As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar o acesso a Contas da AWS
Centro de Identidade do AWS IAM é integrado com AWS Organizations, o que permite gerenciar centralmente as permissões em várias Contas da AWS sem configurar cada uma de suas contas manualmente. Você pode definir permissões e atribuir essas permissões aos usuários da força de trabalho para controlar seu acesso a informações específicas Contas da AWS usando uma [instância organizacional](organization-instances-identity-center.md) do IAM Identity Center. As [instâncias de conta](account-instances-identity-center.md) do IAM Identity Center não são compatíveis com acesso a contas.
## Conta da AWS tipos
Existem dois tipos de Contas da AWS tinta AWS Organizations:
+ **Conta de gerenciamento** - A Conta da AWS que é usada para criar a organização.
+ **Contas de membros** - O restante pertence Contas da AWS a uma organização.
Para obter mais informações sobre Conta da AWS tipos, consulte [AWS Organizations Terminologia e conceitos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) no *Guia do AWS Organizations usuário*.
Você também pode optar por registrar uma conta de membro como *administrador delegado* do IAM Identity Center. Os usuários dessa conta podem realizar a maioria das tarefas administrativas do IAM Identity Center. Para obter mais informações, consulte [Administradores delegados](delegated-admin.md).
Para cada tarefa e tipo de conta, a tabela a seguir indica se a tarefa administrativa do IAM Identity Center pode ser executada pelos usuários na conta.
****
| Tarefas administrativas do IAM Identity Center | Conta-membro | Conta de administrador delegada | conta gerencial |
| --- | --- | --- | --- |
| Leia usuários ou grupos (lendo o próprio grupo e os membros do grupo) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Adicionar, editar ou excluir usuários ou grupos | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png)Sim\$1 | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Habilite ou desative o acesso do usuário | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Ative, desative ou gerencie os atributos de entrada | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Altere ou gerencie fontes de identidade | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Criar, editar ou excluir aplicações gerenciadas pelo cliente | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Crie, edite ou exclua aplicativos AWS gerenciados | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Configure o MFA | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Gerencie conjuntos de permissões não provisionados na conta de gerenciamento | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Yes (Sim) |
| Gerencie conjuntos de permissões provisionados na conta de gerenciamento | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Habilitar o IAM Identity Center | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Exclua a configuração do IAM Identify Center | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Ative ou desative o acesso do usuário na conta de gerenciamento | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Registre ou cancele o registro de uma conta-membro como administrador delegado | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
\$1Consulte as melhores práticas para administração delegada em relação às atribuições de usuários e grupos à conta gerencial.
## Atribuindo acesso Conta da AWS
Você pode usar *conjuntos de permissões* para simplificar a forma como você atribui acesso aos usuários e grupos da sua organização às Contas da AWS. Os conjuntos de permissões são armazenadas no IAM Identity Center e definem o nível de acesso que os usuários e grupos têm a uma conta da Conta da AWS. Você pode criar um único conjunto de permissões e atribuí-lo a vários Contas da AWS dentro da sua organização. Você também pode atribuir vários conjuntos de permissões ao mesmo usuário.
Para obter mais informações sobre esses conjuntos de permissões, consulte [Criar, gerenciar e excluir conjuntos de permissões](permissionsets.md).
**nota**
Você também pode atribuir aos usuários acesso de logon único aos aplicativos. Para mais informações, consulte [Configurar o acesso a aplicações](manage-your-applications.md).
## Experiência do usuário final
O *portal de AWS acesso* fornece aos usuários do IAM Identity Center acesso único a todos os seus aplicativos Contas da AWS e atribuídos por meio de um portal da web. O portal de AWS acesso é diferente do [Console de gerenciamento da AWS](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html), que é uma coleção de consoles de serviço para gerenciar AWS recursos.
Quando você cria um conjunto de permissões, o nome que você especifica para o conjunto de permissões aparece no portal de AWS acesso como uma função disponível. Os usuários entram no portal de AWS acesso, escolhem um e Conta da AWS, em seguida, escolhem a função. Depois de escolherem a função, eles podem acessar AWS os serviços usando Console de gerenciamento da AWS ou recuperar as credenciais temporárias para acessar os AWS serviços de forma programática.
Para abrir Console de gerenciamento da AWS ou recuperar as credenciais temporárias para acesso AWS programático, os usuários concluem as seguintes etapas:
1. Os usuários abrem uma janela do navegador e usam a URL de login fornecida por você para navegar até o portal de AWS acesso.
1. Usando suas credenciais de diretório, eles entram no portal de AWS acesso.
1. Após a autenticação, na página do portal de AWS acesso, eles escolhem a guia **Contas** para exibir a lista Contas da AWS à qual têm acesso.
1. Em seguida, os usuários escolhem o Conta da AWS que desejam usar.
1. Abaixo do nome do Conta da AWS, todos os conjuntos de permissões aos quais os usuários estão atribuídos aparecem como funções disponíveis. Por exemplo, se você atribuiu um usuário `john_stiles` ao conjunto de `PowerUser` permissões, a função será exibida no portal de AWS acesso como`PowerUser/john_stiles`. Os usuários com vários conjuntos de permissões escolhem qual função deve ser usada. Os usuários podem escolher seu perfil para acessar o Console de gerenciamento da AWS.
1. **Além da função, os usuários do portal de AWS acesso podem recuperar credenciais temporárias para acesso programático ou de linha de comando escolhendo as teclas de acesso.**
Para step-by-step obter orientação que você pode fornecer aos usuários da sua força de trabalho, consulte [Configurando e usando o portal de AWS acesso](using-the-portal.md) e. [Obter credenciais de usuário do IAM Identity Center para o ou AWS CLI AWS SDKs](howtogetcredentials.md)
## Imposição e limite de acesso
Quando você ativa o IAM Identity Center, ele cria uma função vinculada ao serviço. Você também pode usar políticas de controle de serviço (SCPs).
### Delegar e impor o acesso
Uma *função vinculada ao serviço* é um tipo de função do IAM vinculada diretamente a um AWS serviço. Depois de habilitar o IAM Identity Center, o IAM Identity Center pode criar uma função vinculada ao serviço em cada um Conta da AWS em sua organização. Essa função fornece permissões predefinidas que permitem que o IAM Identity Center delegue e imponha quais usuários têm acesso de login único a pessoas específicas Contas da AWS da sua organização em. AWS Organizations Você precisa atribuir a um ou mais usuários acesso a uma conta para usar essa função. Para obter mais informações, consulte [Compreender os perfis vinculados ao serviço do IAM Identity Center](slrconcept.md) e [As funções vinculadas ao serviço do IAM Identity Center permanecem.](using-service-linked-roles.md).
### Limitar o acesso ao repositório de identidades das contas dos membros
Para o serviço de armazenamento de identidades usado pelo IAM Identity Center, os usuários que têm acesso a uma conta de membro podem usar ações de API que exigem permissões de **leitura**. As contas dos membros têm acesso às ações de **leitura** nos namespaces **sso-directory** e **identitystore**. Para obter mais informações, consulte [Ações, recursos e chaves de condição para Centro de Identidade do AWS IAM diretório](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html) e [Ações, recursos e chaves de condição para o AWS Identity Store](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html) na *Referência de Autorização de Serviço*.
Para evitar que usuários nas contas membro usem as operações de API no repositório de identidades, você pode [anexar uma política de controle de serviços (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_attach.html). As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. O exemplo de SCP a seguir impede que usuários em contas de membros acessem qualquer operação de API no repositório de identidades.
```
{
"Sid": "ExplicitlyBlockIdentityStoreAccess",
"Effect": "Deny",
"Action": ["identitystore:*", "sso-directory:*"],
"Resource": "*"
}
```
**nota**
Para garantir que seus aplicativos AWS gerenciados funcionem bem com seu IAM Identity Center, você deve evitar aplicar esse SCP ao Contas da AWS local onde você implantou esses aplicativos. Além disso, se você usa administração delegada, evite aplicar esse SCP à conta de administração delegada. Para obter mais informações, consulte [Práticas recomendadas](delegated-admin.md#delegated-admin-best-practices).
Para obter mais informações, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia AWS Organizations do usuário*.
# Administradores delegados
A administração delegada fornece uma maneira conveniente para os usuários designados em uma conta de membro registrada realizarem a maioria das tarefas administrativas do IAM Identity Center. Quando você ativa o IAM Identity Center, sua instância do IAM Identity Center é criada na conta de gerenciamento AWS Organizations por padrão. Ele foi originalmente projetado dessa forma para que o IAM Identity Center possa provisionar, desprovisionar e atualizar funções em todas as contas dos membros da sua organização. Mesmo que sua instância do IAM Identity Center deva sempre residir na conta de gerenciamento, você pode optar por delegar a administração do IAM Identity Center a uma conta membro AWS Organizations, ampliando assim a capacidade de gerenciar o IAM Identity Center de fora da conta de gerenciamento.
Habilitar a administração delegada oferece os seguintes benefícios:
+ Minimiza o número de pessoas que precisam de acesso à conta de gerenciamento para ajudar a mitigar as preocupações de segurança
+ Permite que administradores selecionados atribuam usuários e grupos aos aplicativos e às contas dos membros da sua organização
Para obter mais informações sobre como o IAM Identity Center funciona AWS Organizations, consulte[Configurar o acesso a Contas da AWS](manage-your-accounts.md). Para obter informações adicionais e analisar um exemplo de cenário da empresa que mostra como configurar a administração delegada, consulte [Introdução à administração delegada do IAM Identity Center](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/) no *blog de segurança AWS *.
**Topics**
+ [Práticas recomendadas](#delegated-admin-best-practices)
+ [Pré-requisitos](#delegated-admin-prereqs)
+ [Registre uma conta-membro](delegated-admin-how-to-register.md)
+ [Cancelar o registro de uma conta-membro](delegated-admin-how-to-deregister.md)
+ [Veja qual conta de membro foi registrada como administrador delegado](delegated-admin-how-to-view-member-account.md)
## Práticas recomendadas
Veja a seguir algumas práticas recomendadas a serem consideradas antes de configurar a administração delegada.
+ **Conceda o privilégio mínimo à conta de gerenciamento** — Sabendo que a conta de gerenciamento é uma conta altamente privilegiada e para aderir ao princípio do privilégio mínimo, recomendamos que você restrinja o acesso à conta de gerenciamento ao menor número possível de pessoas. O atributo de administrador delegado tem como objetivo minimizar o número de pessoas que precisam de acesso à conta de gerenciamento. Você também pode considerar o uso de [acesso elevado temporário](https://docs.aws.amazon.com/singlesignon/latest/userguide/temporary-elevated-access.html) para conceder esse acesso somente quando necessário.
+ **Conjuntos de permissões dedicados para a conta gerencial** — Use conjuntos de permissões dedicados para a conta gerencial. Por motivos de segurança, um conjunto de permissões usado para acessar a conta gerencial só pode ser modificado por um administrador do IAM Identity Center da conta gerencial. O administrador delegado não pode alterar conjuntos de permissões provisionados na conta gerencial.
+ **Atribua somente usuários (não grupos) aos conjuntos de permissões na conta de gerenciamento** — Como a conta de gerenciamento tem privilégios especiais, você deve ter cuidado ao atribuir acesso a essa conta no console ou ( AWS Command Line Interface CLI). Se você atribuir grupos a conjuntos de permissões com acesso à conta de gerenciamento, qualquer pessoa com permissão para modificar as associações nesses grupos poderá usar add/remove to/from esses grupos e, assim, afetar quem tem acesso à conta de gerenciamento. É qualquer administrador de grupo com controle sobre a fonte de identidade, incluindo o administrador do provedor de identidade (IdP), o administrador do Microsoft Active Directory Domain Service (AD DS) ou o administrador do IAM Identity Center. Portanto, você deve atribuir usuários diretamente aos conjuntos de permissões que concedem acesso à conta gerencial e evitar grupos. Se você usa grupos para gerenciar o acesso à conta gerencial, certifique-se de que os controles adequados estejam em vigor no IdP para limitar quem tem a capacidade de modificar esses grupos, e garanta que as alterações nesses grupos (ou alterações nas credenciais dos usuários na conta gerencial) sejam registradas e revisadas conforme necessário.
+ **Considere sua localização no Active Directory** — Se você planeja usar o Active Directory como sua fonte de identidade do IAM Identity Center, localize o diretório na conta do membro em que você habilitou o atributo de administrador delegado do IAM Identity Center. Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra origem para o Active Directory, ou alterá-la do Active Directory para qualquer outra origem, o diretório deverá residir na conta de membro administrador delegado do IAM Identity Center. Se quiser que o Active Directory esteja na conta gerencial, você deve realizar a configuração na conta gerencial, pois o administrador delegado não terá as permissões necessárias para concluí-la.
### Limite as ações de armazenamento de identidades do IAM Identity Center na conta de administração delegada com fontes de identidade externas
Se você usa uma fonte de identidade externa, como um IdP ou Directory Service, deve implementar políticas que limitem as ações do repositório de identidades que um administrador do IAM Identity Center pode realizar na conta de administração delegada. As operações de gravação e exclusão devem ser cuidadosamente consideradas. Geralmente, a fonte de identidade externa é a fonte confiável para usuários e os atributos e para associações a grupos. Se você modificá-los usando o repositório de identidades APIs ou o console, suas alterações serão substituídas durante os ciclos normais de sincronização. É melhor deixar essas operações sob o controle exclusivo da fonte de identidade confiável. Isso também protege contra um administrador do IAM Identity Center que modifique as associações de grupo para conceder acesso a um conjunto de permissões ou aplicativo atribuído a um grupo, em vez de deixar o controle da associação de grupo para o administrador do IdP. Você também deve controlar quem pode criar tokens de portador SCIM a partir da conta de administração delegada, pois isso pode permitir que um administrador de conta de membro modifique grupos e usuários por meio de um cliente SCIM.
Pode haver momentos em que as operações de gravação ou exclusão sejam apropriadas na conta de administrador delegado. Por exemplo, você pode criar um grupo sem adicionar membros e, em seguida, fazer atribuições a um conjunto de permissões sem precisar esperar que o administrador do IdP crie o grupo. Ninguém terá acesso a essa tarefa até que o administrador do IdP provisione o grupo e o processo de sincronização do IdP estabeleça os membros do grupo. Também pode ser apropriado excluir um usuário ou grupo para impedir o login ou a autorização durante um período em que você não consegue esperar que o processo de sincronização do IdP remova o acesso do usuário ou do grupo. No entanto, o uso indevido dessa permissão pode atrapalhar os usuários. Você deve usar o princípio de privilégio mínimo ao atribuir permissões de armazenamento de identidades. Você pode controlar quais ações de armazenamento de identidades são permitidas pelos administradores de conta de administração delegada usando uma política de controle de serviços (SCP).
