Políticas gerenciadas e em linha
Ao definir as permissões para uma identidade no IAM, você deve decidir se deseja usar uma política gerenciada pela AWS, uma política gerenciada pelo cliente ou uma política em linha. Os tópicos a seguir oferecem mais informações sobre cada um dos tipos de políticas baseadas em identidade e quando usá-las.
Tópicos
Políticas gerenciadas pela AWS
Uma política gerenciada pela AWS é uma política independente que é criada e administrada pela AWS. Política independente significa que a política tem seu próprio nome de recurso da Amazon (ARN) que inclui o nome da política. Por exemplo, arn:aws:iam::aws:policy/IAMReadOnlyAccess é uma política gerenciada da AWS. (Para obter mais informações sobre ARNs, consulte ARNs do IAM). Para obter uma lista das políticas gerenciadas do AWS para o Serviços da AWS, consulte Políticas gerenciadas pela AWS.
As políticas gerenciadas pela AWS facilitam a atribuição das devidas permissões a usuários, grupos e perfis. É mais rápido do que escrever as políticas por conta própria e contém permissões para vários casos de uso comuns.
Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Ocasionalmente, a AWS atualizará as permissões definidas em uma política gerenciada da AWS. Quando a AWS fizer isso, a atualização afetará todas as entidades principais (usuários, grupos e funções) às quais a política está anexada. É mais provável que a AWS atualize uma política gerenciada da AWS quando um novo serviço da AWS for iniciado ou novas chamadas de API se tornarem disponíveis para os serviços existentes. Por exemplo, a política gerenciada pela AWS denominada ReadOnlyAccess fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando a AWS lança um novo serviço, a AWS atualiza a política ReadOnlyAccess para adicionar permissões somente leitura para o novo serviço. As permissões atualizadas são aplicadas a todas as entidades principais às quais política estiver anexada.
As políticas gerenciadas pela AWS de acesso total definem permissões para administradores de serviço concedendo acesso total a um serviço.
As políticas gerenciadas pela AWS para usuários avançados fornecem acesso total a serviços e recursos da AWS, mas não permitem o gerenciamento de usuários e grupos.
As políticas gerenciadas pela AWS de acesso parcial fornecem níveis específicos de acesso aos serviços da AWS sem fornecer permissões de nível de acesso ao gerenciamento de permissões.
Uma categoria especialmente útil de políticas gerenciadas pela AWS são as projetadas para funções de trabalho. Essas políticas se alinham estreitamente a funções de trabalho bastante usadas no setor de TI e facilitam a concessão de permissões para essas funções de trabalho. Uma das principais vantagens de usar políticas de função de trabalho é que elas são mantidas e atualizadas pela AWS à medida que novos serviços e operações de API são introduzidos. Por exemplo, a função de trabalho AdministratorAccess fornece acesso total e delegação de permissões para cada serviço e recurso na AWS. Recomendamos usar essa política apenas para o administrador da conta. Para usuários avançados que exigem acesso completo a todos os serviços, exceto o acesso limitado ao IAM e ao Organizations, use a função de trabalho PowerUserAccess. Para obter uma lista e as descrições das políticas de função de trabalho, consulte Políticas gerenciadas pela AWS para funções de trabalho.
O seguinte diagrama ilustra as políticas gerenciadas pela AWS. O diagrama mostra três políticas gerenciadas pela AWS: AdministratorAccess, PowerUserAccess e AWSCloudTrailReadOnlyAccess. Uma única política gerenciada pela AWS pode ser anexada a entidades principais em diferentes Contas da AWS e a entidades principais diferentes em uma única Conta da AWS.
Políticas gerenciadas pelo cliente
Você pode criar políticas independentes em sua Conta da AWS que podem ser anexadas a entidades principais (usuários, grupos e perfis). Crie essas políticas gerenciadas pelo cliente para seus casos de uso específicos e você poderá alterá-las e atualizá-las quantas vezes quiser. Assim como nas políticas gerenciadas pela AWS, ao anexar uma política a uma entidade principal, você atribui à entidade as permissões que estão definidas na política. Quando você atualiza permissões na política, as alterações são aplicadas a todas as entidades principais às quais a política esteja anexada.
Uma ótima forma de criar uma política gerenciada pelo cliente é começar copiando uma política gerenciada pela AWS. Dessa forma, você sabe que a política está correta no início e basta personalizá-la para seu ambiente.
O seguinte diagrama ilustra as políticas gerenciadas pelo cliente. Cada política é uma entidade no IAM com seu próprio nome de recurso da Amazon (ARN) que inclui o nome da política. Observe que a mesma política pode ser anexada a várias entidades de segurança, por exemplo, a mesma política DynamoDB-books-app é anexada a duas funções do IAM distintas.
Para ter mais informações, consulte Criação de políticas do IAM.
Políticas em linha
A política em linha é uma política criada para uma única identidade do IAM (um usuário, grupo ou perfil). As políticas em linha mantêm um relacionamento estrito de um para um entre uma política e uma identidade. Elas são excluídas quando você exclui a identidade. Você pode criar uma política e incorporá-la em uma identidade, seja ao criar a identidade ou posteriormente. Se a política puder ser aplicada a mais de uma entidade, é melhor usar uma política gerenciada.
O seguinte diagrama ilustra as políticas em linha. Cada política é uma parte inerente do usuário, do grupo ou da função. Observe que dois perfis incluem a mesma política (DynamoDB-books-app), mas eles não compartilham uma única política. Cada perfil tem sua própria cópia da política.
