AWS

Fundamentos de IAM na AWS

Entenda o que é IAM na AWS, como funcionam usuários, grupos, roles e políticas, e quais são as melhores práticas de segurança para começar do jeito certo.

2025-11-269 min

O que é IAM na AWS?

IAM (Identity and Access Management) é o serviço da AWS responsável por gerenciar quem pode fazer o quê emquais recursos. É o coração da segurança na nuvem.

Toda vez que alguém faz login no console, usa a AWS CLI, chama uma API ou acessa um recurso, o IAM está por trás autorizando (ou bloqueando) a ação. Por isso, aprender IAM cedo evita sérios problemas de segurança no futuro.

A conta root e o risco de usá-la no dia a dia

Quando você cria uma conta AWS, é gerado um usuário root, que tem acesso total e irrestrito a todos os recursos e configurações, incluindo faturamento.

Boas práticas recomendam:

  • Ativar MFA no usuário root;
  • Usá-lo apenas para tarefas críticas de conta (raramente);
  • NUNCA usar o root no dia a dia de operação;
  • Criar usuários IAM para uso cotidiano.

Pense no root como a chave-mestra do cofre: existe, mas quase nunca sai da gaveta.

Usuários, grupos e roles (papéis)

No IAM, você trabalha com três tipos principais de identidade:

Usuários IAM

Representam pessoas ou aplicações que precisam de acesso direto à AWS (via console, CLI ou API). Cada usuário pode ter:

  • Credenciais de console (login/senha);
  • Access keys (para CLI/SDK);
  • Políticas anexadas diretamente (não é o ideal).

Grupos IAM

Grupos são coleções de usuários. Em vez de anexar políticas em cada usuário, você anexa no grupo.

Exemplos:

  • grupo Desenvolvedores;
  • grupo DevOps;
  • grupo SomenteLeitura.

Você coloca as políticas nos grupos e adiciona usuários ao grupo. Isso deixa a gestão muito mais simples.

Roles (funções)

Roles não representam pessoas, e sim perfis de acesso que outros serviços assumem temporariamente.

Exemplos comuns:

  • Uma EC2 que precisa ler de um bucket S3;
  • Uma Lambda que grava logs no CloudWatch;
  • Uma aplicação em EKS que acessa um banco RDS.

Em vez de colocar access keys dentro do código (péssima prática), você atribui uma Role ao serviço, e a AWS cuida das credenciais temporárias.

O que são políticas IAM?

Políticas são documentos em JSON que descrevem quais ações são permitidas ou negadas em quais recursos, sob certas condições.

Estrutura básica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::meu-bucket-exemplo"]
    }
  ]
}

Principais tipos:

  • Políticas gerenciadas pela AWS: prontas para uso (ex: AmazonS3ReadOnlyAccess).
  • Políticas gerenciadas pelo cliente: criadas por você, reutilizáveis em múltiplas identidades.
  • Políticas inline: anexadas diretamente a um único usuário/role/grupo (menos reutilizáveis).

Para quem está começando, as políticas gerenciadas pela AWS ajudam muito a ganhar velocidade com segurança.

Princípios de segurança: mínimo privilégio e MFA

Dois princípios dominam qualquer conversa séria sobre IAM: mínimo privilégio e MFA.

  • Mínimo privilégio: cada identidade deve ter somente as permissões estritamente necessárias para executar suas tarefas.
  • MFA (Multi-Factor Authentication): adicionar um segundo fator (app, token, SMS) ao login, principalmente em contas privilegiadas.

Em produção, permissões do tipo *:* (“tudo em tudo”) são um enorme risco. Para labs é aceitável em ambientes isolados, mas nunca leve isso para o mundo real.

Boas práticas para começar com IAM

  • Proteja o usuário root com MFA e use-o o mínimo possível;
  • Crie usuários IAM individuais, nunca compartilhados;
  • Use grupos para organizar permissões por função;
  • Use roles para aplicações e serviços (EC2, Lambda, ECS, etc.);
  • Evite colocar access keys diretamente no código;
  • Revogue acessos de quem não precisa mais;
  • Revise políticas amplas e reduza privilégios com o tempo.

Segurança em Cloud não é um estado final, é um processo contínuo. IAM é onde essa jornada começa.

Próximos passos na trilha

Depois de entender os fundamentos de IAM, você está pronto para:

  • Aprofundar em políticas avançadas e condições;
  • Integrar IAM com S3, EC2, RDS e outros serviços;
  • Explorar autenticação federada (SSO, AD, etc.);
  • Construir ambientes multi-conta com segurança centralizada.

Agora, siga para o próximo módulo da trilha: Introdução ao Amazon S3, onde você vai aprender a armazenar dados de forma segura e escalável na nuvem.