O exemplo de SCP abaixo impede a atribuição de usuários a grupos por meio da API Identity Store e da Console de gerenciamento da AWS, o que é recomendado quando sua fonte de identidade é externa. Isso não afeta a sincronização do usuário de Directory Service ou para um IdP externo (via SCIM).
**nota**
É possível que, embora você use uma fonte de identidade externa, sua organização dependa, total ou parcialmente, do Identity Store APIs para o provisionamento de usuários e grupos. Portanto, antes de ativar esse SCP, você deve confirmar que o processo de provisionamento de usuários não usa essa operação da API do Identity Store. Além disso, consulte a próxima seção para obter informações sobre como limitar o gerenciamento de associações de grupos a grupos específicos.
```
{
"Version": "2012-10-17",
"Statement": [
{ "Effect": "Deny",
"Action": ["identitystore:CreateGroupMembership"],
"Resource": [ "*" ] }
]
}
```
Se você quiser evitar a adição de usuários apenas a grupos que concedem acesso à conta gerencial, você pode referenciar esses grupos específicos usando o ARN do grupo no seguinte formato: `arn:${Partition}:identitystore:::group/${GroupId}`. Esse e outros tipos de recursos disponíveis no Identity Store estão documentados em [Tipos de recursos definidos pelo AWS Identity Store](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html#awsodemtotustpre-resoruces-for-iam-policies) na *Referência de Autorização de Serviço*. Você também pode considerar a inclusão de um Identity Store adicional APIs no SCP. Para obter mais informações, consulte [Ações](https://docs.aws.amazon.com//singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) na Referência da API do Identity Store.
Ao adicionar a seguinte declaração de política ao SCP, você pode impedir a criação de tokens portadores do SCIM pelo administrador delegado. Você pode aplicar isso para ambas as fontes de identidade externas.
**nota**
Se o administrador delegado precisar configurar o provisionamento de usuários com o SCIM ou realizar a rotação periódica do token portador do SCIM, você precisará permitir temporariamente o acesso a essa API para permitir que o administrador delegado conclua essas tarefas.
```
{ "Effect": "Deny",
"Action": ["sso-directory:CreateBearerToken"],
"Resource": [ "*" ]
}
```
### Limite as ações de armazenamento de identidades do IAM Identity Center na conta de administração delegada para usuários gerenciados localmente
Se você criar seus usuários e grupos diretamente no IAM Identity Center, em vez de usar um IdP externo ou Directory Service, você deve tomar precauções sobre quem pode criar usuários, redefinir senhas e controlar a associação ao grupo. Essas ações dão ao administrador grandes poderes sobre quem pode fazer login e obter acesso por meio da participação em grupos. Essas políticas são melhor implementadas como políticas em linha dentro dos conjuntos de permissões que você usa para os administradores do IAM Identity Center, em vez de como. SCPs O exemplo de política em linha a seguir tem dois objetivos. Em primeiro lugar, impede a adição de usuários a grupos específicos. Você pode usar isso para impedir que administradores delegados adicionem usuários aos grupos que concedem acesso à conta gerencial. Em segundo lugar, impede a emissão de tokens portadores do SCIM.
```
{
"Version": "2012-10-17",
"Statement": [
{ "Effect": "Deny",
"Action": ["identitystore:CreateGroupMembership"],
"Resource": [ arn:${Partition}:identitystore:::group/${GroupId1},
arn:${Partition}:identitystore:::group/${GroupId2}
]
}
],
{ "Effect": "Deny",
"Action": ["sso-directory:CreateBearerToken"],
"Resource": [ "*" ] }
]
}
```
### Separe o gerenciamento de configurações do IAM Identity Center do gerenciamento PermissionSet
Separe as tarefas administrativas, incluindo modificação da fonte de identidade externa, gerenciamento de tokens SCIM e configuração do tempo limite da sessão, das tarefas para criar, modificar e atribuir conjuntos de permissões criando conjuntos de permissões de administrador distintos de sua conta gerencial.
### Limitar a emissão de tokens portadores do SCIM
Os tokens portadores do SCIM permitem que uma fonte de identidade externa provisione usuários, grupos e associações de grupos por meio do protocolo SCIM quando a fonte de identidade do IAM Identity Center é um IdP externo, como Okta ou Entra ID. Você pode configurar o seguinte SCP para impedir a criação de tokens portadores do SCIM por administradores delegados. Se o administrador delegado precisar configurar o provisionamento de usuários com o SCIM ou realizar a rotação periódica do token portador do SCIM, você precisará permitir temporariamente o acesso a essa API para permitir que o administrador delegado conclua essas tarefas.
```
{ "Effect": "Deny",
"Action": ["sso-directory:CreateBearerToken"],
"Resource": [ "*" ]
}
```
### Use tags de conjunto de permissões e listas de contas para delegar a administração de contas específicas
Você pode criar conjuntos de permissões que você atribui aos administradores do IAM Identity Center para delegar quem pode criar conjuntos de permissões e quem pode atribuir quais conjuntos de permissões em quais contas. Isso é feito marcando conjuntos de permissões e usando condições de política nos conjuntos de permissões que você atribui aos os administradores. Por exemplo, você pode criar conjuntos de permissões que permitem que um usuário crie conjuntos de permissões, desde que sejam marcados de uma determinada forma. Você também pode criar políticas que permitem que um administrador atribua conjuntos de permissões que tenham uma tag específica em contas específicas. Isso pode ajudar você a delegar o gerenciamento de contas sem dar a um administrador os privilégios para modificar acesso e privilégios referentes à conta de administração delegada. Por exemplo, ao marcar os conjuntos de permissões que você usa somente na conta de administração delegada, você pode especificar uma política que conceda somente a determinadas pessoas as permissões para modificar conjuntos de permissões e atribuições que afetam a conta de administração delegada. Você também pode conceder permissões a outras pessoas para gerenciar uma lista de contas fora da conta de administração delegada. Para saber mais, consulte [Delegar o gerenciamento do conjunto de permissões e a atribuição de contas no Centro de Identidade do AWS IAM](https://aws.amazon.com/blogs/security/delegating-permission-set-management-and-account-assignment-in-aws-iam-identity-center/) no *Blog de segurança da AWS *.
## Pré-requisitos
Antes de registrar uma conta-administrador delegado, você deve primeiro implantar o seguinte ambiente:
+ AWS Organizations deve estar habilitado e configurado com pelo menos uma conta de membro, além da sua conta de gerenciamento padrão.
+ Se sua fonte de identidade estiver definida como Active Directory, o atributo [Sincronização configurável no AD do IAM Identity Center](provision-users-from-ad-configurable-ADsync.md) deverá estar habilitado.
# Registre uma conta-membro
Para configurar a administração delegada, você deve primeiro registrar uma conta de membro em sua organização como administrador delegado. Os usuários dessa conta de membro que tenham permissões suficientes terão acesso administrativo ao IAM Identity Center. Depois que uma conta de membro for registrada com sucesso para a administração delegada, ela é chamada de *conta de administrador delegado*. Para saber mais sobre as tarefas que a conta de administrador delegado pode realizar, consulte [Conta da AWS tipos](manage-your-accounts.md#account-types).
O IAM Identity Center suporta o registro de apenas uma conta de membro como administrador delegado por vez. Você só pode registrar uma conta de membro enquanto estiver conectado com as credenciais da conta de gerenciamento.
Use o procedimento a seguir para conceder acesso administrativo ao IAM Identity Center registrando uma conta de membro específica em sua AWS organização como administrador delegado.
**Importante**
Essa operação delega o acesso administrativo do IAM Identity Center aos usuários administradores dessa conta membro. Todos os usuários que têm permissões suficientes para essa conta de administrador delegado podem realizar todas as tarefas administrativas do IAM Identity Center a partir da conta, exceto:
Habilitar o IAM Identity Center
Excluir configurações do IAM Identify Center
Gerenciamento de conjuntos de permissões provisionados na conta de gerenciamento
Registro ou cancelamento de registro de contas de outros membros como administradores delegados
Ativar ou desativar o acesso do usuário na conta de gerenciamento
O administrador delegado pode editar a associação ao grupo.
**Como registrar uma conta-membro**
1. Faça login no Console de gerenciamento da AWS usando as credenciais de sua conta de gerenciamento em AWS Organizations. As credenciais da conta de gerenciamento são necessárias para executar a [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)API.
1. Selecione a região em que o IAM Identity Center esteja ativado e, em seguida, abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** e, em seguida, selecione a guia **Gerenciamento**.
1. Na seção **Administrador delegado do **, selecione **Cancelar conta**.
1. Na página **Registrar administrador delegado**, selecione o Conta da AWS que você deseja registrar e, em seguida, escolha **Registrar conta**.
# Cancelar o registro de uma conta-membro
Você só pode cancelar o registro de uma conta de membro enquanto estiver conectado com as credenciais da conta de gerenciamento.
Use o procedimento a seguir para remover o acesso administrativo do IAM Identity Center cancelando o registro de uma conta membro em sua AWS organização que havia sido designada anteriormente como administrador delegado.
**Importante**
Ao cancelar o registro de uma conta, você efetivamente remove a capacidade de todos os usuários administradores gerenciarem o IAM Identity Center dessa conta. Como resultado, eles não podem mais administrar as identidades, o gerenciamento de acesso, a autenticação ou o acesso ao aplicativo do IAM Identity Center a partir dessa conta. Essa operação não afetará nenhuma permissão ou atribuição configurada no IAM Identity Center e, portanto, não terá impacto sobre seus usuários finais, pois eles continuarão a ter acesso aos seus aplicativos e Contas da AWS de dentro do portal de AWS acesso.
**Como cancelar o registro de uma conta-membro**
1. Faça login no Console de gerenciamento da AWS usando as credenciais de sua conta de gerenciamento em AWS Organizations. As credenciais da conta de gerenciamento são necessárias para executar a [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)API.
1. Selecione a região em que o IAM Identity Center esteja ativado e, em seguida, abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** e, em seguida, selecione a guia **Gerenciamento**.
1. Na seção **Administrador delegado**, selecione **Cancelar conta**.
1. Na caixa de diálogo **Cancelar o registro da conta**, analise as implicações de segurança e insira o nome da conta do membro para confirmar que você entendeu.
1. Escolha **Cancelar o registro** da conta.
# Veja qual conta de membro foi registrada como administrador delegado
Use o procedimento a seguir para descobrir qual conta membro em sua AWS Organizations foi configurada como administradora delegada do IAM Identity Center.
**Como visualizar sua conta-membro registrada**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na seção **Detalhes**, localize o nome da conta registrada em **Administrador delegado**. Você também pode localizar essas informações selecionando a guia **Gerenciamento** e visualizando-as na seção **Administrador delegado**.
# Acesso elevado temporário para Contas da AWS
Todo acesso ao seu Conta da AWS envolve algum nível de privilégio. Operações sensíveis, como alterar a configuração de um ambiente de produção, exigem tratamento especial devido ao escopo e ao impacto potencial. O acesso temporário elevado (também conhecido como just-in-time acesso) é uma forma de solicitar, aprovar e rastrear o uso de uma permissão para realizar uma tarefa específica durante um período especificado. O acesso temporário elevado complementa outras formas de controle de acesso, como conjuntos de permissões e autenticação multifatorial.
**nota**
Para garantir a continuidade dos negócios, recomendamos [configurar o acesso de emergência ao Console de gerenciamento da AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html).
Para atender a uma variedade de necessidades dos clientes, Centro de Identidade do AWS IAM integra-se às soluções dos parceiros de competência em AWS segurança. AWS valida que essas soluções atendem a um conjunto comum de requisitos temporários de acesso elevado. Recomendamos que você analise cuidadosamente cada solução de parceiro para que possa escolher aquela que melhor se adapta às suas necessidades e preferências exclusivas, incluindo o negócio, a arquitetura do ambiente de nuvem e o orçamento.
As soluções validadas incluem a [Apono Access Management Platform](https://www.apono.io/), [CyberArk Secure Cloud Access](https://www.cyberark.com/products/secure-cloud-access/), [Okta Access Requests](https://help.okta.com/en-us/Content/Topics/identity-governance/access-requests/ar-overview.htm) e [Tenable](https://ermetic.com/solution/just-in-time/) (anteriormente Ermetic).
Os parceiros podem indicar soluções usando o aplicativo AWS Security Competency no Partner Center. Para obter mais informações, consulte [Parceiros do AWS Security Competency](https://aws.amazon.com/security/partner-solutions/).
**nota**
Se você estiver usando o Amazon Elastic AWS Key Management Service Kubernetes Service baseado em recursos [ou consulte Conjuntos de permissões de referência em políticas de recursos, mapas de AWS KMS configuração de cluster do Amazon EKS e políticas](https://docs.aws.amazon.com/singlesignon/latest/userguide/referencingpermissionsets.html) de chaves antes de escolher sua solução. just-in-time
# Acesso com login único a Contas da AWS
Você pode atribuir aos usuários em seu diretório conectado permissões à conta de gerenciamento ou contas de membros em sua organização AWS Organizations com base em [funções de trabalho comuns](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). Ou você pode usar permissões personalizadas para atender aos seus requisitos de segurança específicos. Por exemplo, você pode conceder amplas permissões ao Amazon RDS em contas de desenvolvimento, mas limita essas permissões em contas de produção. O IAM Identity Center configura automaticamente todas as permissões de usuário necessárias em seu Contas da AWS .
**nota**
Talvez seja necessário conceder permissões aos usuários ou grupos para operar na conta AWS Organizations de gerenciamento. Por ser uma conta altamente privilegiada, restrições de segurança adicionais exigem que você tenha a política de [IAMFullacesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) ou permissões equivalentes antes de poder configurá-la. Essas restrições de segurança adicionais não são necessárias para nenhuma das contas dos membros em sua AWS organização.
**Topics**
+ [Atribuir acesso de usuário ou grupo a Contas da AWS](assignusers.md)
+ [Remover o acesso de usuários e grupos a um Conta da AWS](howtoremoveaccess.md)
+ [Revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões](revoke-user-permissions.md)
+ [Delegar quem pode atribuir acesso de logon único a usuários e grupos na conta de gerenciamento](howtodelegatessoaccess.md)
# Atribuir acesso de usuário ou grupo a Contas da AWS
Use o procedimento a seguir para atribuir acesso logon único a usuários e grupos em seu diretório conectado e usar conjuntos de permissões para determinar o nível de acesso.
Para verificar o acesso dos usuários e grupos existentes, consulte [Visualizar e alterar um conjunto de permissões](howtoviewandchangepermissionset.md).
**nota**
Para simplificar a administração de permissões de acesso, é recomendável atribuir acesso diretamente a grupos, em vez de a usuários específicos. Com grupos, você pode conceder ou negar permissões para grupos de usuários, em vez de ter de aplicar essas permissões a cada indivíduo. Se um usuário for transferido para uma organização diferente, basta mover esse usuário para um grupo diferente para que recebam automaticamente as permissões necessárias para a nova organização.
