O que é o Identity Access Management na AWS?

A Amazon Web Services (AWS) é uma grande parte da infraestrutura da Internet. Estimativas relatadas pelo TheVerge dizem que aproximadamente 40% de todo o tráfego da Internet é executado na AWS. Os serviços de Internet mais populares usados ​​por milhões podem ser encontrados em execução na AWS, incluindo Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify e muitos outros. Não apenas sites populares inteiros e serviços online são executados na AWS; muitos sites usam a AWS como suporte para parte de sua presença online.

Quando a AWS cai, como aconteceu de vez em quando, partes gigantescas do que é reconhecido como Internet param de funcionar. Problemas técnicos e violações de segurança podem causar essas falhas. Isso significa que a Amazon leva as questões de segurança muito a sério. A AWS protege a rede e seus clientes contra acesso não autorizado usando um gerenciamento robusto de acesso de identidade.

O que é Gerenciamento de Acesso de Identidade?

O gerenciamento de acesso de identidade (IAM) é um programa de software ou um serviço baseado na Web usado para controlar com segurança o acesso aos recursos da rede. Um sistema IAM primeiro autentica um usuário por meio de um processo de login protegido por senha e, em seguida, permite que o usuário acesse recursos de rede de acordo com suas permissões autorizadas para usá-los.

Para serviços baseados em nuvem, o gerenciamento de acesso de usuário em nuvem usa um sistema de autenticação baseado em nuvem para determinar a identidade de um usuário e permitir o acesso autorizado. A Amazon Web Services (AWS) possui um sistema de gerenciamento de acesso de identidade que funciona com o sistema de nuvem AWS.

Gerenciamento de identidade e acesso da AWS

O gerenciamento de identidade e acesso da AWS começa com a criação de uma conta da AWS. No início, um usuário tem uma identidade de login exclusiva que cria um usuário raiz com acesso total aos serviços da AWS para essa conta. A conta de usuário root usa o endereço de e-mail de uma pessoa e uma senha que ela cria para autenticação.

Os usuários da AWS devem guardar essas informações de conta de usuário raiz com muito cuidado, pois é a conta que pode acessar tudo. Consulte a seção de práticas recomendadas abaixo para saber a melhor forma de proteger essas informações.

Alguns recursos do AWS IAM incluem:

• Acesso compartilhado — Isso permite que outros usuários tenham acesso à conta da AWS usando suas credenciais de login.
• Permissões autorizadas granulares — Os usuários podem receber acesso de acordo com permissões escolhidas muito especificamente, que variam de acesso total a acesso de grupo a acesso a aplicativos até acesso a arquivos específicos protegidos por senha e tudo mais.
• Autenticação de dois fatores — Essa opção de segurança opcional exige que um usuário autorizado use a senha/chave de acesso correta e responda a um código de mensagem de texto enviado a um dispositivo ou endereço de e-mail, como o smartphone ou a conta de e-mail de um usuário.
• APIs seguras — As interfaces de programação de aplicativos seguras dão aos programas de software a capacidade de se conectar aos dados e serviços no sistema AWS que são necessários para executar suas funções.
• Federações de identidade — Isso permite que as senhas de usuários autorizados sejam armazenadas em outro lugar em outro sistema usado para identificação.
• Auditoria de uso — Ao usar o serviço AWS CloudTrial, um log completo da atividade de acesso à conta dos usuários é registrado para auditorias de segurança de TI.

Entendendo como o AIM funciona na AWS

O gerenciamento de acesso de identidade da Amazon é baseado nos princípios de uma estrutura de permissão em camadas que inclui recursos, identidades, entidades e principais.

#Recursos

Os recursos podem ser adicionados, editados ou removidos do sistema AWS IAM. Os recursos são os usuários, grupos, funções, políticas e objetos para provedores de identidade armazenados pelo sistema.

#Identidades

Esses são objetos de recursos do AWS IAM que conectam políticas a identidades para definir usuários, funções e grupos.

#Entidades

São eles que o sistema AWS IAM usa como objetos de recurso para fins de autenticação. No sistema AWS, eles são os usuários e suas funções autorizadas. Como opção, eles podem vir de um sistema de identificação federado ou SAML que fornece verificação de identidade baseada na web.

#Diretores

Pode ser um usuário individual ou um aplicativo de software autorizado reconhecido como usuário do AWS IAM ou uma função do IAM autorizada a fazer login e solicitar acesso a dados e serviços.

Práticas recomendadas para administração da AWS

Aqui estão algumas práticas recomendadas a serem seguidas para a administração da AWS.

