BlogTécnico

Gerenciamento de identidade e acesso (IAM) da Amazon Web Services (AWS)

O Identity and Access Management (IAM) da Amazon Web Services (AWS) é um serviço de diretório projetado para rastrear usuários do sistema e fornecer maneiras de acompanhar informações sobre como eles são autenticados.

O IAM ajuda a acompanhar informações e autorizações de autenticação de dois fatores. Por exemplo, o proprietário de uma empresa pode criar “usuários” para quantos funcionários precisar usar uma senha ou autenticação de dois fatores. Essas senhas determinam a permissão para cada usuário assim que eles obtêm acesso a um sistema. O AWS IAM controla quais usuários são permitidos em um sistema e o que eles podem fazer ao entrar.

Como utilizar o AWS IAM

O Amazon IAM é destinado a qualquer pessoa com acesso de rota a uma conta responsável por gerenciar um grupo ou delegar privilégios para manipular um serviço, como um administrador do sistema.

Os administradores de sistema podem usar o Console de gerenciamento da AWS para configurar e encerrar instâncias, criar políticas de senha de conta (comprimento, expiração etc.) e permissões que limitam o acesso do usuário a recursos específicos da AWS e quais operações um usuário pode realizar. Eles também podem criar grupos, usuários e funções e atribuir privilégios a cada um.

Grupos diferentes podem receber privilégios diferentes. Por exemplo, o Grupo A pode editar X, Y e Z sem a capacidade de excluir, enquanto o Grupo B pode editar e excluir tudo.

Esse processo é mais do que apenas adicionar usuários. Os administradores devem monitorar rotineiramente o estado de seu sistema IAM para garantir que as pessoas corretas tenham acesso e privilégios apropriados. É imperativo pensar na gestão a longo prazo. Os administradores do sistema devem saber como remover um usuário do sistema quando ele sair da empresa e garantir que as políticas sejam implementadas para fazer backup automático de buckets e remover o acesso desses usuários para garantir total segurança.

Recursos do AWS IAM

O IAM oferece os seguintes recursos:

Acesso compartilhado à sua conta da AWS

Você pode conceder permissões a outras pessoas para administrar e usar recursos em sua conta da AWS sem a necessidade de compartilhar sua senha ou chave de acesso.

Permissões granulares

Você pode conceder permissões diferentes a pessoas diferentes para diferentes recursos. Por exemplo, você pode permitir que alguns usuários tenham acesso completo ao Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift e outros produtos da AWS. Para outros usuários, você pode permitir acesso somente leitura a apenas alguns buckets do S3 ou permissão para administrar apenas algumas instâncias do EC2 ou para acessar suas informações de faturamento, mas nada mais.

Acesso seguro a recursos da AWS para aplicações executadas no Amazon EC2

Você pode usar recursos do IAM para fornecer credenciais de forma segura às aplicações que são executadas em instâncias do EC2. Essas credenciais fornecem permissões ao aplicativo para acessar outros recursos da AWS. Os exemplos incluem buckets do S3 e tabelas do DynamoDB.

Autenticação multifator (MFA) com AWS IAM

Você pode adicionar a autenticação de dois fatores à sua conta e a usuários individuais para proporcionar segurança extra. Com a MFA, você ou seus usuários devem fornecer não apenas uma senha ou chave de acesso para trabalhar com a sua conta, mas também um código de um dispositivo especialmente configurado.

Federação de identidades

Você pode permitir que os usuários que já têm senhas em outro lugar, por exemplo, em sua rede corporativa ou com um provedor de identidade de Internet, obtenham acesso temporário à sua conta da AWS.

Informações de identidade para garantia

Se você usar o AWS CloudTrail, receberá registros de log com informações sobre quem fez solicitações de recursos na sua conta. Essas informações são baseadas em identidades do IAM.

Compatibilidade com PCI DSS

O IAM é compatível com o processamento, o armazenamento e a transmissão de dados de cartão de crédito por um comerciante ou um provedor de serviços e foi aprovado como estando em conformidade com o Data Security Standard (DSS – Padrão de Segurança de Dados) da Payment Card Industry (PCI – Indústria de Pagamento com Cartão). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

Integrados com muitos serviços da AWS

Para obter uma lista dos produtos da AWS que funcionam com o IAM, consulte AWSProdutos da compatíveis com o IAM.

Finalmente consistente

O IAM, como muitos outros produtos da AWS, oferece consistência final. O IAM atinge alta disponibilidade ao replicar dados em vários servidores dentro de datacenters da Amazon em todo o mundo. Se uma solicitação para alterar alguns dados for bem-sucedida, a alteração estará comprometida e armazenada com segurança. No entanto, a alteração deverá ser replicada em todo o IAM, o que pode levar algum tempo.

Essas alterações incluem a criação ou a atualização de usuários, grupos, funções ou políticas. Recomendamos que você não inclua essas alterações do AWS IAM nos caminhos de código crítico de alta disponibilidade do seu aplicativo. Em vez disso, faça alterações do IAM em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas.

Uso gratuito do AWS IAM

O AWS Identity and Access Management (IAM) e o AWS Security Token Service (AWS STS) são recursos da conta da AWS oferecidos sem custo adicional. Você só será cobrado quando acessar outros produtos da AWS usando seus usuários do IAM ou as credenciais de segurança temporárias do AWS STS.

Fontes: https://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/introduction.html e https://searchaws.techtarget.com/definition/Amazon-Web-Services-AWS-Identity-and-Access-Management-IAM

Conheça ITExperts e nossas soluções em cloud para Educação.

Solução em infraestrutura educacional.

Mantenha-se atualizado

Leia também

BlogTecnologia e Educação

Entenda como o aprendizado de máquina está revolucionando a educação

Quero saber mais
BlogTécnico

Gêmeos Digitais na AWS: Acelerando resultados de negócio

Quero saber mais
BlogTécnico

Quem inventou a computação em nuvem?

Quero saber mais
Abra o chat
Olá, gostaria de um atendimento?
Olá! No que podemos te ajudar?