**Para atribuir acesso de usuário ou grupo ao Contas da AWS**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**
Antes de passar para a etapa seguinte, confirme se o console do IAM Identity Center está usando uma das regiões em que seu diretório do AWS Managed Microsoft AD está localizado.
1. No painel de navegação, em **Permissões de várias contas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, uma lista de visualização em árvore da sua organização é exibida. Marque a caixa de seleção ao lado da Conta da AWS qual você deseja atribuir acesso. Se você estiver configurando o acesso administrativo para o IAM Identity Center, marque a caixa de seleção ao lado da conta de gerenciamento.
**nota**
Você pode selecionar até 10 por Contas da AWS vez por conjunto de permissões ao atribuir acesso de login único a usuários e grupos. Para atribuir mais de 10 Contas da AWS ao mesmo conjunto de usuários e grupos, repita esse procedimento conforme necessário para as contas adicionais. Quando solicitado, selecione os mesmos usuários, grupos e conjunto de permissões.
1. Escolha **Atribuir usuários ou grupos**.
1. Para **a Etapa 1: Selecionar usuários e grupos**, na página **Atribuir usuários e grupos a *AWS-account-name* "”**, faça o seguinte:
1. Na guia **Usuários**, selecione um ou mais usuários aos quais conceder acesso de login único.
Para filtrar os resultados, comece a digitar o nome do usuário desejado na caixa de pesquisa.
1. Na guia **Grupos**, selecione um ou mais grupos aos quais conceder acesso de login único.
Para filtrar os resultados, comece a digitar o nome do grupo que deseja na caixa de pesquisa.
1. Para exibir os usuários e grupos selecionados, escolha o triângulo lateral ao lado de **Usuários e grupos selecionados**.
1. Depois de confirmar que os usuários e grupos corretos foram selecionados, escolha **Avançar**.
1. Para **a Etapa 2: Selecionar conjuntos de permissões**, na página **Atribuir conjuntos de permissões a *AWS-account-name* "”**, faça o seguinte:
1. Selecione um ou mais conjuntos de permissões. Se necessário, você pode criar e selecionar novos conjuntos de permissões.
+ Para selecionar um ou mais conjuntos de permissões existentes, em **Conjuntos de permissões**, selecione os conjuntos de permissões que você deseja aplicar aos usuários e grupos selecionados na etapa anterior.
+ Para criar um ou mais novos conjuntos de permissões, escolha **Criar conjunto de permissões** e siga as etapas em [Crie um conjunto de permissões](howtocreatepermissionset.md). Depois de criar os conjuntos de permissões que você deseja aplicar, no console do IAM Identity Center, retorne a **Contas da AWS** e siga as instruções até chegar à **Etapa 2: Selecionar conjuntos de permissões**. Ao chegar a essa etapa, selecione os novos conjuntos de permissões que você criou e vá para a próxima etapa desse procedimento.
1. Depois de confirmar que os conjuntos de permissões corretos foram selecionados, escolha **Avançar**.
1. Para **a Etapa 3: Revisar e enviar**, na página **Revisar e enviar exercícios para *AWS-account-name* ""**, faça o seguinte:
1. Analise os usuários, grupos e conjuntos de permissões selecionados.
1. Depois de confirmar que os usuários, grupos e conjuntos de permissões corretos foram selecionados, escolha **Enviar**.
**Considerações**
+ O processo de atribuição de usuário e grupo pode demorar alguns minutos para ser concluído. Mantenha a página aberta até que o processo seja concluído com êxito.
+
**nota**
Talvez seja necessário conceder permissões aos usuários ou grupos para operar na conta AWS Organizations de gerenciamento. Por ser uma conta altamente privilegiada, restrições de segurança adicionais exigem que você tenha a política de [IAMFullacesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) ou permissões equivalentes antes de poder configurá-la. Essas restrições de segurança adicionais não são necessárias para nenhuma das contas dos membros em sua AWS organização.
1. Se alguma das opções a seguir se aplicar, siga as etapas em [Solicite aos usuários o MFA](mfa-getting-started.md) para habilitar a MFA para o IAM Identity Center:
+ Você está usando o diretório padrão do Identity Center como sua fonte de identidade.
+ Você está usando um AWS Managed Microsoft AD diretório ou um diretório autogerenciado no Active Directory como sua fonte de identidade e não está usando o RADIUS MFA com. AWS Directory Service
**nota**
Se você estiver usando um provedor de identidades externo, observe que o IdP externo, e não o IAM Identity Center, gerencia as configurações de MFA. O MFA no IAM Identity Center não é suportado para uso externo. IdPs
Quando você configura o acesso à conta para o usuário administrativo, o IAM Identity Center cria um perfil do IAM correspondente. Essa função, que é controlada pelo IAM Identity Center, é criada no local relevante Conta da AWS e as políticas especificadas no conjunto de permissões são anexadas à função.
Como alternativa, você pode usar o [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) para criar e atribuir conjuntos de permissões e atribuir usuários a esses conjuntos de permissões. Os usuários podem então [fazer login no portal de acesso da AWS](howtosignin.md) ou usar os comandos [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html).
# Remover o acesso de usuários e grupos a um Conta da AWS
Use esse procedimento para remover o acesso de login único a um Conta da AWS ou mais usuários e grupos em seu diretório conectado. Você também pode usar a [delete-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/delete-account-assignment.html) AWS CLI.
**nota**
Quando precisar desprovisionar usuários ou grupos do IAM Identity Center, primeiro [remova todas as atribuições de conjuntos de permissões de](howtoremovepermissionset.md) os usuários e grupos antes de excluir os usuários e grupos.
**Para remover o acesso de usuários e grupos a um Conta da AWS**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. No painel de navegação, em **Permissões de várias contas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, aparece uma lista de visualização em árvore da sua organização. Selecione o nome do Conta da AWS que contém os usuários e grupos dos quais você deseja remover o acesso de login único.
1. Na página **Visão geral** do Conta da AWS, em **Usuários e grupos atribuídos**, selecione o nome de um ou mais usuários ou grupos e escolha **Remover acesso**.
1. Na caixa de diálogo **Remover acesso**, confirme se os nomes dos usuários ou grupos estão corretos e escolha **Remover acesso**.
# Revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões
O procedimento a seguir é o procedimento genérico para revogação de uma sessão ativa de um conjunto de permissões do IAM Identity Center. O procedimento pressupõe que você queira remover todo o acesso de um usuário cujas credenciais foram comprometidas ou de um agente mal-intencionado que está no sistema. O pré-requisito é ter seguido as orientações em [Preparar-se para revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões](prereqs-revoking-user-permissions.md#prepare-to-revoke-session). Presumimos que a política de negação total esteja presente em uma política de controle de serviços (SCP).
**nota**
AWS recomenda que você crie automação para lidar com todas as etapas, exceto as operações somente do console.
1. **Obtenha o ID do usuário cujo acesso você deve revogar.** Você pode usar o repositório de identidades APIs para encontrar o usuário pelo nome de usuário.
1. **Atualize a política de negação para adicionar o ID do usuário da etapa 1 na sua política de controle de serviços (SCP).** Após essa etapa ser concluída, o usuário-alvo perde o acesso e não consegue realizar ações com nenhum perfil afetado pela política.
1. **Remova todas as atribuições de conjunto de permissões do usuário.** Se o acesso foi atribuído por meio de associações a grupos, remova o usuário de todos os grupos e de todas as atribuições diretas do conjunto de permissões. Essa etapa evita que o usuário assuma qualquer outro perfil do IAM. Se um usuário tiver uma sessão ativa do portal de AWS acesso e você desabilitar o usuário, ele poderá continuar assumindo novas funções até que você remova o acesso.
1. **Se você usar um provedor de identidades (IdP) ou o Microsoft Active Directory como fonte de identidades, desabilite o usuário na fonte de identidades.** Desabilitar o usuário impede a criação de sessões adicionais no portal de acesso AWS . Use a documentação do seu IdP ou das APIs do Microsoft Active Directory para saber como automatizar essa etapa. Se você estiver usando o diretório do IAM Identity Center como fonte de identidade, não desabilite o acesso do usuário ainda. Você desabilitará o acesso do usuário na etapa 6.
1. **No console do IAM Identity Center, encontre o usuário e exclua sua sessão ativa.**
1. Selecione **Usuários**.
1. Escolha o usuário cuja sessão ativa você deseja excluir.
1. Na página de detalhes do usuário, escolha a guia **Sessões ativas**.
1. Marque as caixas de seleção ao lado das sessões que você deseja excluir e selecione **Excluir sessão**.
Depois de excluir uma sessão de usuário, o usuário perderá imediatamente o acesso ao portal de AWS acesso. Saiba mais sobre a [duração da sessão](authconcept.md).
1. **No console do IAM Identity Center, desabilite o acesso do usuário.**
1. Selecione **Usuários**.
1. Escolha o usuário que deseja desabilitar.
1. Na página de detalhes do usuário, expanda **Informações gerais** e escolha o botão **Desabilitar o acesso do usuário** para evitar que usuário faça outros logins.
1. **Mantenha a política de negação em vigor por pelo menos 12 horas.** Caso contrário, as ações do usuário com uma sessão de perfil do IAM ativa serão restauradas com perfil do IAM. Se você esperar 12 horas, as sessões ativas expirarão e o usuário não poderá voltar acessar o perfil do IAM.
**Importante**
Se você desabilitar o acesso de um usuário antes de interromper a sessão do usuário (você concluiu a etapa 6 sem concluir a etapa 5), não poderá mais interromper a sessão do usuário usando o console do IAM Identity Center. Se você desabilitar inadvertidamente o acesso do usuário antes de interromper a sessão do usuário, poderá reativá-lo, interromper a sessão e, em seguida, desabilitar novamente seu acesso.
Agora você poderá alterar as credenciais do usuário se a senha dele tiver sido comprometida e [restaurar suas atribuições](useraccess.md).
# Delegar quem pode atribuir acesso de logon único a usuários e grupos na conta de gerenciamento
Atribuir acesso de logon único à conta mestre usando o console do IAM Identity Center é uma ação privilegiada. Por padrão, somente um usuário Usuário raiz da conta da AWS ou um usuário que tenha as políticas **AWSSSOMasterAccountAdministrator**IAMFullAccess**** AWS gerenciadas anexadas pode atribuir acesso de login único à conta de gerenciamento. As **IAMFullAccess**políticas **AWSSSOMasterAccountAdministrator**e gerenciam o acesso de login único à conta de gerenciamento em uma AWS Organizations organização.
Como alternativa, você pode usar AWS CLI para criar, anexar políticas e atribuir conjuntos de permissões. A seguir, são listados os comandos para cada etapa:
+ Para criar um conjunto de permissões: [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html)
+ Para anexar AWS Managed Policy a um conjunto de permissões: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html)
+ Para anexar a política gerenciada pelo cliente a um conjunto de permissões: [attach-customer-managed-policy- to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html)
+ Para atribuir um conjunto de permissões a um diretor: [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html)
Use as etapas a seguir para delegar permissões para gerenciar o acesso SSO aos usuário e grupos em seu diretório.
**Para conceder permissões para gerenciar o acesso SSO ao usuários e grupos em seu diretório**
1. Faça login no console do como um usuário raiz da conta mestre ou com outro usuário do IAM Identity Center que tenha permissões de administrador do para a conta mestre.
1. Siga as etapas [Crie um conjunto de permissões](howtocreatepermissionset.md) para criar um conjunto de permissões e faça o seguinte:
1. Na página **Criar novo conjunto de permissões**, marque a caixa de seleção **Criar um conjunto de permissões personalizado** e escolha **Avançar: Detalhes**.
1. Na **página Criar novo conjunto de permissões**, especifique um nome para o conjunto de permissões personalizado e, opcionalmente, uma descrição. Se necessário, modifique a duração da sessão e especifique um URL de estado de retransmissão.
**nota**
Para o URL do estado de retransmissão, você deve especificar um URL que esteja no Console de gerenciamento da AWS. Por exemplo:
**https://console.aws.amazon.com/ec2/**
Para obter mais informações, consulte [Defina o estado do relé para acesso rápido ao Console de gerenciamento da AWS](howtopermrelaystate.md).
1. Em **Quais políticas você deseja incluir no seu conjunto de permissões?** , marque a caixa de seleção **Anexar políticas AWS gerenciadas**.
1. Na lista de políticas do IAM, escolha as políticas **AWSSSOMasterAccountAdministrator**e as **IAMFullAccess** AWS gerenciadas. Essa política concede permissões a qualquer usuário e grupos que receberem acesso a esse conjunto de permissões definido no futuro.
1. Escolha **Próximo: tags**.
1. Em **Adicionar tags (opcional)**, especifique valores de **Chave** e **Valor (opcional)**, e escolha **Avançar: Revisão**. Para obter mais informações sobre tags, consulte [Recursos de marcação Centro de Identidade do AWS IAM](tagging.md).
1. Verifique suas seleções e, em seguida, escolha **Create function**.
1. Siga as etapas em [Atribuir acesso de usuário ou grupo a Contas da AWS](assignusers.md) para atribuir os usuários e grupos apropriados ao conjunto de permissões que você acabou de criar.
1. Comunique aos usuários designados o seguinte: quando eles fizerem login no portal de acesso AWS e selecionarem a guia **Contas**, deverão escolher o nome do perfil apropriado para serem autenticados com as permissões que você acabou de delegar.
# Gerencie Contas da AWS com conjuntos de permissões
Um conjunto de permissões é um modelo que você cria e mantém que define uma coleção de uma ou mais [políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Os conjuntos de permissões simplificam a atribuição de Conta da AWS acesso para usuários e grupos em sua organização. [Por exemplo, você pode criar um conjunto de permissões *de administrador de banco* de dados que inclui políticas para administrar os serviços do AWS RDS, DynamoDB e Aurora e usar esse único conjunto de permissões para conceder acesso a uma lista de Contas da AWS destinos em sua organização para seus administradores de banco de dados.AWS](https://aws.amazon.com/organizations/)
O IAM Identity Center atribui acesso a um usuário ou grupo em um ou mais Contas da AWS com conjuntos de permissões. Quando você atribui um conjunto de permissões, o IAM Identity Center cria perfis do IAM correspondentes controlados pelo IAM Identity Center em cada conta e anexa as políticas especificadas no conjunto de permissões para esses perfis. O IAM Identity Center gerencia a função e permite que os usuários autorizados que você definiu assumam a função, usando o portal do usuário ou a AWS CLI do IAM Identity Center. Conforme você modificar o conjunto de permissões, o IAM Identity Center garantirá que as políticas e perfis do IAM correspondentes sejam devidamente atualizados.
