AWS usa IAM Role com External ID (padrão de segurança B2B SaaS):
- Acesse o AWS Console com uma conta que pode criar IAM Roles
- Vá em IAM → Roles → Create role
- Tipo: "AWS account" → "Another AWS account"
- Account ID: (fornecido no wizard /dashboard/conectar)
- Marque "Require external ID" e cole o External ID do wizard
- Attach policies: ReadOnlyAccess + ViewBilling (ambas AWS managed)
- Nomeie como "FairOpsReadOnly" e salve
- Copie o Role ARN e cole no wizard FairOps
O que o FairOps acessa: - Cost Explorer (custos por serviço/região) - CloudWatch (métricas de uso) - Tags (para cost allocation) - EC2/EBS/S3 describe (para detectar idle)
O que NÃO acessa: - Terminate, stop, delete, modify (qualquer ação write) - IAM (não lista usuários ou chaves) - Secrets Manager
Token session expira em 1h. Renovação automática via STS AssumeRole. Você pode revogar a qualquer momento deletando a role no console AWS.
#aws#iam#onboarding