Veja nesse guia prático como funciona um dos principais serviços de segurança da AWS, o AWS Identity and Access Management (IAM)!
O que é o AWS Identity and Access Management (IAM)?
O AWS Identity and Access Management (IAM) é um serviço regional da AWS que permite que você configure e gerencie identidades e seus tipos de acessos.
Conceitos
No AWS IAM temos alguns conceitos como usuários, grupos, funções, políticas e permissões ( do inglês seria Users, Groups, Roles e Policy Document). E o que é tudo isso e como eles se relacionam?
Usuários/Users:
Usuários são pessoas com credenciais permanentes. É importante ressaltar dois pontos:
- Sempre use o princípio do Least Privilege – que seria dar a uma identidade somente permissões que ela necessita de fato.
- Nunca compartilhe o usuário root em hipótese alguma.
Grupos/Groups:
Podemos dizer que grupos é o coletivo de usuários, sendo assim não é possível colocar um grupo dentro de outro. Um usuário pode participar de mais de um grupo, mas isso não é obrigatório.
Funções/Roles:
A função é um método de autenticação temporária.
Imagine o seguinte: ao chegar na sua casa a sua mãe/usuário root distribui a função de cada um na cozinha e você irá cozinhar. A sua função é cozinhar, mas isso não significa que você se tornou um cozinheiro, pois a ordem da sua mãe é só por hoje, logo temporária.
Desta forma, podemos anexar uma função ao usuário, grupo de usuários ou a um serviço. Entretanto, a função não é a sua permissão, continue lendo para entender…
Políticas e Permissões/Policy Document
Usuários, grupos e funções apenas autenticam, não oferecem autorização para realizar uma determinada ação, quem faz isso é a Policy Document ou Política e Permissões que após serem anexadas, oferecem um tipo específico de permissão.
Vamos voltar ao nosso exemplo da cozinha:
A sua mãe/usuário root lhe deu a função de cozinhar (algo temporário, certo?), mas não lhe deu a permissão/policy document de mexer com objetos de vidro, somente com as panelas de aço inox, pois você é um tanto desastrado, afinal ela está respeitando o Least Privilege.
Desta forma, você/usuário recebeu a função/role de cozinhar (algo temporário) com permissão (policy document) mínima de mexer somente com panelas.
Agora vamos falar de um exemplo mais próximo do nosso dia a dia?
Imagine que você precisa dar um acesso via Interface de Linha de Comando da AWS para o seu estagiário. Logo você irá criar um usuário com credenciais permanentes, após isso irá anexar uma função/role temporária de 1h com a policy document permitindo o acesso via CLI.
maria.lombardi@darede.com.br
Formada pelo SENAI em técnica em Redes de Computadores. Maria possui uma vasta e experiência e certificações em nuvem pela AWS. Atualmente ela atua Analista de Infraestrutura em Nuvem Jr em DevOPs na Darede.
