0% acharam este documento útil (0 voto)
22 visualizações7 páginasBootcamp Amazon Web Services - Módulo 2 - Material Complementar - BootcampAmazonWebServicesModulo2Materialcomplementar-200914-184633
Enviado por
Silas MonteiroDireitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF ou leia on-line no Scribd
0% acharam este documento útil (0 voto)
22 visualizações7 páginasBootcamp Amazon Web Services - Módulo 2 - Material Complementar - BootcampAmazonWebServicesModulo2Materialcomplementar-200914-184633
Enviado por
Silas MonteiroDireitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF ou leia on-line no Scribd
/ 7
Ya CUT ae VS
MODULO 2 | IAM
MATERIAL COMPLEMENTAR
Identity and Access Management (IAM)
OqueéolAM?
O AWS Identity and Access Management (IAM) 6 um servico web
que te ajuda a controlar o acesso aos recursos da AWS de forma
segura. Vocé usa 0 IAM para controlar quem é autenticado (fez login)
@ autorizado (tem permissoes) a usar 0s recursos.
Recursos
‘Acesso Compartithado a sua conta da AWS
Voce pode conceder permissao a outras pessoas para administrar
usar recursos em sua conta da AWS sem precisar compartilhar sua
senha ou chave de acesso.
Permissées granulares
Voce pode conceder permissdes diferentes a pessoas diferentes para recursos
diferentes. Por exemplo, voce pode permitir que alguns usuérios tenham acesso
completo ao Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage
Service (Amazon $3), Amazon DynamoDB, Amazon Redshift e outros servigos AWS.
Para outros usuarios, vocé pode permitir acesso somente leitura a apenas alguns $3
buckets, ou permissao para administrar apenas algumas C2 instances, ou para
acessar suas informagoes de faturamento mas nada mais.
Acesso seguro a recursos da AWS para aplicativos que so executados no Amazon EC2
\Vocé pode usar os recursos do IAM para fornecer credenciais com seguranca para
aplicativos executados em EC2 instances. Essas credenciais fornecem permiss6es para que
seu aplicativo acesse outros recursos da AWS. Os exemplos incluem $3 buckets e
DynamoDB tables.
Autenticagao multifator (MFA)
Voce pode adicionar autenticagao multifator a sua conta e a usuarios individuais para
seguranca extra. Com o MFA, voce ou seus usuarios devem fornecer nao apenas uma senha
‘ou chave de acesso para trabalhar com sua conta, mas também um codigo de um
dispositive especialmente configurado.
Federagao de identidades
Voce pode permitir que usuérios que j4 possuem senhas em outro lugar - por exemplo, em
sua rede corporativa ou em um provedor de identidade na internet - obtenham acesso
temporario a sua conta AWS.
Informacoes de identidade para garantia
Se vocé usa 0 AWS CloudTrail, vocé recebe registros de log que incluem informagoes sobre
quem fez solicitagoes de recursos em sua conta. Essas informagoes sao baseadas nas [AM
Identities.
Informagées de identidade para garantia
1AM suporta o processamento, armazenamento e transmissao de dados de cartao de
crédito feito por um comerciante ou provedor de servicos e foi validado como sendo
‘compativel com 0 Padrao de Seguranga de Dados (DSS) da Industria de Cartoes de
Pagamento (PCI)
Como funciona 0 IAM
IAM fornece a infraestrutura necessaria para controlar a autenticagao e a autorizacao de
sua conta,
Account ID 123456789012
Figura 1 - Fonte: docs.aws.amazon.com
nm CH
Termos
Resources
Usuario, grupo, fun¢ao, politica, provedor de identidade e objetos que sao armazenados no
IAM. Assim como em outros servigos da AWS, vocé pode adicionar, editar e remover recursos
do IAM,
Identities
Os objetos de recursos do IAM usados para identificar e agrupar. Vocé pode anexar uma
politica a uma identidade IAM. Isso inclui usudrios, grupos e fungdes.
Entities
Os objetos de recursos do |AM que a AWS usa para autenticagao. Isso inclui usuarios do IAM,
usuarios federados e fungoes do IAM assumidas
Principals
Uma pessoa ou aplicativo que usa 0 usuario raiz da conta da AWS, um usuario [AM ou uma
funcao IAM para entrar e fazer solicitacoes a AWS.
Principal
Um principal é uma pessoa ou aplicativo que pode fazer uma solicitacao para uma ago
ou operagao em um recurso da AWS. O principal é autenticado como 0 usuario raiz da
conta da AWS ou uma IAM entity para fazer solicitagoes a AWS. Como uma melhor
pratica, ndo use suas credenciais do usuario root para seu trabalho diario. Em vez disso,
crie IAM entities (usuarios e fungdes). Vocé também pode oferecer suporte a usuarios
federados ou acesso programatico para permitir que um aplicativo acesse sua conta da
AWS.
Request
Quando um principal tenta usar a AWS Management Console, a AWS API ou a AWS CLI,
ele envia uma solicitacao para a AWS. A solicitagao inclu as seguintes informacoes:
* Agées (ou operagées) - As acdes ou as operacées que o principal deseja executar.
Pode ser uma acao na AWS Management Console, uma operagao na AWS CLI ou na
AWS API.
* Recursos - O AWS resource object no qual as agdes ou operagées sao executadas.
+ Principal - A pessoa ou o aplicativo que usou uma entity (usuario ou fun¢ao) para
enviar a solicitagao. As informagdes sobre a principal incluem as politicas
associadas a entity usada pelo principal para fazer login.
+ Dados do ambiente - Informacoes sobre o endereco IP, 0 agente do usuario, o
status do SSL habilitado ou a hora do dia.
