-
Notifications
You must be signed in to change notification settings - Fork 95
2.3. Recursos de Gerenciamento de Acesso da AWS
Esta página visa equipar iniciantes na área de TI com conhecimento fundamental sobre segurança e gerenciamento de acesso na AWS, preparando-os para o exame AWS Certified Cloud Practitioner (CLF-C02).
Na AWS, a segurança das credenciais é primordial. Chaves de acesso servem como identificação para a comunicação programática com os serviços AWS, consistindo de um par de ID de acesso e chave de acesso secreta. Essas chaves permitem realizar operações na AWS com o mesmo poder de um usuário, sendo fundamental sua gestão cuidadosa para evitar exposição e abuso. É recomendado nunca compartilhar chaves de acesso entre usuários e utilizar roles do IAM para delegar permissões a serviços da AWS, preferindo o uso de credenciais temporárias para uma segurança aprimorada.
As políticas de senha na AWS são configuráveis e reforçam a segurança exigindo que as senhas cumpram critérios específicos de complexidade, como comprimento mínimo, e a inclusão de caracteres especiais. Além disso, podem ser configuradas para exigir a rotação de senhas periodicamente, reduzindo o risco associado ao uso prolongado de uma única senha.
Para o armazenamento seguro de credenciais, a AWS oferece duas soluções principais:
- AWS Secrets Manager, que é especialmente útil para o armazenamento e a rotação segura de segredos como chaves de API e credenciais de banco de dados. Esta ferramenta simplifica a tarefa de gerenciar o acesso a segredos, permitindo aos desenvolvedores recuperar segredos sem codificar diretamente em seus aplicativos.
- AWS Systems Manager Parameter Store, oferecendo um local centralizado para armazenar dados de configuração e segredos. Ele integra-se com o AWS Identity and Access Management (IAM), permitindo o controle fino sobre quem pode acessar esses segredos.
Analogia: Imagine as chaves de acesso como as chaves de sua casa e as políticas de senha como as regras para quem e como alguém pode obter uma cópia dessas chaves. O AWS Secrets Manager e o Parameter Store são como cofres altamente seguros, onde você guarda essas chaves, garantindo que apenas as pessoas certas, sob as condições certas, possam acessá-las.
A AWS fornece uma variedade de métodos para fortalecer a autenticação e garantir que apenas usuários autorizados possam acessar seus serviços e dados. A Autenticação Multifator (MFA) adiciona uma camada significativa de segurança, exigindo que os usuários forneçam um segundo fator de autenticação além da senha, o que pode ser um token de segurança físico ou uma mensagem SMS enviada a um dispositivo confiável.
O IAM Identity Center (SSO) permite uma gestão de acesso simplificada em várias contas e aplicações AWS, oferecendo aos usuários a capacidade de fazer login uma única vez para acessar todos os recursos autorizados, melhorando a experiência do usuário e a segurança ao mesmo tempo.
Perfis do IAM entre contas possibilitam que usuários de uma conta AWS assumam funções temporárias em outras contas, facilitando o acesso a recursos compartilhados de forma segura e controlada. Este método é essencial para empresas com múltiplas contas AWS, permitindo uma gestão de acesso eficiente e flexível entre elas. Destaca-se a importância de políticas de senha fortes e a utilização de chaves SSH para instâncias EC2, quando aplicável, como parte da estratégia de autenticação e segurança.
Analogia: A autenticação MFA é como um sistema de segurança em um banco, onde você precisa de um cartão (algo que você tem) e uma senha (algo que você sabe) para acessar o cofre. O IAM Identity Center atua como uma chave mestra digital que permite a entrada em várias portas (contas AWS), enquanto os perfis do IAM entre contas são como dar permissões temporárias para alguém entrar em sua casa e realizar tarefas específicas, sob supervisão.
O AWS Identity and Access Management (IAM) é um recurso poderoso para controlar o acesso aos recursos da AWS. Usuários são entidades individuais que representam uma pessoa ou serviço que pode interagir com a AWS. Grupos são conjuntos de usuários, facilitando a atribuição de permissões a múltiplos usuários de uma só vez, o que simplifica a administração das permissões.
Políticas personalizadas permitem definir permissões específicas com granularidade, especificando exatamente quais ações um usuário ou grupo pode realizar em recursos da AWS. Por outro lado, políticas gerenciadas são templates fornecidos pela AWS para casos de uso comuns, facilitando a aplicação de práticas recomendadas de segurança.