Você pode adicionar [políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies), [políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies), [políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) e [políticas gerenciadas pela AWS para funções de tarefa](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) aos conjuntos de permissões. Você também pode atribuir uma política gerenciada da AWS da ou uma política gerenciada pelo cliente como [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).
Para criar um conjunto de permissões, consulte [Criar, gerenciar e excluir conjuntos de permissões](permissionsets.md).
## Criar um conjunto de permissões que aplica permissões de privilégio mínimo
Para seguir as práticas recomendadas para aplicar permissões de privilégio mínimo, depois de criar um conjunto de permissões administrativas, crie um conjunto de permissões mais restritivo e o atribua a um ou mais usuários. Os conjuntos de permissões criados no procedimento anterior fornecem um ponto de partida para você avaliar de quanto acesso aos recursos os usuários precisam. Para mudar para permissões de privilégio mínimo, você pode executar o IAM Access Analyzer para monitorar os principais com AWS políticas gerenciadas. Depois de saber quais permissões elas estão usando, você pode escrever uma política personalizada ou gerar uma política apenas com as permissões necessárias para sua equipe.
Com o IAM Identity Center, você pode atribuir vários conjuntos de permissões para o mesmo usuário. Ao usuário administrativo também devem ser atribuídos conjuntos de permissões adicionais, mais restritivos. Dessa forma, eles podem acessar você apenas Conta da AWS com as permissões necessárias, em vez de sempre usar suas permissões administrativas.
Por exemplo, se você for um desenvolvedor, após criar seu usuário administrativo no IAM Identity Center, poderá criar um novo conjunto de permissões que conceda permissões de `PowerUserAccess` e atribuir esse conjunto de permissões a si mesmo. Diferentemente do conjunto de permissões administrativas, que usa as permissões de `AdministratorAccess`, o conjunto de permissões de `PowerUserAccess ` não permite o gerenciamento de usuários e grupos do IAM. Ao entrar no portal de AWS acesso para acessar sua AWS conta, você pode escolher, `PowerUserAccess` em vez de `AdministratorAccess` realizar tarefas de desenvolvimento na conta.
Lembre-se das seguintes considerações:
+ **Para começar rapidamente a criar um conjunto de permissões mais restritivo, use um conjunto de permissões predefinido em vez de um conjunto de permissões personalizado.**
Com um conjunto de permissões predefinido, que usa [permissões predefinidas](permissionsetpredefined.md), você escolhe uma única política AWS gerenciada em uma lista de políticas disponíveis. Cada política concede um nível específico de acesso a AWS serviços e recursos ou permissões para uma função de trabalho comum. Para obter informações sobre cada uma dessas políticas, consulte [políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html).
+ **Você pode configurar a duração da sessão de um conjunto de permissões para controlar o período de tempo que um usuário fica conectado a uma. Conta da AWS.**
Quando os usuários se federam Conta da AWS e usam o AWS Management Console ou a Interface de Linha de AWS Comando (AWS CLI), o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Por padrão, o valor da **duração da sessão**, que determina o período de tempo em que um usuário pode se Conta da AWS conectar AWS e antes de sair da sessão, é definido como uma hora. Você pode especificar um valor máximo de 12 horas. Para obter mais informações, consulte [Defina a duração da sessão para Contas da AWS](howtosessionduration.md).
+ **Você também pode configurar a duração da sessão do portal de AWS acesso para controlar o período em que um usuário da força de trabalho está conectado ao portal.**
Por padrão, o valor da **duração máxima da sessão**, que determina o período de tempo em que um usuário da força de trabalho pode entrar no portal de AWS acesso antes de precisar se autenticar novamente, é de oito horas. Você pode especificar um valor máximo de 90 dias. Para obter mais informações, consulte [Configurar a duração da sessão no IAM Identity Center](configure-user-session.md).
+ **Ao entrar no portal de AWS acesso, escolha a função que fornece permissões de privilégio mínimo.**
Cada conjunto de permissões que você cria e atribui ao seu usuário aparece como uma função disponível no portal de AWS acesso. Ao entrar no portal como esse usuário, escolha a função que corresponde ao conjunto de permissões mais restritivo que você pode utilizar para realizar tarefas na conta, em vez `AdministratorAccess` de.
+ **Você pode adicionar outros usuários ao IAM Identity Center e atribuir conjuntos de permissões novos ou existentes a esses usuários.**
Para obter mais informações, consulte [Atribuir acesso de usuário ou grupo a Contas da AWS](assignusers.md).
**Topics**
+ [Criar um conjunto de permissões que aplica permissões de privilégio mínimo](#get-started-create-permission-set-to-grant-least-privilege-permissions)
+ [Permissões predefinidas para políticas AWS gerenciadas](permissionsetpredefined.md)
+ [Permissões personalizadas para políticas AWS gerenciadas e gerenciadas pelo cliente](permissionsetcustom.md)
+ [Criar, gerenciar e excluir conjuntos de permissões](permissionsets.md)
+ [Configurar propriedades do conjunto de permissões](permproperties.md)
# Permissões predefinidas para políticas AWS gerenciadas
Você pode criar um conjunto de permissões predefinido com políticas AWS gerenciadas.
Ao criar um conjunto de permissões com permissões predefinidas, você escolhe uma política em uma lista de políticas AWS gerenciadas. Dentro das políticas disponíveis, você pode escolher entre **Políticas de permissão comuns** e **Políticas de funções de trabalho**.
**Políticas de permissão comuns**
Escolha entre uma lista de políticas AWS gerenciadas que possibilitam o acesso total aos recursos Conta da AWS. Você pode adicionar uma das seguintes políticas:
+ AdministratorAccess
+ PowerUserAccess
+ ReadOnlyAccess
+ ViewOnlyAccess
**Políticas de função de trabalho**
Escolha em uma lista de políticas AWS gerenciadas que possibilitam o acesso a recursos em sua empresa Conta da AWS que possam ser relevantes para um cargo em sua organização. Você pode adicionar uma das seguintes políticas:
+ Billing
+ DataScientist
+ DatabaseAdministrator
+ NetworkAdministrator
+ SecurityAudit
+ SupportUser
+ SystemAdministrator
Para obter descrições detalhadas das políticas de permissão comuns e políticas de função de trabalho disponíveis, consulte [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do AWS Identity and Access Management *.
Para obter instruções sobre como criar um conjunto de permissões, consulte [Criar, gerenciar e excluir conjuntos de permissões](permissionsets.md).
# Permissões personalizadas para políticas AWS gerenciadas e gerenciadas pelo cliente
Você pode criar um conjunto de permissões com **permissões personalizadas**, combinando qualquer uma das políticas AWS gerenciadas e gerenciadas pelo cliente que você tem no AWS Identity and Access Management (IAM) com políticas em linha. Você também pode incluir um limite de permissões, definindo o máximo possível de permissões que outras políticas podem conceder aos usuários do seu conjunto de permissões.
Para obter instruções sobre como criar um conjunto de permissões, consulte [Criar, gerenciar e excluir conjuntos de permissões](permissionsets.md).
**Tipos de política que você pode anexar ao seu conjunto de permissões**
**Topics**
+ [Políticas em linha](#permissionsetsinlineconcept)
+ [AWS políticas gerenciadas](#permissionsetsampconcept)
+ [Políticas gerenciadas pelo cliente](#permissionsetscmpconcept)
+ [Limites de permissões](#permissionsetsboundaryconcept)
## Políticas em linha
Você pode anexar uma *política em linha* a um conjunto de permissões. Uma política em linha é um bloco de texto formatado como uma política do IAM que você adiciona diretamente ao seu conjunto de permissões. Você pode colar em uma política ou gerar uma nova com a ferramenta de criação de políticas no console do IAM Identity Center ao criar um novo conjunto de permissões. Você também pode criar políticas do IAM com o [Gerador de Políticas da AWS](https://awspolicygen.s3.amazonaws.com/policygen.html).
Quando você implanta um conjunto de permissões com uma política embutida, o IAM Identity Center cria uma política do IAM no local em Contas da AWS que você atribui seu conjunto de permissões. O IAM Identity Center cria a política quando você atribui o conjunto de permissões à conta. Em seguida, a política é anexada à função do IAM Conta da AWS que seu usuário assume.
Quando você cria uma política em linha e atribui seu conjunto de permissões, o IAM Identity Center configura as políticas em sua conta Contas da AWS para você. Ao criar seu conjunto de permissões com[Políticas gerenciadas pelo cliente](#permissionsetscmpconcept), você Contas da AWS mesmo deve criar as políticas antes de atribuir o conjunto de permissões.
## AWS políticas gerenciadas
Você pode anexar *políticas AWS gerenciadas* ao seu conjunto de permissões. AWS políticas gerenciadas são políticas do IAM que AWS mantém. Por outro lado, [Políticas gerenciadas pelo cliente](#permissionsetscmpconcept) são as políticas do IAM em sua conta que você cria e mantém. AWS políticas gerenciadas tratam de casos de uso de privilégios mínimos comuns em seu Conta da AWS. Você pode atribuir uma política AWS gerenciada como permissões para a função que o IAM Identity Center cria ou como um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).
AWS mantém [políticas AWS gerenciadas para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) que atribuem permissões de acesso específicas ao trabalho aos seus AWS recursos. Você pode adicionar uma política de função de trabalho ao optar por usar permissões **predefinidas com seu conjunto de permissões**. Ao escolher **Permissões personalizadas**, você pode adicionar mais de uma política de função de trabalho.
Você Conta da AWS também contém um grande número de políticas AWS gerenciadas de IAM para aplicações específicas Serviços da AWS e combinações de Serviços da AWS. Ao criar um conjunto de permissões com **permissões personalizadas**, você pode escolher entre várias políticas AWS gerenciadas adicionais para atribuir ao seu conjunto de permissões.
AWS preenche cada um Conta da AWS com políticas AWS gerenciadas. Para implantar um conjunto de permissões com políticas AWS gerenciadas, você não precisa primeiro criar uma política no seu Contas da AWS. Ao criar seu conjunto de permissões com[Políticas gerenciadas pelo cliente](#permissionsetscmpconcept), você Contas da AWS mesmo deve criar as políticas antes de atribuir o conjunto de permissões.
Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no Guia do usuário do IAM.
## Políticas gerenciadas pelo cliente
Você pode anexar *políticas gerenciadas pelo cliente* ao seu conjunto de permissões. Políticas gerenciadas pelo cliente são políticas do IAM em sua conta que você cria e mantém. Por outro lado, [AWS políticas gerenciadas](#permissionsetsampconcept) são as políticas do IAM em sua conta que são AWS mantidas. Você pode atribuir uma política gerenciada pelo cliente como permissões para o perfil que o IAM Identity Center cria ou como um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).
Ao criar um conjunto de permissões com uma política gerenciada pelo cliente, você deve criar uma política do IAM com o mesmo nome e caminho em cada uma em Conta da AWS que o IAM Identity Center atribui seu conjunto de permissões. Se você estiver especificando um caminho personalizado, certifique-se de especificar o mesmo caminho em cada Conta da AWS. Para obter mais informações, consulte [Nome e caminhos amigáveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names) no *Guia do usuário do IAM*. O IAM Identity Center associa a política do IAM ao perfil do IAM que ele cria na sua Conta da AWS. Como prática recomendada, aplique as mesmas permissões à política em cada conta à qual você atribui o conjunto de permissões. Para obter mais informações, consulte [Use políticas do IAM nos conjuntos de permissões](howtocmp.md).
**nota**
Quando uma política gerenciada pelo cliente é anexada a um conjunto de permissões, o nome da política não diferencia maiúsculas de minúsculas.
Para obter mais informações, consulte [Políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) no Guia do usuário do IAM.
## Limites de permissões
Você pode anexar um *limite de permissões* ao seu conjunto de permissões. Um limite de permissões é uma política de IAM AWS gerenciada ou gerenciada pelo cliente que define o máximo de permissões que uma política baseada em identidade pode conceder a um diretor do IAM. Quando você aplica um limite de permissões, o [Políticas em linha](#permissionsetsinlineconcept), [Políticas gerenciadas pelo cliente](#permissionsetscmpconcept) e [AWS políticas gerenciadas](#permissionsetsampconcept) não podem conceder nenhuma permissão que exceda as permissões que o limite de permissões concede. Um limite de permissões não concede nenhuma permissão, mas faz com que o IAM ignore todas as permissões além do limite.
Ao criar um conjunto de permissões com uma política gerenciada pelo cliente como limite de permissões, você deve criar uma política do IAM com o mesmo nome em cada Conta da AWS em que o IAM Identity Center atribui seu conjunto de permissões. O IAM Identity Center anexa a política do IAM como um limite de permissões ao perfil do IAM que ele cria em sua Conta da AWS .
Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no Guia do usuário do IAM.
# Criar, gerenciar e excluir conjuntos de permissões
Os conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma Conta da AWS. Os conjuntos de permissões são armazenados no IAM Identity Center e podem ser provisionados para um ou mais Contas da AWS. Você pode atribuir mais de um conjunto de permissões a um usuário. Para obter mais informações sobre conjuntos de permissões e como eles são usados no IAM Identify Center, consulte[Gerencie Contas da AWS com conjuntos de permissões](permissionsetsconcept.md).
**nota**
Você pode pesquisar e classificar conjuntos de permissões por nome no console do IAM Identity Center.
Ao criar conjuntos de permissões, tenha em mente as seguintes considerações:
+ **Instância de organização**
Para usar conjuntos de permissões, você precisará usar uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
+ **Começar com um conjunto de permissões predefinido**
Com um conjunto de permissões predefinido, que usa [permissões predefinidas](permissionsetpredefined.md), você escolhe uma única política AWS gerenciada em uma lista de políticas disponíveis. Cada política concede um nível específico de acesso a AWS serviços e recursos ou permissões para uma função de trabalho comum. Para obter informações sobre cada uma dessas políticas, consulte [políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). Depois de coletar os dados de uso, você pode refinar o conjunto de permissões para torná-lo mais restritivo.
+ **Limitar a duração da sessão de gerenciamento a períodos de trabalho razoáveis**
Quando os usuários se federam Conta da AWS e usam a Console de gerenciamento da AWS Interface de Linha de AWS Comando (AWS CLI), o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Quando a sessão do usuário atinge a duração da sessão, ele é desconectado do console e solicitado a fazer login novamente. Como melhor prática de segurança, recomendamos que você não defina um tempo de duração da sessão maior do que o necessário para executar a função. Por padrão, o valor de **Duração da sessão** é uma hora. Você pode especificar um valor máximo de 12 horas. Para obter mais informações, consulte [Defina a duração da sessão para Contas da AWS](howtosessionduration.md).
