da AWS o usuário raiz e os usuários do IAM. Isso aumenta a barreira de segurança nas Contas da AWS e pode simplificar o gerenciamento de acesso. Como um usuário-raiz é um usuário altamente privilegiado que pode executar ações privilegiadas, é crucial exigir a MFA para ele. Você pode usar um dispositivo de hardware com MFA que gera um código numérico baseado no algoritmo de senha de uso único com marcação temporal (TOTP), uma chave de segurança de hardware FIDO ou uma aplicação de autenticação virtual.
Em 2024, o MFA será necessário para acessar o usuário raiz de qualquer um. Conta da AWS Para obter mais informações, consulte [Secure by Design: AWS para aprimorar os requisitos de MFA em 2024 no AWS blog](https://aws.amazon.com/blogs/security/security-by-design-aws-to-enhance-mfa-requirements-in-2024/) de segurança. Recomendamos fortemente que você amplie essa prática de segurança e exija a MFA para todos os tipos de usuários em seus AWS ambientes.
Se possível, recomendamos usar um dispositivo de hardware MFA para o usuário-raiz. A MFA virtual pode não fornecer o mesmo nível de segurança oferecido por dispositivos MFA de hardware. Você pode usar a MFA virtual enquanto aguarda a aprovação ou entrega da compra do hardware.
Em situações em que você gerencia centenas de contas AWS Organizations, dependendo da tolerância ao risco da sua organização, talvez não seja escalável usar a MFA baseada em hardware para o usuário raiz de cada conta em uma unidade organizacional (OU). Nesse caso, você pode escolher uma conta na UO que atue como uma conta gerencial da UO e, em seguida, desabilitar o usuário-raiz para as outras contas nessa UO. Por padrão, a conta gerencial da UO não tem acesso às outras contas. Ao configurar o acesso entre contas com antecedência, você pode acessar as outras contas da conta gerencial da UO em caso de emergência. Para configurar o acesso entre contas, você cria um perfil do IAM na conta de membro e define políticas para que somente o usuário-raiz na conta gerencial da UO possa assumir esse perfil. Para obter mais informações, consulte [Tutorial: Delegar acesso ao Contas da AWS uso de funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) na documentação do IAM.
Recomendamos habilitar vários dispositivos MFA para suas credenciais de usuário-raiz. Você pode registrar até oito dispositivos MFA de qualquer combinação.
Para saber mais, consulte os seguintes recursos:
+ [Habilitar um token de hardware TOTP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root) na documentação do IAM
+ [Habilitar um dispositivo de autenticação multifator (MFA) virtual](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) na documentação do IAM
+ [Enabling a FIDO security key](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_fido.html) na documentação do IAM
+ [Proteger o acesso do seu usuário-raiz com autenticação multifator (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa) na documentação do IAM
## Siga as práticas recomendadas de segurança do IAM
A documentação do IAM inclui uma lista das melhores práticas projetadas para ajudar você a proteger seus Contas da AWS recursos. Ela inclui recomendações para configurar o acesso e as permissões de acordo com o princípio de privilégio mínimo. Exemplos das práticas recomendadas de segurança do IAM incluem a configuração da federação de identidades, a exigência de MFA e o uso de credenciais temporárias.
Para saber mais, consulte os seguintes recursos:
+ [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) na documentação do IAM
+ [Usando credenciais temporárias com AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) na documentação do IAM
## Conceder permissões de privilégio mínimo
*Privilégio mínimo* é a prática de conceder apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas.
O *controle de acesso por atributo (ABAC)* é uma estratégia de autorização que define permissões com base em atributos, como suas [tags](apg-gloss.md#glossary-tags). Você pode usar atributos de grupo, identidade e recurso para definir permissões dinamicamente em escala, em vez de definir permissões para usuários individuais. Por exemplo, você pode usar o ABAC para permitir que um grupo de desenvolvedores acesse somente recursos que tenham uma tag específica associada ao seu projeto.
Para saber mais, consulte os seguintes recursos:
+ [Aplicar permissões de privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) na documentação do IAM
+ [What is ABAC for AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) na documentação do IAM
## Definir barreiras de permissão no nível da workload
É uma prática recomendada usar uma estratégia de várias contas, pois ela oferece flexibilidade para definir barreiras de proteção no nível da workload. A Arquitetura de Referência de AWS Segurança oferece orientação prescritiva sobre como estruturar suas contas. Essas contas são gerenciadas como uma organização em [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), e as contas são agrupadas em *unidades organizacionais (OUs)*.
Os Serviços da AWS, como o [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html), podem ajudar você a gerenciar de forma centralizada os controles em uma organização. Recomendamos que você defina uma finalidade clara para cada conta ou UO dentro da organização e aplique controles de acordo com essa finalidade. AWS Control Tower implementa controles preventivos, de detecção e proativos que ajudam você a controlar os recursos e monitorar a conformidade. Um *controle preventivo* é projetado para evitar que um evento ocorra. Um *controle de detecção* é projetado para detectar, registrar em log e alertar após a ocorrência de um evento. Um *controle proativo* é projetado para impedir a implantação de recursos não compatíveis, verificando os recursos antes de serem provisionados.
Para saber mais, consulte os seguintes recursos:
+ [Cargas de trabalho separadas usando contas](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_multi_accounts.html) no AWS Well-Architected Framework
+ [AWS Arquitetura de referência de segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/) na orientação AWS prescritiva
+ [Sobre os controles AWS Control Tower na](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html) AWS Control Tower documentação
+ [Implementando controles de segurança AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-security-controls/) na AWS orientação prescritiva
+ [Use políticas de controle de serviço para definir barreiras de permissão em todas as contas em sua AWS organização](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/?ref=wellarchitected) no Blog de Segurança AWS
## Alternar chaves de acesso do IAM em um intervalo regular
É uma prática recomendada atualizar as chaves de acesso para casos de uso que exigem credenciais de longo prazo. Recomendamos alternar as chaves de acesso a cada 90 dias ou menos. A alternância de chaves de acesso reduz o risco de que uma chave de acesso associada a uma conta comprometida ou encerrada seja utilizada. Também impede o acesso usando uma chave antiga que pode ter sido perdida, comprometida ou roubada. Sempre atualize as aplicações após alternar as chaves de acesso.
Para saber mais, consulte os seguintes recursos:
+ [Update access keys when needed for use cases that require long-term credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) na documentação do IAM
+ [Gire automaticamente as chaves de acesso do usuário do IAM em grande escala com AWS Organizations e AWS Secrets Manager](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html) na orientação AWS prescritiva
+ [Updating access keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) na documentação do IAM
## Identificar recursos compartilhados com uma entidade externa
Uma *entidade externa* é um recurso, aplicativo, serviço ou usuário que está fora da sua AWS organização, como outro Contas da AWS usuário raiz, usuário ou função do IAM, usuário federado ou usuário anônimo (ou não autenticado). AWS service (Serviço da AWS)É uma prática de segurança recomendada usar o analisador de acesso do IAM para identificar os recursos em sua organização e suas contas, como buckets do Amazon Simple Storage Service (Amazon S3) ou perfis do IAM, que são compartilhados com uma entidade externa. Isso ajuda a identificar o acesso não intencional aos recursos e dados, o que é um risco de segurança.
Para saber mais, consulte os seguintes recursos:
+ [Verificar o acesso entre contas e público aos recursos com o analisador de acesso do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) na documentação do IAM
+ [Analise o acesso público e entre contas](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html) no AWS Well-Architected Framework
+ [Usar o AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) na documentação do IAM