A combinação de usuários, grupos e políticas no IAM permite uma gestão de acesso flexível e segura, seguindo o princípio de menor privilégio, onde as entidades recebem apenas as permissões necessárias para realizar suas tarefas. É fundamental a revisão periódica das permissões e a utilização do AWS Access Analyzer para identificar permissões excessivas.
Analogia: Imagine o IAM como um sistema de bilhetagem para um grande evento. Os "usuários" são os convidados com bilhetes, os "grupos" são categorias de bilhetes (VIP, imprensa, participantes gerais), e as "políticas" definem as áreas e as atividades às quais cada tipo de bilhete dá acesso. Assim, você garante que cada participante tenha a experiência adequada ao seu bilhete, sem ultrapassar os limites estabelecidos.
O usuário-raiz de uma conta AWS tem acesso irrestrito a todos os recursos e configurações da conta. Isso inclui tarefas sensíveis como alterar configurações de faturamento, adicionar novas formas de pagamento, acessar relatórios de uso e custos, e modificar configurações avançadas de segurança. Devido ao seu poder e risco potencial, o uso do usuário-raiz deve ser limitado a tarefas que não podem ser realizadas por um usuário IAM. É recomendado criar um contato de segurança na conta AWS que receberá notificações em caso de atividades suspeitas.
Analogia: O usuário-raiz é como o dono de uma loja que possui a chave mestra. Ele pode acessar todas as partes da loja e fazer alterações fundamentais na operação e na estrutura da loja. Porém, deve-se usar essa chave com sabedoria e parcimônia, devido ao seu poder e às implicações de segurança.
Proteger o acesso do usuário-raiz é fundamental para a segurança da conta AWS. Além de restringir seu uso, a AWS recomenda enfaticamente a ativação da autenticação multifator (MFA) para o usuário-raiz. A MFA assegura que, mesmo que as credenciais de login sejam comprometidas, um atacante ainda necessitará do segundo fator de autenticação para acessar a conta. Recomenda-se o uso de um dispositivo MFA físico para maior segurança.
Analogia: Habilitar a MFA para o usuário-raiz é semelhante a instalar um sistema de alarme com reconhecimento de impressão digital em um cofre muito valioso. Mesmo que alguém descubra a combinação do cofre, sem a impressão digital correta, o conteúdo permanece seguro.
O gerenciamento de identidade federado representa uma estratégia avançada de segurança e conveniência, permitindo que organizações utilizem seus próprios sistemas de identidade para gerenciar o acesso aos recursos AWS. Isso não apenas simplifica o processo de login para os usuários, eliminando a necessidade de gerenciar múltiplas credenciais, mas também centraliza o controle de acesso, facilitando a governança e a conformidade. Discussões sobre a integração com provedores de identidade externos, como Active Directory ou serviços de identidade baseados em SAML 2.0, ilustram como essas integrações podem simplificar o acesso mantendo políticas de segurança centralizadas.
Analogia: Usar o gerenciamento de identidade federado é como ter um passe universal para parques temáticos. Em vez de comprar um novo ingresso para cada parque, você usa um passe existente, simplificando o acesso e melhorando a experiência do usuário, enquanto mantém a segurança e o controle centralizado.
Para aprofundar seus conhecimentos nos temas abordados e explorar outras funcionalidades da AWS, visite os seguintes recursos oficiais da AWS:
- AWS Security Best Practices: AWS Security Best Practices
- IAM User Guide: IAM User Guide
- AWS Multi-Factor Authentication: AWS MFA
Esses recursos oferecem uma base sólida para compreender as melhores práticas de segurança e gerenciamento de acesso na AWS, além de prepará-lo para a certificação AWS Certified Cloud Practitioner.
- 1.1. Proposta de Valor e Benefícios da AWS
- 1.2. Introdução ao AWS WAF
- 1.3. Estratégias de Migração Para a Nuvem
- 1.4. Aspectos Econômicos da Nuvem AWS
- 2.1. Modelo de Responsabilidade
- 2.2. Segurança, Governança e Conformidade
- 2.3. Recursos de Gerenciamento de Acesso
- 2.4. Componentes e Recursos de Segurança