+ **Limitar a duração da sessão do portal de usuários da força de trabalho**
Os usuários da força de trabalho usam sessões do portal para escolher perfis e acessar aplicações. Por padrão, o valor da **duração máxima da sessão**, que determina o período de tempo em que um usuário da força de trabalho pode entrar no portal de AWS acesso antes de precisar se autenticar novamente, é de oito horas. Você pode especificar um valor máximo de 90 dias. Para obter mais informações, consulte [Configurar a duração da sessão no IAM Identity Center](configure-user-session.md).
+ **Usar o perfil que fornece permissões de privilégio mínimo**
Cada conjunto de permissões que você cria e atribui ao seu usuário aparece como uma função disponível no portal de AWS acesso. Ao entrar no portal como esse usuário, escolha a função que corresponde ao conjunto de permissões mais restritivo que você pode utilizar para realizar tarefas na conta, em vez `AdministratorAccess` de. Teste os conjuntos de permissões para verificar se eles fornecem o acesso necessário antes de enviar o convite ao usuário.
**nota**
Como alternativa, você pode usar o [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) para criar e atribuir conjuntos de permissões e atribuir usuários a esses conjuntos de permissões.
**Topics**
+ [Crie um conjunto de permissões](howtocreatepermissionset.md)
+ [Visualizar e alterar um conjunto de permissões](howtoviewandchangepermissionset.md)
+ [Delegar a administração do conjunto de permissões](permissionsetdelegation.md)
+ [Use políticas do IAM nos conjuntos de permissões](howtocmp.md)
+ [Remover conjuntos de permissões no IAM Identity Center](howtoremovepermissionset.md)
+ [Excluir conjuntos de permissões no IAM Identity Center](howtodeletepermissionset.md)
# Crie um conjunto de permissões
Use esse procedimento para criar um conjunto de permissões predefinido que usa uma única política gerenciada AWS ou um conjunto de permissões personalizado que usa até 10 políticas gerenciadas AWS ou gerenciadas pelo cliente e uma política em linha. Você pode solicitar um ajuste no número máximo de 10 políticas no [console Service Quotas](https://console.aws.amazon.com/servicequotas) para IAM. Você pode criar um conjunto de permissões no console do IAM Identity Center.
**nota**
Para usar conjuntos de permissões, você precisará usar uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
**Para criar um conjunto de permissões**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha **Create permission set (Criar conjunto de permissões)**.
1. Na página **Selecionar tipo de conjunto de permissões**, em **Tipo de conjunto de permissões**, selecione um tipo de conjunto de permissões.
1. Escolha uma ou mais políticas que você deseja usar para o conjunto de permissões, com base no tipo de conjunto de permissões:
+ **Conjunto de permissões predefinido**
1. Em **Política para conjunto de permissões predefinidas**, selecione uma das **políticas de funções** do IAM ou **políticas de permissões comuns** na lista, depois escolha **Avançar**. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do AWS Identity and Access Management *.
1. Vá para a etapa 6 para preencher a página **Especificar detalhes do conjunto de permissões**.
+ **Conjunto de permissões personalizado**
1. Escolha **Próximo**.
1. Na página **Especificar políticas e limite de permissões**, escolha os tipos de políticas do IAM que você deseja aplicar ao seu novo conjunto de permissões. Por padrão, você pode adicionar qualquer combinação de até 10 **políticas AWS gerenciadas** e **políticas gerenciadas pelo cliente** ao seu conjunto de permissões. Essa cota é definida pelo IAM. Para aumentá-la, solicite um aumento nas *políticas gerenciadas de cotas do IAM anexadas a um perfil do IAM* no console do Service Quotas em cada Conta da AWS na qual você deseja atribuir o conjunto de permissões.
+ Expanda **as políticas AWS gerenciadas** para adicionar políticas do IAM que AWS criam e mantêm. Para obter mais informações, consulte [AWS políticas gerenciadas](permissionsetcustom.md#permissionsetsampconcept).
1. Pesquise e escolha **as políticas AWS gerenciadas** que você deseja aplicar aos seus usuários no conjunto de permissões.
1. Se você quiser adicionar outro tipo de política, escolha seu contêiner e faça sua seleção. Escolha **Avançar** quando tiver escolhido todas as políticas que deseja aplicar. Vá para a etapa 6 para preencher a página **Especificar detalhes do conjunto de permissões**.
+ Expanda as **políticas gerenciadas pelo cliente** para adicionar políticas do IAM que você cria e mantém. Para obter mais informações, consulte [Políticas gerenciadas pelo cliente](permissionsetcustom.md#permissionsetscmpconcept).
1. Escolha **Anexar políticas** e insira o nome de uma política que você deseja adicionar ao seu conjunto de permissões. Em cada conta à qual você deseja atribuir o conjunto de permissões, crie uma política com o nome inserido. Como prática recomendada, atribua as mesmas permissões à política em cada conta.
1. Escolha **Anexar mais** para adicionar outra política.
1. Se você quiser adicionar outro tipo de política, escolha seu contêiner e faça sua seleção. Escolha **Avançar** quando tiver escolhido todas as políticas que deseja aplicar. Vá para a etapa 6 para preencher a página **Especificar detalhes do conjunto de permissões**.
+ Expanda **Política em linha** para adicionar texto personalizado de política em formato JSON. As políticas em linha não correspondem aos recursos existentes do IAM. Para criar uma política em linha, insira o idioma personalizado da política no formulário fornecido. O IAM Identity Center adiciona a política aos recursos do IAM que ele cria em suas contas de membros. Para obter mais informações, consulte [Políticas em linha](permissionsetcustom.md#permissionsetsinlineconcept).
1. Adicione as ações e os recursos desejados no editor interativo à sua política em linha. Instruções adicionais podem ser adicionadas com **Adicionar nova instrução**.
1. Se você quiser adicionar outro tipo de política, escolha seu contêiner e faça sua seleção. Escolha **Avançar** quando tiver escolhido todas as políticas que deseja aplicar. Vá para a etapa 6 para preencher a página **Especificar detalhes do conjunto de permissões**.
+ Expanda o **limite de permissões** para adicionar uma AWS política de IAM gerenciada ou gerenciada pelo cliente como as permissões máximas que suas outras políticas no conjunto de permissões podem atribuir. Para obter mais informações, consulte [Limites de permissões](permissionsetcustom.md#permissionsetsboundaryconcept).
1. Escolha **Usar um limite de permissões para controlar as permissões máximas**.
1. Escolha a **política AWS gerenciada** para definir uma política do IAM que *AWS* seja criada e mantida como seu limite de permissões. Escolha **Políticas gerenciadas pelo cliente** para definir uma política do IAM que *você* cria e mantém como limite de permissões.
1. Se você quiser adicionar outro tipo de política, escolha seu contêiner e faça sua seleção. Escolha **Avançar** quando tiver escolhido todas as políticas que deseja aplicar. Vá para a etapa 6 para preencher a página **Especificar detalhes do conjunto de permissões**.
1. Na página **Specify permission set details** (Especificar detalhes do conjunto de permissões), faça o seguinte:
1. Em **Nome do conjunto de permissões**, digite um nome para identificar esse conjunto de permissões no IAM Identity Center. O nome que você especifica para esse conjunto de permissões aparece no portal de AWS acesso como uma função disponível. Os usuários entram no portal de AWS acesso, escolhem uma e Conta da AWS, em seguida, escolhem a função.
**nota**
Os nomes de conjuntos de permissões devem ser exclusivos na instância do IAM Identity Center.
1. (Opcional) Você pode também digitar uma descrição. A descrição aparece somente no console do IAM Identity Center, não no portal de AWS acesso.
1. (Opcional) Especifique o valor da **duração da sessão**. Esse valor determina o período de tempo em que um usuário pode estar conectado antes que o console saia da sessão. Para obter mais informações, consulte [Defina a duração da sessão para Contas da AWS](howtosessionduration.md).
1. (Opcional) Especifique o valor para o **Relay state**.(estado de retransmissão). Esse valor é usado no processo de federação para redirecionar usuários dentro da conta. Para obter mais informações, consulte [Defina o estado do relé para acesso rápido ao Console de gerenciamento da AWS](howtopermrelaystate.md).
**nota**
O URL do estado de retransmissão deve estar dentro do Console de gerenciamento da AWS. Por exemplo:
**https://console.aws.amazon.com/ec2/**
1. Expanda **Tags (opcional)**, escolha **Adicionar tag** e especifique valores para **Chave** e **Valor (opcional)**.
Para obter mais informações sobre tags, consulte [Recursos de marcação Centro de Identidade do AWS IAM](tagging.md).
1. Escolha **Próximo**.
1. Na página **Revisar e criar**, revise as seleções que você fez e escolha **Criar**.
1. Por padrão, quando você cria um conjunto de permissões, o conjunto de permissões não é provisionado (usado em nenhum Contas da AWS). Para provisionar um conjunto de permissões em um Conta da AWS, você deve atribuir acesso ao IAM Identity Center aos usuários e grupos na conta e, em seguida, aplicar o conjunto de permissões a esses usuários e grupos. Para obter mais informações, consulte [Atribuir acesso de usuário ou grupo a Contas da AWS](assignusers.md).
# Visualizar e alterar um conjunto de permissões
Você pode usar conjuntos de permissões para conceder acesso a Contas da AWS. Você pode visualizar e alterar um conjunto de permissões com o Centro de Identidade do AWS IAM console. Você pode pesquisar e classificar conjuntos de permissões por nome no console do IAM Identity Center. Para obter mais informações sobre conjuntos de permissões e como eles são usados no IAM Identify Center, consulte[Gerencie Contas da AWS com conjuntos de permissões](permissionsetsconcept.md).
Os conjuntos de permissões não são exigidos para gerenciar o acesso do usuário aos aplicações.
**nota**
Para usar conjuntos de permissões, você precisará usar uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
## Visualizar atribuições do conjunto de permissões
Use esse procedimento para visualizar um conjunto de permissões aplicadas no console do Centro de Identidade do AWS IAM .
------
#### [ All Contas da AWS where a permission set is provisioned ]
Para visualizar todas as atribuições de um conjunto de permissões, use o seguinte procedimento:
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Em **Permissões multicontas**, escolha **Conjuntos de permissões**.
1. Na página **Conjuntos de permissões**, selecione o conjunto de permissões que você deseja visualizar.
1. Uma vez na página de conjuntos de permissões selecionados, na aba **Contas**, você pode ver as contas em que o conjunto de permissões é usado. Você pode selecionar a conta para ver como o conjunto de permissões é provisionado na conta. Você pode [excluir](howtoremovepermissionset.md), editar e anexar políticas ao conjunto de permissões.
------
#### [ All permission sets for an Conta da AWS ]
Para visualizar todas as atribuições de um conjunto de permissões, use o seguinte procedimento:
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Em **Permissões de várias contas**, escolha **Contas da AWS**. Selecione a conta para a qual deseja visualizar os conjuntos de permissões provisionados.
1. Uma vez na Conta da AWS página selecionada, na guia **Conjuntos de permissões, você pode ver os diferentes conjuntos** de permissões atribuídos aos selecionados Conta da AWS. Você pode selecionar o hiperlink do conjunto de permissões para saber mais sobre o conjunto de permissões.
------
#### [ All applied permission sets to users and groups ]
Para visualizar todos os conjuntos de permissões atribuídos a usuários ou grupos, use o seguinte procedimento:
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Selecione Usuários ou Grupos em **Painel** para ver os usuários ou grupos do IAM Identity Center.
1. Na página **Usuários**, selecione o usuário para o qual você deseja ver os conjuntos de permissões aplicados. Em seguida, selecione a aba **Contas da AWS** e a seção Conta da AWS abaixo de **acesso à conta AWS **. Você poderá ver os conjuntos de permissões aplicados e Conta da AWS para o usuário selecionado.
1. Na página **Grupos**, selecione o grupo que você deseja ver os conjuntos de permissões aplicados. Em seguida, selecione a aba **Contas da AWS** e a seção Conta da AWS abaixo de **acesso a Conta da AWS **. Você poderá ver os conjuntos de permissões aplicados e Conta da AWS do grupo selecionado.
------
## Alterar um conjunto de permissões
Use esse procedimento para alterar um [conjunto de permissões](permissionsetsconcept.md) com o console do IAM Identity Center. Você pode adicionar ou remover conjuntos de permissões de usuários ou grupos.
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Em **Permissões de várias contas**, escolha ** Contas da AWS**.
1. Na página **Conta da AWS**, aparece uma lista de visualização em árvore da sua organização. Selecione o nome da Conta da AWS cujo conjunto de permissões você deseja alterar.
1. Na página **Visão geral** da Conta da AWS, em **Usuários e grupos atribuídos**, selecione o nome de usuário ou o nome do grupo do conjunto de permissões que você deseja alterar. Em seguida, escolha **Alterar conjuntos de permissões**.
1. Faça as alterações desejadas no conjunto de permissões e escolha **Salvar alterações**.
1. Navegue até a guia **Conjuntos de permissões**, selecione o conjunto de permissões alterado recentemente e escolha **Atualizar**.
1. Na página **Atualizar permissões**, escolha **Atualizar**.
# Delegar a administração do conjunto de permissões
O IAM Identity Center permite delegar o gerenciamento de conjuntos de permissões e atribuições em contas criando [políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) que fazem referência aos [Amazon Resource Names (ARNs) dos recursos](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) do IAM Identity Center. Por exemplo, você pode criar políticas que permitam que diferentes administradores gerenciem atribuições em contas específicas para conjuntos de permissões com tags específicas.
**nota**
Para usar conjuntos de permissões, você precisará usar uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
Você pode usar um dos métodos a seguir para criar esses tipos de políticas.
+ (Recomendado) Crie [conjuntos de permissões](permissionsets.md) no IAM Identity Center, cada um com uma política diferente, e atribua os conjuntos de permissões a usuários ou grupos diferentes. Isso permite que você gerencie permissões administrativas para usuários que fazem login usando a [fonte de identidade do IAM Identity Center](manage-your-identity-source.md) escolhida.
+ Crie políticas personalizadas no IAM e, em seguida, anexe-as às funções do IAM que seus administradores assumem. Para obter informações sobre funções, consulte [Funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) para obter as permissões administrativas atribuídas ao IAM Identity Center.
**Importante**
ARNs Os recursos do IAM Identity Center diferenciam maiúsculas de minúsculas.