+ Dados do recurso - Dados relacionados ao recurso que esté sendo solicitado. Isso
pode incluir informagoes como o nome da tabela do DynamoDB ou uma tag em
uma instancia do Amazon EC2.
© AWS reune as informacoes da solicitagao em um contexto de solicitagao, que é usado
para avaliar e autorizar a solicitagao.
Authentication
O principal deve ser autenticado (conectado na AWS) usando suas credenciais para
enviar uma solicitagdo para a AWS. Alguns servicos, como o Amazon $3 e 0 AWS STS,
permitem algumas solicitagdes de usuarios anonimos. No entanto, eles sao a excegao a
regra.
Para se autenticar na console como um usuario root, vocé deve fazer login com seu
endereco de e-mail ¢ senha. Como um usuario IAM, fornega seu account ID ou alias e,
em seguida, seu nome de usuério e senha. Para autenticar a partir da API ou AWS CLI,
vooé deve fornecer sua chave de acesso e a chave secreta. Vocé também pode ser
solicitado a fornecer informagoes adicionais de seguranca. Por exemplo, a AWS
recomenda que vocé use a autenticacao multifator (MFA) para aumentar a seguranca
da sua conta.
Authorization
Voce também deve ter autorizacao (permissao) para concluir sua solicitagao. Durante a
autorizacdo, a AWS usa valores do contexto da solicitagao para verificar as politicas que
se aplicam a solicitacao. Em seguida, ele usa as politicas para determinar se deve
permitir ou negar a solicitagdo. A maioria das politicas séo armazenadas na AWS como
documentos JSON e especificam as permissoes para principal entities. Existem varios
tipos de politicas que podem afetar se uma solicitacao ¢ autorizada. Para fornecer aos
seus usuarios permissdes para acessar os recursos da AWS em suas proprias contas,
vocé precisa apenas de politicas baseadas em identidade. As politicas baseadas em
recursos sao populares por conceder acesso entre contas. Os outros tipos de politica
so recursos avancados e devem ser usados com cuidado.
A AWS verifica cada politica que se aplica ao contexto de sua solicitagao. Se uma unica
politica de permissdes incluir uma acao negada, a AWS nega toda a solicitagao e
interrompe a avaliagdo. Isso é chamado uma explicit deny. Como as solicitagoes sao
negadas por padrao, a AWS autoriza sua solicitacao apenas se todas as partes de sua
solicitacao forem permitidas pelas politicas de permissoes aplicaveis. A logica de
avaliagdo para uma solicitagao em uma unica conta segue estas regras gerais:
+ Por padrao, todas as solicitagdes sao negadas. (Em geral, as solicitagoes feitas
usando as credenciais de usuério root da conta da AWS para recursos na conta séo
sempre permitidas.)
+ Uma permissao explicita em qualquer politica de permissoes (baseada em
identidade ou em recursos} substitui esse padrao.
+ Aexisténcia de Organizations SCP, |AM permissions boundary, ou uma politica de
sessao substitui a permissao. Se um ou mais desses tipos de politica existir, todos
eles devem permitir a solicitagao. Caso contrario, é negado implicitamente.
+ Uma negagao explicita em qualquer politica substitui qualquer permissao.
LW.
Actions or operations
Depois que sua solicitagao for autenticada e autorizada, a AWS aprova as aces ou
operagées em sua solicitagao. As operagdes sao definidas por um servigo e incluem
coisas que vocé pode fazer em um recurso, como visualizar, criar, editar e excluir. Por
exemplo, 0 IAM oferece suporte a aproximadamente 40 acoes para um recurso de
usuario, incluindo as seguintes ages
« CreateUser
+ DeleteUser
+ GetUser
+ UpdateUser
Para permitir que um principal execute uma operacao, voce deve incluir as agdes
necessarias em uma politica que se aplica ao principal ou ao recurso afetado.
Usuario raiz, usuario [AM e Federation
Usuario raiz
Identidade unica de login que tem acesso total a todos os recursos da AWS na conta.
Usuario IAM
Identidade Unica de login que tem AWS Identity and Access Management (IAM) user 6
uma entidade que ¢ criada para representar uma pessoa ou aplicativo que o usa para
interagir com a AWS. Um usuario na AWS consiste em um nome e credenciais. Um
usuario [AM com permiss6es de administrador nao 6 a mesma coisa que o usuario raiz
da conta AWS. total a todos os recursos da AWS na conta.
Federation
A federacao de Identidade é um sistema de confianga entre duas partes com 0 objetivo
de autenticar usuarios e transmitir as informagées necessarias para autorizar seu acesso
aos recursos.
Grupos, Policies e Permiss6es
Grupos
Um grupo do IAM ¢ um conjunto de usuérios do IAM. Os grupos permitem especificar
permissoes para varios usuarios, o que pode facilitar o gerenciamento das permissoes
para esses usuarios.
Policy
Uma politica ¢ um objeto na AWS que, quando associado a uma identidade ou a um
recurso, define suas permiss6es. Por exemplo, se uma politica permitir a ago GetUser,
um usuario com essa politica podera obter informagoes de usuarios no Console de
gerenciamento da AWS, na AWS CLI ou na API da AWS.
Permissées
As permissoes nas politicas determinam se a solicitagao seré permitida ou negada.
Referéncias e fontes
As imagens e informagées técnicas foram extraidas, traduzidas e resumidas com
base na documentagao publica oficial da Amazon Web Services. Todos os direitos
autorais pertencem aos seus respectivos donos.
+https: ws,amazon.com/IAM/lat ide/intro-structure.html
shttpsi/cocs.aws.amazon.com/pt_br/lAM/atest/UserGuide/best: bi/lAM/latest/UserGuide/best practices.html
