Veja nesse guia prático como funciona um dos principais serviços de segurança da AWS, o AWS Identity and Access Management (IAM)!

Veja nesse guia prático como funciona um dos principais serviços de segurança da AWS, o AWS Identity and Access Management (IAM)!

O que é o AWS Identity and Access Management (IAM)?

O AWS Identity and Access Management (IAM) é um serviço regional da AWS que permite que você configure e gerencie identidades e seus tipos de acessos.

Conceitos

No AWS IAM temos alguns conceitos como usuários, grupos, funções, políticas e permissões ( do inglês seria Users, Groups, Roles e Policy Document). E o que é tudo isso e como eles se relacionam?

Usuários/Users: 

Usuários são pessoas com credenciais permanentes. É importante ressaltar dois pontos: 

  • Sempre use o princípio do Least Privilege – que seria dar a uma identidade somente permissões que ela necessita de fato.
  • Nunca compartilhe o usuário root em hipótese alguma.

Grupos/Groups: 

Podemos dizer que grupos é o coletivo de usuários, sendo assim não é possível colocar um grupo dentro de outro. Um usuário pode participar de mais de um grupo, mas isso não é obrigatório.

Funções/Roles: 

A função é um método de autenticação temporária. 

Imagine o seguinte: ao chegar na sua casa a sua mãe/usuário root distribui a função de cada um na cozinha e você irá cozinhar. A sua função é cozinhar, mas isso não significa que você se tornou um cozinheiro, pois a ordem da sua mãe é só por hoje, logo temporária.

Desta forma, podemos anexar uma função ao usuário, grupo de usuários ou a um serviço. Entretanto, a função não é a sua permissão, continue lendo para entender…

Políticas e Permissões/Policy Document

Usuários, grupos e funções apenas autenticam, não oferecem autorização para realizar uma determinada ação, quem faz isso é a Policy Document ou Política e Permissões que após serem anexadas, oferecem um tipo específico de permissão.

Vamos voltar ao nosso exemplo da cozinha: 

A sua mãe/usuário root lhe deu a função de cozinhar (algo temporário, certo?), mas não lhe deu a permissão/policy document de mexer com objetos de vidro, somente com as panelas de aço inox, pois você é um tanto desastrado, afinal ela está respeitando o Least Privilege. 

Desta forma, você/usuário recebeu a função/role de cozinhar (algo temporário) com permissão (policy document) mínima de mexer somente com panelas.

Agora vamos falar de um exemplo mais próximo do nosso dia a dia?

Imagine que você precisa dar um acesso via Interface de Linha de Comando da AWS para o seu estagiário. Logo você irá criar um usuário com credenciais permanentes, após isso irá anexar uma função/role temporária de 1h com a policy document permitindo o acesso via CLI.


foto-Maria-Lombardi
Maria Lombardi Analista de Infraestrutura em Nuvem
maria.lombardi@darede.com.br

Formada pelo SENAI em técnica em Redes de Computadores. Maria possui uma vasta e experiência e certificações em nuvem pela AWS. Atualmente ela atua Analista de Infraestrutura em Nuvem Jr em DevOPs na Darede.

OUTRAS PUBLICAÇÕES

Darede – AWS Consulting Partner of the Year 2021 (English Version)

The APN Awards is Amazon Web Services’ recognition of the top partners in different regions around the world who in 2020 helped their customers build technology solutions for their organizations, driving digital transformation and innovation using AWS cloud services. The winners of this award have demonstrated practically how it is possible to provide the best experience in the world of cloud computing and turn it into a positive impact on businesses worldwide.

Cloud Security: a segurança na nuvem

Uma das maiores preocupações das empresas ao migrar para cloud é a segurança, por isso preparamos um artigo que explica como deixar seu ambiente mais seguro.

Rolar para cima

Nós usamos cookies para garantir e oferecer a melhor experiência de navegação em nosso site! Mais informações