O exemplo a seguir mostra o caso adequado para referenciar o conjunto de permissões e os tipos de recursos da conta do IAM Identity Center.
| Tipos de recursos | ARN | Chaves de contexto |
| --- | --- | --- |
| PermissionSet | arn:\$1\$1Partition\$1:sso:::permissionSet/\$1\$1InstanceId\$1/\$1\$1PermissionSetId\$1 | aws:ResourceTag/\$1\$1TagKey\$1 |
| Conta | arn:\$1\$1Partition\$1:sso:::account/\$1\$1AccountId\$1 | Não aplicável |
# Use políticas do IAM nos conjuntos de permissões
Em [Crie um conjunto de permissões](howtocreatepermissionset.md), você aprendeu a adicionar políticas, inclusive políticas gerenciadas pelo cliente e limites de permissões, a um conjunto de permissões. Quando você adiciona políticas e permissões gerenciadas pelo cliente a um conjunto de permissões, o IAM Identity Center não cria uma política em nenhum Contas da AWS. Em vez disso, você deve criar essas políticas com antecedência em cada conta à qual deseja atribuir seu conjunto de permissões e combiná-las com as especificações de nome e caminho do seu conjunto de permissões. Quando você atribui um conjunto de permissões a um Conta da AWS em sua organização, o IAM Identity Center cria uma [função AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) e anexa suas [políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) a essa função.
**Considerações**
+ Para usar conjuntos de permissões, você precisará usar uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
+ Antes de atribuir seu conjunto de permissões às políticas do IAM, você deve preparar sua conta de membro. O nome de uma política do IAM em sua conta-membro deve ser igual ao nome da política em sua conta de gerenciamento. O IAM Identity Center não consegue atribuir o conjunto de permissões se a política não existir em sua conta de membro.
**nota**
Quando uma política gerenciada pelo cliente é anexada a um conjunto de permissões, o nome da política não diferencia maiúsculas de minúsculas.
+ As permissões concedidas pela política não precisam ser uma correspondência exata entre as contas.
# Atribuir uma política do IAM a um conjunto de permissões
1. Crie uma política do IAM em cada um dos Contas da AWS locais em que você deseja atribuir o conjunto de permissões.
1. Atribua permissões à política do IAM;. Você pode atribuir permissões diferentes em contas diferentes. Para uma experiência consistente, configure e mantenha permissões idênticas em cada política. Você pode usar recursos de automação, como AWS CloudFormation StackSets criar cópias de uma política do IAM com o mesmo nome e permissões em cada conta membro. Para obter mais informações sobre CloudFormation StackSets, consulte [Trabalhando com AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) no *Guia AWS CloudFormation do usuário*.
1. Crie um conjunto de permissões em sua conta de gerenciamento e adicione sua política do IAM em **Políticas gerenciadas pelo cliente** ou **Limite de permissões**. Para obter mais detalhes sobre como criar um conjunto de permissões, consulte [Crie um conjunto de permissões](howtocreatepermissionset.md).
1. Adicione quaisquer políticas em linha, políticas AWS gerenciadas ou políticas do IAM que você tenha preparado.
1. Crie e atribua seu conjunto de permissões.
# Remover conjuntos de permissões no IAM Identity Center
Você pode remover um conjunto de permissões de usuários e grupos do IAM Identity Center no console do IAM Identity Center. Você também pode remover um conjunto de permissões de uma Conta da AWS. Para obter mais informações sobre conjuntos de permissões e como eles são usados no IAM Identify Center, consulte[Gerencie Contas da AWS com conjuntos de permissões](permissionsetsconcept.md).
**nota**
Para usar conjuntos de permissões, você precisará usar uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
------
#### [ Remove permission set from a user ]
**Remover um conjunto de permissões de um usuário**
Use esse procedimento para remover um conjunto de permissões de um usuário com o console do IAM Identity Center.
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Em **IAM Identity Center**, selecione **Usuários**.
1. Selecione o nome do usuário do qual você deseja remover um conjunto de permissões.
1. Na página Detalhes do usuário, selecione a aba **Contas da AWS**. Em **Acesso àConta da AWS **, selecione a Conta da AWS.
1. No painel direito, as permissões aplicadas para o usuário selecionado são exibidas. Selecione o conjunto de permissões que deseja remover. Em **Detalhes de acesso à conta**, selecione **Remover**.
1. Uma caixa de diálogo aparece perguntando se você deseja remover esse conjunto de permissões. Selecione **Remover**.
![\[Contas da AWS guia para um usuário do IAM Identity Center no console do IAM Identity Center.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/remove-permission-set-tutorial.png)
------
#### [ Remove permission set from a group ]
**Remover conjunto de permissões de um grupo**
Use esse procedimento para remover um conjunto de permissões de um grupo com o console do IAM Identity Center.
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Em **Permissões de várias contas**, escolha **Contas da AWS**. Selecione o link para a conta gerencial.
![\[Contas da AWS guia no console do IAM Identity Center.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sso-aws-accounts-tab.png)
1. Na aba **Usuários e grupos atribuídos**, selecione o grupo do qual você deseja remover o conjunto de permissões e, em seguida, selecione **Alterar conjunto de permissões**.
1. Na página **Alterar conjuntos de permissões**, limpe o conjunto de permissões que você deseja remover e selecione **Salvar alterações**.
------
#### [ Remove permission set from an Conta da AWS ]
Use esse procedimento para remover um conjunto de permissões da Conta da AWS com o console do IAM Identity Center.
1. Faça login no Console de gerenciamento da AWS e abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Em **Permissões de várias contas**, escolha **Contas da AWS**. Selecione o nome do Conta da AWS do qual você deseja remover o conjunto de permissões.
1. Na página **Visão geral** da Conta da AWS, escolha a aba **Conjuntos de permissões**. Selecione o conjunto de permissões que deseja remover. Em seguida, selecione **Remover**.
1. Na caixa de diálogo **Remover conjunto de permissões**, confirme se o conjunto de permissões correto está selecionado, digite **Delete** para confirmar a remoção e escolha **Remover acesso**.
------
# Excluir conjuntos de permissões no IAM Identity Center
Antes de excluir um conjunto de permissões do IAM Identity Center, você deve [removê-lo](howtoremovepermissionset.md) de todas as Contas da AWS que usam o conjunto de permissões. Para verificar o acesso dos usuários e grupos existentes, consulte [Visualizar e alterar um conjunto de permissões](howtoviewandchangepermissionset.md).
**Considerações**
+ Para usar conjuntos de permissões, você precisará usar uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
+ Se você quiser revogar uma sessão de conjunto de permissões ativa, consulte [Visualizar e encerrar sessões ativas para os usuários da força de trabalho](end-active-sessions.md).
+ Você deve remover conjuntos de permissões e atribuições de aplicações dos usuários ou grupos que deseja excluir antes de excluí-los. Caso contrário, você terá conjuntos de permissões e aplicações não atribuídos e não utilizados no IAM Identity Center.
Use o procedimento a seguir para excluir um ou mais conjuntos de permissões para que eles não possam mais ser usados por ninguém Conta da AWS na organização.
**Importante**
Todos os usuários e grupos aos quais foi atribuído esse conjunto de permissões, independentemente de quem o Conta da AWS esteja usando, não poderão mais fazer login. Para verificar o acesso dos usuários e grupos existentes, consulte [Visualizar e alterar um conjunto de permissões](howtoviewandchangepermissionset.md).
**Para excluir um conjunto de permissões de um Conta da AWS**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Selecione o conjunto de permissões que você deseja excluir e, em seguida, **Excluir**.
1. Na caixa de diálogo **Excluir conjunto de permissões**, digite o nome do conjunto de permissões para confirmar a exclusão e escolha **Excluir**. O nome diferencia maiúsculas e minúsculas.
# Configurar propriedades do conjunto de permissões
No IAM Identity Center, os administradores podem fazer as seguintes tarefas de configuração e gerenciamento para controlar o acesso do usuário e a duração da sessão.
| Tarefa | Saiba mais |
| --- | --- |
| Os administradores podem definir a duração máxima das sessões do usuário ao acessar AWS recursos por meio do IAM Identity Center. | [Defina a duração da sessão para Contas da AWS](howtosessionduration.md) |
| Os administradores podem personalizar a página inicial que os usuários veem após a autenticação bem-sucedida por meio do IAM Identity Center. | [Defina o estado do relé para acesso rápido ao Console de gerenciamento da AWS](howtopermrelaystate.md) |
| Garanta que os usuários não tenham mais acesso aos AWS recursos quando suas permissões forem revogadas. | [Use uma política de negação para revogar as permissões ativas do usuário](prereqs-revoking-user-permissions.md) |
# Defina a duração da sessão para Contas da AWS
Para cada [conjunto de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html), você pode especificar uma duração de sessão de modo a controlar quanto tempo um usuário pode ficar conectado a uma conta da Conta da AWS. Quando a duração especificada expirar, AWS o usuário sai da sessão.
Quando você cria um novo conjunto de permissões, a duração da sessão é definida como 1 hora (em segundos) por padrão. A duração mínima da sessão é de 1 hora e pode ser definida, no máximo, para 12 horas. O IAM Identity Center cria automaticamente funções do IAM em cada conta atribuída para cada conjunto de permissões e configura essas funções com uma duração máxima de sessão de 12 horas.
Quando os usuários se federam em seus Conta da AWS consoles ou quando o AWS Command Line Interface (AWS CLI) é usado, o IAM Identity Center usa a configuração de duração da sessão no conjunto de permissões para controlar a duração da sessão. Por padrão, as funções do IAM geradas pelo IAM Identity Center para conjuntos de permissões só podem ser assumidas pelos próprios usuários do IAM Identity Center, o que garante que a duração da sessão especificada no conjunto de permissões do IAM Identity Center seja aplicada.
**Importante**
Como melhor prática de segurança, recomendamos que você não defina um tempo de duração da sessão maior do que o necessário para executar a função.
Após a criação de um conjunto de permissões, você poderá atualizá-lo posteriormente para aplicar uma nova duração de sessão. Use o procedimento a seguir para modificar o tamanho da duração da sessão para um determinado conjunto de permissões.
**Como definir a duração da sessão**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha o nome do conjunto de permissões para o qual deseja alterar a duração da sessão.
1. Na página de detalhes do conjunto de permissões, à direita do título da seção **Configurações gerais**, escolha **Editar**.
1. Na página **Editar configurações gerais do conjunto de permissões**, escolha um novo valor para a **duração da sessão**.
1. Se o conjunto de permissões for provisionado em alguma Contas da AWS, os nomes das contas aparecerão abaixo **Contas da AWS para reprovisionamento** automático. Depois que o valor da duração da sessão do conjunto de permissões for atualizado, todos os Contas da AWS que usam o conjunto de permissões serão reprovisionados. Isso significa que o novo valor dessa configuração é aplicado a todos Contas da AWS que usam o conjunto de permissões.
1. Escolha **Salvar alterações**.
1. Na parte superior da página **Contas da AWS**, uma notificação é exibida.
+ Se o conjunto de permissões for provisionado em uma ou mais Contas da AWS, a notificação confirma que as Contas da AWS foram reprovisionadas com êxito e que o conjunto de permissões atualizado foi aplicado às contas.
+ Se o conjunto de permissões não estiver provisionado em um Conta da AWS, a notificação confirma que as configurações do conjunto de permissões foram atualizadas.
# Defina o estado do relé para acesso rápido ao Console de gerenciamento da AWS
Por padrão, quando um usuário entra no portal de AWS acesso, escolhe uma conta e, em seguida, escolhe a função AWS criada a partir do conjunto de permissões atribuído, o IAM Identity Center redireciona o navegador do usuário para o. Console de gerenciamento da AWS Você pode alterar esse comportamento configurando o estado de retransmissão para um URL diferente do console.
A configuração do estado de retransmissão permite que você forneça ao usuário acesso rápido ao console mais apropriado para sua função. Por exemplo, você pode definir o estado de retransmissão para o URL do console do Amazon EC2 (**https://console.aws.amazon.com/ec2/**), redirecionando o usuário para esse console quando ele escolher a função de administrador do Amazon EC2. Durante o redirecionamento para o URL padrão ou URL do estado de retransmissão, o IAM Identity Center direciona o navegador do usuário para o endpoint do console na última vez em que o usuário Região da AWS usou. Por exemplo, se um usuário encerrou sua última sessão de console na região da Europa (Estocolmo) (eu-north-1), o usuário será redirecionado para o console do Amazon EC2 nessa região.
![\[Diagrama de fluxo de trabalho para definir o estado do relé no Console de gerenciamento da AWS.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/permission_sets_relay_state_newest.png)
Para configurar o IAM Identity Center e fazer com que ele redirecione o usuário para um console em uma Região da AWS específica, inclua a especificação da região como parte do URL. Por exemplo, para redirecionar o usuário para o console do Amazon EC2 na região Leste dos EUA (Ohio) (us-east-2), especifique o URL do console do Amazon EC2 nessa região (**https://us-east-2.console.aws.amazon.com/ec2/**). Se você habilitou o IAM Identify Center na região Oeste dos EUA (Oregon) (us-west-2) e quiser direcionar o usuário para essa região, especifique. **https://us-west-2.console.aws.amazon.com**
## Configurar o estado de retransmissão
Use o procedimento a seguir para configurar o URL do estado de retransmissão de um conjunto de permissões.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha o nome do conjunto de permissões para o qual deseja definir o novo URL do estado de retransmissão.
1. Na página de detalhes do conjunto de permissões, à direita do título da seção **Configurações gerais**, escolha **Editar**.
1. Na página **Editar configurações gerais do conjunto de permissões**, em **Estado de retransmissão**, digite uma URL do console para qualquer um dos AWS serviços. Por exemplo:
**https://console.aws.amazon.com/ec2/**
**nota**
O URL do estado de retransmissão deve estar dentro do Console de gerenciamento da AWS.
1. Se o conjunto de permissões for provisionado em alguma Contas da AWS, os nomes das contas aparecerão abaixo **Contas da AWS para reprovisionamento** automático. Depois que a URL do estado de retransmissão do conjunto de permissões for atualizada, todos os Contas da AWS que usam o conjunto de permissões serão reprovisionados. Isso significa que o novo valor dessa configuração é aplicado a todos Contas da AWS que usam o conjunto de permissões.
1. Escolha **Salvar alterações**.
1. Na parte superior da página da **Organização AWS **, uma notificação é exibida.
+ Se o conjunto de permissões for provisionado em uma ou mais Contas da AWS, a notificação confirma que as Contas da AWS foram reprovisionadas com êxito e que o conjunto de permissões atualizado foi aplicado às contas.
+ Se o conjunto de permissões não estiver provisionado em uma Conta da AWS, a notificação confirma que as configurações do conjunto de permissões foram atualizadas.
**nota**
Você pode automatizar esse processo usando a AWS API, um AWS SDK ou o AWS Command Line Interface()AWS CLI. Para obter mais informações, consulte:
As ações `CreatePermissionSet` ou `UpdatePermissionSet` na [referência de API do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)
Os comandos `create-permission-set` ou `update-permission-set` na seção [https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin](https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin) da *Referência de Comandos AWS CLI *.
