As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Adicionar usuários iniciais
<a name="add-initial-users"></a>

Há duas maneiras de conceder às pessoas acesso a Contas da AWS:
+ Identidades do IAM, como usuários, grupos e perfis
+ Federação de identidade, como usando Centro de Identidade do AWS IAM

Em empresas menores e ambientes de conta única, é comum que os administradores criem um usuário do IAM quando uma nova pessoa entra na empresa. As credenciais da chave de acesso e da chave secreta associadas a um usuário do IAM são conhecidas como *credenciais de longo prazo* porque elas não expiram. No entanto, essa não é uma prática de segurança recomendada, pois se um invasor comprometesse essas credenciais, seria necessário gerar um novo conjunto de credenciais para o usuário. Outra abordagem para acessar Contas da AWS é por meio de [funções do IAM](https://aws.amazon.com/blogs/startups/how-setting-up-iam-users-and-iam-roles-can-help-keep-your-startup-secure/). Também é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html)(AWS STS) para solicitar temporariamente *credenciais de curto prazo*, as quais expiram após um período de tempo configurável.

Você pode gerenciar o acesso das pessoas ao seu Contas da AWS por meio [do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Você pode criar contas de usuário individuais para cada um de seus funcionários ou contratados, eles podem gerenciar suas próprias senhas e soluções de autenticação multifator (MFA) e você pode agrupá-los para gerenciar o acesso. Ao configurar o MFA, você pode usar tokens de software, como aplicativos autenticadores, ou pode usar tokens de hardware, como dispositivos. YubiKey 

O IAM Identity Center também oferece suporte à federação de provedores de identidade externos (IdPs) JumpCloud, como Okta e Ping Identity. Para obter mais informações, consulte [Provedores de identidade compatíveis](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) (documentação do IAM Identity Center). Ao federar com um IdP externo, você pode gerenciar a autenticação do usuário em todos os aplicativos e, em seguida, usar o IAM Identity Center para autorizar o acesso a determinados. Contas da AWS

## Práticas recomendadas
<a name="users-best-practices"></a>
+ Siga as [Práticas recomendadas de segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (documentação do IAM) para configurar o acesso de usuários.
+ Gerencie o acesso à conta por meio de grupos em vez de usuários individuais. No IAM Identity Center, crie novos grupos para representar cada uma das suas funções comerciais. Por exemplo, é possível criar grupos para engenharia, finanças, vendas e gerenciamento de produtos.
+ Muitas vezes, os grupos são definidos separando-se aqueles que precisam de acesso a todas as Contas da AWS (geralmente acesso somente leitura) e aqueles que precisam acessar uma única Conta da AWS. Recomendamos que você use a seguinte convenção de nomenclatura para grupos, para que seja fácil identificar Conta da AWS as permissões associadas ao grupo.

  `<prefix>-<account name>-<permission set>`
+ Por exemplo, para o grupo `AWS-A-dev-nonprod-DeveloperAccess`, `AWS-A` é um prefixo que indica acesso a uma única conta, `dev-nonprod` é o nome da conta e `DeveloperAccess` é o conjunto de permissões atribuído ao grupo. Para o grupo`AWS-O-BillingAccess`, o prefixo `AWS-O` indica acesso a toda a organização, enquanto `BillingAccess` indica o conjunto de permissões para o grupo. Neste exemplo, como o grupo tem acesso a toda a organização, o nome da conta não é representado no nome do grupo.
+ Se você estiver usando o IAM Identity Center com um IdP externo baseado em SAML e quiser exigir MFA, poderá usar o controle de acesso por atributo (ABAC) para passar o método de autenticação do IdP para o IAM Identity Center. Os atributos são enviados por meio de declarações SAML. Para obter mais informações, consulte [Habilitar e configurar atributos para controle de acesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)(documentação do IAM Identity Center).

  Muitos IdPs, como o Microsoft Azure Active Directory e o Okta, podem usar a declaração Authentication Method Reference (`amr`) dentro de uma declaração SAML para passar o status de MFA do usuário para o IAM Identity Center. A reivindicação usada para declarar o status de MFA e seu formato variam de acordo com o IdP. Para obter mais informações, consulte a documentação do seu IdP.

  No IAM Identity Center, você pode então criar políticas de conjunto de permissões que determinam quem pode acessar seus AWS recursos. Quando você habilita o ABAC e especifica atributos, o IAM Identity Center passa para o IAM o valor do atributo do usuário autenticado para uso na avaliação de políticas. Para obter mais informações, consulte [Criar políticas de permissão para o ABAC](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac-policies.html) (documentação do IAM Identity Center). Conforme mostrado no exemplo a seguir, é possível usar a chave de condição `aws:PrincipalTag` para criar uma regra de controle de acesso para MFA.

  ```
  "Condition": {
    "StringLike": { "aws:PrincipalTag/amr": "mfa" }
  }
  ```