# Use uma política de negação para revogar as permissões ativas do usuário
Talvez seja necessário revogar o acesso de um usuário do IAM Identity Center Contas da AWS enquanto o usuário estiver usando ativamente um conjunto de permissões. Você pode remover sua capacidade de usar suas sessões de perfil do IAM ativas implementando uma política de negação para um usuário não especificado com antecedência e, quando necessário, atualizar a política de negação para especificar o usuário cujo acesso você deseja bloquear. Este tópico explica como criar uma política de negação e faz considerações sobre como implantar a política.
## Preparar-se para revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões
Você pode impedir que o usuário realize ações com um perfil do IAM que ele está usando ativamente, aplicando uma política de negação total para um usuário específico por meio de uma política de controle de serviços. Você também pode impedir que um usuário use qualquer conjunto de permissões até que você altere a senha, o que remove um malfeitor que esteja usando ativamente credenciais roubadas. Se você precisar negar o acesso amplamente e impedir que um usuário entre novamente em um conjunto de permissões ou acesse outros conjuntos de permissões, você também pode remover todo o acesso do usuário, interromper a sessão ativa do portal de acesso AWS e desabilitar o login do usuário. Consulte [Visualizar e encerrar sessões ativas para os usuários da força de trabalho](end-active-sessions.md) para saber como usar a política de negação em conjunto com outras ações para fazer uma revogação de acesso mais ampla.
### Política de negação
Você pode usar uma política de negação com uma condição que corresponda ao `UserID` do usuário do repositório de identidades do IAM Identity Center para impedir outras ações de um perfil do IAM que o usuário esteja usando ativamente. O uso dessa política evita o impacto em outros usuários que possam estar usando o mesmo conjunto de permissões quando você implantar a política de negação. Essa política usa o ID de usuário do espaço reservado, *`Add user ID here`*, para o `"identitystore:userId"` que você atualizará com o ID de usuário cujo acesso você deseja revogar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"identitystore:userId": "Add user ID here"
}
}
}
]
}
```
------
Embora você possa usar outra chave de condição, como `“aws:userId”`, `“identitystore:userId”` é garantido porque é um valor globalmente exclusivo que é associado a uma pessoa. O modo como os atributos do usuário são sincronizados a partir da fonte de identidades pode afetar o uso de `“aws:userId”` na condição e poderá ser alterado se o nome de usuário ou endereço de e-mail do usuário forem alterados.
No console do IAM Identity Center, você pode encontrar o `identitystore:userId` de um usuário navegando até **Usuários**, pesquisando o usuário pelo nome, expandindo a seção **Informações gerais** e copiando o ID do usuário. Também é conveniente interromper a sessão do portal de AWS acesso de um usuário e desativar seu acesso de login na mesma seção ao pesquisar a ID do usuário. Você pode automatizar o processo para criar uma política de negação obtendo a ID de usuário do usuário consultando o repositório de identidades. APIs
### Implantação da política de negação
Você pode usar uma ID de usuário de espaço reservado que não seja válida`Add user ID here`, como implantar a política de negação com antecedência usando uma Política de Controle de Serviços (SCP) que você anexa aos Contas da AWS usuários que possam ter acesso. Essa é a abordagem recomendada por sua facilidade e efeito rápido. Quando revogar o acesso de um usuário com a política de negação, você editará a política para substituir o ID de usuário do espaço reservado pelo ID de usuário da pessoa cujo acesso você deseja revogar. Isso impede que o usuário faça qualquer ação com qualquer permissão definida em todas as contas a que você anexar a SCP. Ela bloqueia as ações do usuário mesmo que ele use sua sessão ativa do portal de acesso AWS para navegar para outras contas e assumir outros perfis. Com o acesso do usuário totalmente bloqueado pelo SCP, você pode então desativar sua capacidade de entrar, revogar suas atribuições e interromper a sessão do portal de AWS acesso, se necessário.
Como alternativa ao uso SCPs, você também pode incluir a política Negar na política embutida de conjuntos de permissões e nas políticas gerenciadas pelo cliente que são usadas pelos conjuntos de permissões que o usuário pode acessar.
Se você precisar revogar o acesso de mais de uma pessoa, poderá usar uma lista de valores no bloco de condições, como:
```
"Condition": {
"StringEquals": {
"identitystore:userId": [" user1 userId", "user2 userId"...]
}
}
```
**Importante**
Independentemente dos métodos usados, você deve tomar qualquer outra medida corretiva e manter o ID do usuário na política por, pelo, menos 12 horas. Após esse período, todos os perfis assumidos pelo usuário expiram e você poderá então remover o ID de usuário da política de negação.
# Referenciando conjuntos de permissões em políticas de recursos, mapas de configuração do Amazon EKS Cluster e AWS KMS políticas principais
Quando você atribui um conjunto de permissões a uma AWS conta, o IAM Identity Center cria uma função com um nome que começa com`AWSReservedSSO_`.
O nome completo e o Nome de recurso da Amazon (ARN) da função usam o seguinte formato:
| Nome | ARN |
| --- | --- |
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO\$1permission-set-name\$1unique-suffix |
Se sua fonte de identidade no IAM Identity Center estiver hospedada em us-east-1, não há nenhuma *aws-region* no ARN. O nome completo e o ARN do perfil usam o seguinte formato:
| Nome | ARN |
| --- | --- |
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO\$1permission-set-name\$1unique-suffix |
Por exemplo, se você criar um conjunto de permissões que conceda acesso à AWS conta aos administradores do banco de dados, uma função correspondente será criada com o seguinte nome e ARN:
| Nome | ARN |
| --- | --- |
| AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef |
Se você excluir todas as atribuições desse conjunto de permissões na AWS conta, a função correspondente criada pelo IAM Identity Center também será excluída. Se você fizer uma nova atribuição ao mesmo conjunto de permissões posteriormente, o IAM Identity Center criará uma nova função para o conjunto de permissões. O nome e o ARN da nova função incluem um sufixo diferente e exclusivo. Neste exemplo, o sufixo exclusivo é **abcdef0123456789**.
| Nome | ARN |
| --- | --- |
| AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 |
A alteração do sufixo no novo nome e no ARN da função fará com que todas as políticas que façam referência ao nome e ao ARN originais out-of-date sejam, o que interrompe o acesso de indivíduos que usam o conjunto de permissões correspondente. Por exemplo, uma alteração no ARN da função interromperá o acesso dos usuários do conjunto de permissões se o ARN original for referenciado nas seguintes configurações:
+ No arquivo `aws-auth ConfigMap` para clusters do Amazon Elastic Kubernetes Service (Amazon EKS) quando você usa o `aws-auth ConfigMap` para acesso a cluster.
+ Em uma política baseada em recursos para uma chave AWS Key Management Service (AWS KMS). Essa política também é referenciada como política de chave.
**nota**
Recomendamos que você use as [entradas de acesso ao Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/grant-k8s-access.html) para gerenciar o acesso aos clusters do Amazon EKS. Isso permite que você use as permissões do IAM para gerenciar as entidades principais que têm acesso a um cluster do Amazon EKS. Usando as entradas de acesso ao Amazon EKS, você pode usar uma entidade principal do IAM com permissões do Amazon EKS para recuperar o acesso a um cluster sem entrar em contato com o Suporte.
Embora você possa atualizar as políticas baseadas em recursos para a maioria dos AWS serviços para fazer referência a um novo ARN para uma função que corresponda a um conjunto de permissões, você deve ter uma função de backup criada no IAM para o Amazon EKS e se AWS KMS o ARN mudar. Para o Amazon EKS, a função de backup do IAM deve existir no `aws-auth ConfigMap`. Pois AWS KMS, ele deve existir em suas principais políticas. Se você não tiver uma função de backup do IAM com permissões para atualizar a política `aws-auth ConfigMap` ou a política de AWS KMS chaves, entre em contato Suporte para recuperar o acesso a esses recursos.
## Recomendações para evitar interrupções no acesso
Para evitar interrupções no acesso devido a alterações no ARN de uma função que corresponda a um conjunto de permissões, recomendamos que você faça o seguinte.
+ **Mantenha pelo menos uma atribuição de conjunto de permissões.**
Mantenha essa atribuição nas AWS contas que contêm as funções às quais você faz referência `aws-auth ConfigMap` para o Amazon EKS, as principais políticas ou as políticas baseadas em AWS KMS recursos para outras. Serviços da AWS
Por exemplo, se você criar um conjunto de `EKSAccess` permissões e referenciar o ARN da função correspondente a partir da AWS conta`111122223333`, atribua permanentemente um grupo administrativo ao conjunto de permissões dessa conta. Como a atribuição é permanente, o IAM Identity Center não excluirá a função correspondente, o que elimina o risco de renomeação. O grupo administrativo sempre terá acesso sem o risco de escalação de privilégios.
+ **Para clusters do Amazon EKS que usam `aws-auth ConfigMap` e AWS KMS: Incluem uma função criada no IAM.**
Se você referenciar uma função ARNs para conjuntos de permissões em um `aws-auth ConfigMap` cluster do Amazon EKS ou em políticas de AWS KMS chaves para chaves, recomendamos que você também inclua pelo menos uma função criada no IAM. A função deve permitir que você acesse o cluster do Amazon EKS ou gerencie a política de AWS KMS chaves. O conjunto de permissões deve ser capaz de assumir essa função. Dessa forma, se o ARN da função de um conjunto de permissões mudar, você poderá atualizar a referência ao ARN na política de chave ou. `aws-auth ConfigMap` AWS KMS A próxima seção fornece um exemplo de como você pode criar uma política de confiança para uma função criada no IAM. A função só pode ser assumida por um conjunto de permissões `AdministratorAccess`.
## Exemplos de políticas personalizadas
A seguir há um exemplo de uma política de confiança personalizada que fornece um conjunto de permissões `AdministratorAccess` com acesso a uma função criada no IAM. Os principais elementos dessa política incluem:
+ O elemento principal dessa política de confiança especifica o principal AWS da conta. Nessa política, os diretores da AWS conta `111122223333` com `sts:AssumeRole` permissões podem assumir a função criada no IAM.
+ O `Condition element` dessa política de confiança especifica requisitos adicionais para elementos principais que podem assumir a função criada no IAM. Nessa política, o conjunto de permissões com o seguinte ARN do perfil pode assumir a função.
```
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
```
**nota**
O elemento `Condition` inclui o operador de condição `ArnLike` e usa um caractere curinga no final do ARN do perfil do conjunto de permissões, em vez de um sufixo exclusivo. Isso significa que a política permite que o conjunto de permissões assuma um perfil criado no IAM, mesmo que o ARN do perfil do conjunto de permissões seja alterado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
}
}
}
]
}
```
------
Incluir uma função que você cria no IAM em tal política fornecerá acesso emergencial aos seus clusters do Amazon EKS ou a outros AWS recursos se um conjunto de permissões ou todas as atribuições ao conjunto de permissões forem excluídas e recriadas acidentalmente. AWS KMS keys
# Controle de acesso por atributo
O controle de acesso baseado em atributo (Attribute-based access control, ABAC) é uma estratégia de autorização que define permissões com base em atributos. Você pode usar o IAM Identity Center para gerenciar o acesso aos seus AWS recursos em vários Contas da AWS atributos de usuário provenientes de qualquer fonte de identidade do IAM Identity Center. Em AWS, esses atributos são chamados de tags. Usar atributos de usuário como tags AWS ajuda a simplificar o processo de criação de permissões refinadas AWS e garante que sua força de trabalho tenha acesso somente aos AWS recursos com tags correspondentes.
Por exemplo, você pode atribuir aos desenvolvedores Bob e Sally, que são de duas equipes diferentes, o mesmo conjunto de permissões no IAM Identity Center e, em seguida, selecionar o atributo do nome da equipe para controle de acesso. Quando Bob e Sally fazem login Contas da AWS, o IAM Identity Center envia o atributo de nome da equipe na AWS sessão para que Bob e Sally possam acessar os recursos do AWS projeto somente se o atributo do nome da equipe corresponder à tag do nome da equipe no recurso do projeto. Caso Bob se mude para a equipe de Sally futuramente, você poderá modificar o acesso dele simplesmente atualizando o atributo do nome da equipe no diretório corporativo. Na próxima vez que Bob fizer login, ele terá acesso automático aos recursos do projeto de sua nova equipe sem exigir nenhuma atualização de permissões no AWS.
Essa abordagem também ajuda a reduzir o número de permissões distintas que você precisa criar e gerenciar no IAM Identity Center, pois os usuários associados aos mesmos conjuntos de permissões agora podem ter permissões exclusivas com base em seus atributos. Você pode usar esses atributos de usuário nos conjuntos de permissões e nas políticas baseadas em recursos do IAM Identity Center para implementar o ABAC em AWS recursos e simplificar o gerenciamento de permissões em grande escala.
## Benefícios
Veja a seguir outros benefícios de usar o ABAC no IAM Identify Center.
+ O **ABAC exige menos conjuntos de permissões** — Uma vez que não é necessário criar políticas diferentes para funções de tarefa diferentes, você cria menos conjuntos de permissões. Isso reduz a complexidade do gerenciamento de permissões.
+ **Usando o ABAC, as equipes podem mudar e crescer rapidamente** — as permissões para novos recursos são concedidas automaticamente com base nos atributos quando os recursos são devidamente marcados na criação.
+ **Use atributos de funcionários do seu diretório corporativo com o ABAC** — Você pode usar atributos de funcionários existentes de qualquer fonte de identidade configurada no IAM Identity Center para tomar decisões de controle de acesso no AWS.
+ **Rastreie quem está acessando os recursos** — Os administradores de segurança podem determinar facilmente a identidade de uma sessão revisando os atributos do usuário AWS CloudTrail para rastrear a atividade do usuário em. AWS
Para obter informações sobre como configurar o ABAC usando o console do IAM Identify Center, consulte[Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter informações sobre como habilitar e configurar o ABAC usando o IAM Identity Center APIs, consulte o *Guia [CreateInstanceAccessControlAttributeConfiguration](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)de referência da API do IAM Identity Center*.
**Topics**
+ [Benefícios](#abac-benefits)
+ [Lista de verificação: Configurando o ABAC AWS usando o IAM Identity Center](abac-checklist.md)
+ [Atributos para controle de acesso](attributesforaccesscontrol.md)
# Lista de verificação: Configurando o ABAC AWS usando o IAM Identity Center
Essa lista de verificação inclui as tarefas de configuração necessárias para preparar seus recursos AWS e configurar o IAM Identity Center para acesso ao ABAC. Conclua as tarefas nesta lista de verificação em ordem. Quando um link de referência levar você a um tópico, retorne a esse tópico para poder continuar com as tarefas restantes nesta lista de verificação.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/abac-checklist.html)
Depois de concluir essas etapas, os usuários que se federarem Conta da AWS usando o login único terão acesso aos AWS recursos com base nos atributos correspondentes.
# Atributos para controle de acesso
**Atributos para controle de acesso** é o nome da página no console do IAM Identity Center em que você seleciona os atributos do usuário que deseja usar nas políticas para controlar o acesso aos recursos. Você pode atribuir usuários às cargas de trabalho AWS com base nos atributos existentes na fonte de identidade dos usuários.
Por exemplo, suponha que você deseje atribuir acesso aos buckets do S3 com base nos nomes de departamento. Na página **Atributos para controle de acesso**, selecione o atributo de usuário do **Departamento** para uso com controle de acesso por atributo (ABAC). No conjunto de permissões do IAM Identity Center, você então escreve uma política que conceda acesso aos usuários somente quando o atributo **Departamento** corresponder à tag de departamento que você atribuiu aos seus buckets do S3. O IAM Identity Center passa o atributo de departamento do usuário para a conta que está sendo acessada. O atributo é então usado para determinar o acesso com base na política. Para ter mais informações sobre o ABAC, consulte [Controle de acesso por atributo](abac.md).
## Introdução
A forma como você começa a configurar atributos para controle de acesso depende da origem de identidade que você está usando. Independentemente da origem de identidade escolhida, depois de selecionar seus atributos, você precisa criar ou editar políticas de conjunto de permissões. Essas políticas devem conceder às identidades dos usuários acesso aos recursos AWS .
### Escolha de atributos ao usar o IAM Identity Center como sua origem de identidade
Ao configurar o IAM Identity Center como origem de identidade, primeiro você adiciona usuários e configura seus atributos. Em seguida, navegue até a página **Atributos para controle de acesso** e selecione os atributos que você deseja usar nas políticas. Por fim, navegue até a página **Contas da AWS** para criar ou editar conjuntos de permissões para usar os atributos do ABAC.
### Escolha de atributos ao usar AWS Managed Microsoft AD como fonte de identidade
Ao configurar o IAM Identity Center AWS Managed Microsoft AD como sua fonte de identidade, primeiro mapeie um conjunto de atributos do Active Directory para os atributos do usuário no IAM Identity Center. Em seguida, navegue até a página **Atributos para controle de acesso**. Em seguida, escolha quais atributos usar em sua configuração ABAC com base no conjunto existente de atributos de SSO mapeados do Active Directory. Por fim, crie regras ABAC usando os atributos de controle de acesso nos conjuntos de permissões para conceder às identidades dos usuários acesso aos recursos AWS . Para obter uma lista dos mapeamentos padrão dos atributos do usuário no IAM Identity Center para os atributos do usuário em seu AWS Managed Microsoft AD diretório, consulte. [Mapeamento padrão entre o IAM Identity Center e o Microsoft AD](attributemappingsconcept.md#defaultattributemappings)
### Escolher atributos ao usar um provedor de identidade externo como origem de identidade
Quando você configura o IAM Identity Center com um provedor de identidade externo (IdP) como sua origem de identidade, há duas maneiras de usar atributos para o ABAC.
+ Você pode configurar seu IdP para enviar os atributos por meio de asserções do SAML. Nesse caso, o IAM Identity Center passa o nome e o valor do atributo do IdP para avaliação da política.
**nota**
Os atributos nas asserções do SAML não estarão visíveis para você na página **Atributos para controle de acesso**. Você precisará conhecer esses atributos com antecedência e adicioná-los às regras de controle de acesso ao criar políticas. Se você decidir confiar em seus atributos externos IdPs , esses atributos sempre serão transmitidos quando os usuários se federarem Contas da AWS. Em cenários em que os mesmos atributos estão chegando ao IAM Identity Center por meio de SAML e SCIM, o valor dos atributos SCIM tem precedência nas decisões de controle de acesso.
+ Você pode configurar quais atributos usar na página **Atributos para controle de acesso** no console do IAM Identity Center. Os valores de atributos escolhidos aqui substituem os valores de qualquer atributo correspondente proveniente de um IdP por meio de uma declaração. Dependendo se você estiver usando o SCIM, considere o seguinte:
+ Se estiver usando o SCIM, o IdP sincroniza automaticamente os valores dos atributos no IAM Identity Center. Atributos adicionais necessários para o controle de acesso podem não estar presentes na lista de atributos do SCIM. Nesse caso, considere colaborar com o administrador de TI em seu IdP para enviar esses atributos ao IAM Identity Center por meio de declarações SAML usando o prefixo `https://aws.amazon.com/SAML/Attributes/AccessControl:` necessário. Para obter informações sobre como configurar atributos de usuário para controle de acesso em seu IdP para enviar por meio de asserções SAML, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) para o seu IdP.
+ Se você não estiver usando o SCIM, deverá adicionar manualmente os usuários e definir seus atributos, como se estivesse usando o IAM Identity Center como origem de identidade. Em seguida, navegue até a página **Atributos para controle de acesso** e escolha os atributos que você deseja usar nas políticas.
Para obter uma lista completa de atributos compatíveis entre atributos de usuário no IAM Identity Center e atributos de usuário externos IdPs, consulte[Atributos de provedor de identidade externo compatíveis](attributemappingsconcept.md#supportedidpattributes).
Para começar a usar o ABAC no IAM Identify Center, consulte os tópicos a seguir.
**Topics**
+ [Introdução](#abac-getting-started)
+ [Habilite e configure atributos para controle de acesso](configure-abac.md)
+ [Criar políticas de permissão para ABAC no IAM Identify Center](configure-abac-policies.md)
# Habilite e configure atributos para controle de acesso
Para usar o controle de acesso por atributo (ABAC), você deve primeiro habilitá-lo na página **Configurações** do console do IAM Identity Center ou na [API do IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html). Independentemente da fonte de identidade, você sempre pode configurar os atributos do usuário do Identity Store para uso no ABAC. No console, você pode fazer isso navegando até a aba **Atributos para controle de acesso** na página **Configurações**. Se você usa o provedor de identidades (IdP) externo como fonte de identidade, também tem a opção de receber atributos do IdP externo nas asserções do SAML. Nesse caso, você precisa configurar o IdP externo para enviar os atributos desejados. Se um atributo de uma declaração SAML também for definido como um atributo ABAC no IAM Identity Center, o IAM Identity Center enviará o valor do Identity Store como uma [tag de sessão](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) ao fazer login em uma Conta da AWS.
**nota**
Você não pode visualizar atributos configurados e enviados por um IdP externo na página **Atributos para controle de acesso** no console do IAM Identity Center. Se você estiver transmitindo atributos de controle de acesso nas asserções do SAML do seu IdP externo, esses atributos serão enviados diretamente para o Conta da AWS quando os usuários se federarem. Os atributos não estarão disponíveis no IAM Identity Center para mapeamento.
**Topics**
+ [Desabilitar atributos para controle de acesso](enable-abac.md)
+ [Selecionar atributos para controle de acesso](configure-abac-attributes.md)
+ [Desabilitar atributos para controle de acesso](disable-abac.md)
# Desabilitar atributos para controle de acesso
Use o seguinte procedimento para ativar o recurso de controle de atributos de acesso (ABAC) usando o console do IAM Identity Center.
**nota**
Se você tem conjuntos de permissões existentes e planeja habilitar o ABAC em sua instância do IAM Identity Center, restrições de segurança adicionais exigem que você primeiro tenha a política `iam:UpdateAssumeRolePolicy`. Essas restrições de segurança adicionais não são obrigatórias se você não tiver nenhum conjunto de permissões criado em sua conta.
Se sua instância do IAM Identity Center foi criada antes de dezembro de 2020 e você planeja habilitar o ABAC nela, você deve ter a `iam:UpdateAssumeRolePolicy` política associada à função administrativa do IAM Identity Center, independentemente de ter conjuntos de permissões criados em sua conta.
**Atributos para controle de acesso**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações**.
1. Na página de **Configurações**, localize a caixa **Atributos para informações de controle de acesso** e escolha **Habilitar**. Continue com o próximo procedimento para configurá-lo.
# Selecionar atributos para controle de acesso
Use o procedimento a seguir para configurar atributos para sua configuração de ABAC.
**Para selecionar seus atributos usando o console do IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Atributos para controle de acesso** e, em seguida, escolha **Gerenciar atributos**.
1. Na página **Atributos para controle de acesso**, escolha **Adicionar atributo** e insira os detalhes da **Chave** e do **Valor**. É aqui que você mapeará o atributo proveniente da sua origem de identidade para um atributo que o IAM Identity Center passa como uma tag de sessão.
![\[Detalhes de chave-valor no console do IAM Identity.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/abac_key_value.png)
A **chave** representa o nome que você está dando ao atributo para uso em políticas. Pode ser qualquer nome arbitrário, mas você precisa especificar esse nome exato nas políticas que você cria para controle de acesso. Por exemplo, digamos que você esteja usando Okta (um IdP externo) como sua fonte de identidade e precise transmitir os dados do centro de custos da sua organização como tags de sessão. Em **Chave**, você inseriria um nome com a mesma correspondência, **CostCenter**como o nome da sua chave. É importante observar que, seja qual for o nome que você escolher aqui, ele também deve ter o mesmo nome em seu `Chave da condição aws:PrincipalTag` (ou seja, `"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`).
**nota**
Use um atributo de valor único para sua chave, por exemplo, **Manager**. O IAM Identity Center não oferece suporte a atributos de vários valores para ABAC, por exemplo, **Manager, IT Systems**.
O **valor** representa o conteúdo do atributo proveniente da sua fonte de identidade configurada. Aqui você pode inserir qualquer valor da tabela de origem de identidade apropriada listada em [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md). Por exemplo, usando o contexto fornecido no exemplo mencionado acima, você analisaria a lista de atributos de IdP suportados e determinaria que a correspondência mais próxima de um atributo suportado seria **`${path:enterprise.costCenter}`** e, em seguida, iria inseri-la no campo **Valor**. Consulte a captura de tela fornecida acima para referência. Observe que você não pode usar valores de atributos externos do IdP fora dessa lista para o ABAC, a menos que use a opção de transmitir atributos por meio da asserção SAML.
1. Escolha **Salvar alterações**.
Agora que você configurou o mapeamento de seus atributos de controle de acesso, você precisa concluir o processo de configuração do ABAC. Para fazer isso, crie suas regras ABAC e adicione-as às políticas baseadas em and/or recursos de seus conjuntos de permissões. Isso é necessário para que você possa conceder acesso aos recursos AWS às identidades dos usuários. Para obter mais informações, consulte [Criar políticas de permissão para ABAC no IAM Identify Center](configure-abac-policies.md).
# Desabilitar atributos para controle de acesso
Use o procedimento a seguir para desativar o recurso ABAC e excluir todos os mapeamentos de atributos que foram configurados.
**Para desabilitar atributos para controle de acesso**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Atributos para controle de acesso** e, em seguida, escolha **Gerenciar atributos**.
1. Na página **Gerenciar atributos para controle de acesso**, escolha **Desabilitar**.
1. Na janela de diálogo **Desabilitar atributos para controle de acesso**, revise as informações e, quando estiver com tudo pronto, insira **DISABLE** e escolha **Confirmar**.
**Importante**
Essa etapa exclui todos os atributos e interrompe o uso de atributos para controle de acesso durante a federação para as Contas da AWS , independentemente de algum atributo estar presente nas asserções SAML de um provedor externo de fonte de identidade.
# Criar políticas de permissão para ABAC no IAM Identify Center
Você pode criar políticas de permissões que determinam quem pode acessar seus recursos da AWS com base nos valores de atributo configurados. Quando você habilita o ABAC e especifica atributos, o IAM Identity Center passa para o IAM o valor do atributo do usuário autenticado para uso na avaliação de políticas.
## Chave da condição aws:PrincipalTag
Você pode usar atributos de controle de acesso em seus conjuntos de permissões usando a chave de condição `aws:PrincipalTag` para criar regras de controle de acesso. Por exemplo, na política a seguir, você pode marcar todos os recursos da organização com os respectivos centros de custo. Você também pode usar um único conjunto de permissões que conceda aos desenvolvedores acesso aos recursos do centro de custos. Agora, sempre que os desenvolvedores se federarem na conta usando o login único e seu atributo de centro de custos, eles só têm acesso aos recursos em seus respectivos centros de custo. À medida que a equipe adiciona mais desenvolvedores e recursos ao projeto, você só precisa marcar os recursos com o centro de custos correto. Em seguida, você passa as informações do centro de custos na AWS sessão quando os desenvolvedores se Contas da AWS federam. Como resultado, à medida que a organização adiciona novos recursos e desenvolvedores ao centro de custos, os desenvolvedores podem gerenciar recursos alinhados a seus centros de custo sem precisar de nenhuma atualização de permissão.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
}
}
}
]
}
```
------
Para obter mais informações, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) e [EC2: Iniciar ou interromper instâncias com base na correspondência das tags principal e de recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) no *Guia do usuário do IAM*.
Se as políticas contiverem atributos inválidos em suas condições, a condição da política falhará e o acesso será negado. Para obter mais informações, consulte [Erro “Ocorreu um erro inesperado” quando um usuário tenta fazer login usando um provedor de identidades externo](troubleshooting.md#issue8).
# Compreender os perfis vinculados ao serviço do IAM Identity Center
[Service-linked roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role) (funções vinculadas a serviços) são permissões predefinidas do IAM que autorizam o IAM Identity Center a determinar e impor quais usuários têm acesso SSO a contas específicas da Contas da AWS na respectiva organização da AWS Organizations. O serviço habilita essa funcionalidade provisionando uma função vinculada ao serviço em cada Conta da AWS uma de sua organização. O serviço então permite que outros AWS serviços, como o IAM Identity Center, aproveitem essas funções para realizar tarefas relacionadas ao serviço. Para obter mais informações, consulte [AWS Organizations e funções vinculadas ao serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs).
Quando você ativa o IAM Identity Center, ele cria uma função vinculada ao serviço em todas as contas da organização em AWS Organizations. O IAM Identity Center também cria a mesma função vinculada ao serviço em todas as contas que são adicionadas posteriormente à sua organização. Essa função permite que o IAM Identify Center acesse os recursos de cada conta em seu nome. Para obter mais informações, consulte [Configurar o acesso a Contas da AWS](manage-your-accounts.md).
As funções vinculadas ao serviço que são criadas em cada uma Conta da AWS são nomeadas. `AWSServiceRoleForSSO` Para obter mais informações, consulte [As funções vinculadas ao serviço do IAM Identity Center permanecem.](using-service-linked-roles.md).
**Observações**
Se você estiver conectado à conta AWS Organizations de gerenciamento, ela usará sua função atualmente conectada e não a função vinculada ao serviço. Isso evita a escalada de privilégios.
Quando o IAM Identity Center realiza qualquer operação do IAM na conta AWS Organizations de gerenciamento, todas as operações acontecem usando as credenciais do diretor do IAM. Isso permite que os logins CloudTrail forneçam visibilidade de quem fez todas as alterações de privilégios na conta de gerenciamento.