1. Segurança da conta de usuário raiz

A conta de usuário root criada ao usar a AWS pela primeira vez tem mais poder e é a “chave mestra” para uma conta da AWS. Ele deve ser usado apenas para configurar a conta e apenas para algumas operações necessárias de gerenciamento de contas e serviços. O logon inicial requer um endereço de e-mail e uma senha.

As práticas recomendadas para proteger essa conta raiz são usar um endereço de e-mail de uso único muito complexo com pelo menos 8 caracteres (com símbolos, letras maiúsculas, letras minúsculas e números) antes do sinal “@”. Além disso, use uma senha exclusiva, diferente do endereço de e-mail que também tenha pelo menos 8 caracteres, que inclua símbolos, números, letras maiúsculas e letras minúsculas. Senhas mais longas são melhores.

Depois que a conta da AWS é completamente configurada e estabelecida, outras contas administrativas são criadas para uso regular.

Quando a necessidade da conta de usuário root para iniciar tudo estiver concluída, salve as informações de acesso à conta root em uma unidade USB, bloqueando-a com criptografia e, em seguida, mantenha a chave de criptografia separada. Coloque a unidade USB offline em um cofre trancado, onde ela possa ser mantida com segurança até que seja necessária no futuro.

2. Limitar permissões

Dê aos usuários e aplicativos apenas as permissões exatas que eles precisam para fazer seu trabalho. Seja cauteloso ao conceder acesso a informações confidenciais e serviços de missão crítica.

3. Problemas de segurança

A segurança é uma questão permanente. Ele começa com uma estrutura sólida de design de acesso de usuário e, em seguida, usa auditorias contínuas para detectar tentativas de acesso não autorizado, bem como gerenciar senhas de usuários para complexidade suficiente e alterações regulares de senha. É importante encerrar rapidamente o acesso do usuário quando ele não for mais necessário ou desejado. O uso do AWS CloudTrial para fins de auditoria é altamente recomendado.

4. Criptografia

Ao conceder acesso à AWS a partir de dispositivos que usam a Internet, certifique-se de usar criptografia ponto a ponto, como SSL, para garantir que os dados não sejam comprometidos durante o trânsito.

5. Perguntas frequentes sobre o AWS Identity Access Management

As perguntas frequentes sobre o gerenciamento de acesso de identidade da AWS abrangem alguns questionários para lidar com problemas que ajudam você no gerenciamento de acesso da AWS.

Detalhes técnicos do AWS Access Management

O gerenciamento de acesso da AWS tem um gráfico que mostra como os protocolos do IAM interagem com o sistema completo baseado em nuvem da AWS. Os protocolos do IAM incluem políticas baseadas em identidade, políticas baseadas em recursos e outras políticas usadas para autorização.

Durante o processo de autorização, o sistema da AWS verifica as políticas para decidir sobre permitir ou negar acesso.

A estrutura geral da política é baseada em um conjunto escalonado de princípios-chave que incluem:

• Apenas o usuário da conta root tem acesso total. Por padrão, todas as outras solicitações de acesso são negadas.
• Apenas uma identidade explícita ou política de recursos pode substituir o padrão do sistema.
• Um limite de permissões para uma sessão ou baseado na política estrutural de uma organização (SCP) pode substituir o acesso concedido por uma política baseada em identidade ou baseada em recursos.
• Uma regra de negação específica substitui qualquer acesso permitido em outros parâmetros.

Tutoriais do AWS IAM

A Amazon oferece tutoriais para quem deseja saber mais sobre como configurar o gerenciamento de identidade e acesso na AWS.

Os problemas relacionados à configuração do AWS IAM e seu uso adequado são complexos. Para garantir que seja mais fácil para novos clientes usarem o sistema, a Amazon produziu muitos tutoriais úteis que incluem:

• Delegar acesso do Console de faturamento ao Console de faturamento
• Usar funções do IAM para conta da AWS para delegar acesso
• Criar uma primeira política gerenciada pelo cliente
• Permitir que os usuários definam credenciais e configurações de MFA

A AWS é líder do setor por vários motivos. A Amazon precisava desses serviços em nuvem para suas operações. Tornou-se evidente que oferecer esses serviços a outras pessoas era uma oportunidade de negócios com alto potencial para a Amazon. Agora, o que começou como um negócio paralelo para a Amazon se tornou uma parte importante da infraestrutura mundial da Internet.

O uso do sistema AWS é quase onipresente com o uso da Internet como um todo. Reserve um tempo para configurar as políticas do IAM para proteger a segurança com atenção aos detalhes. Gerenciar o sistema IAM é uma alta prioridade para administradores de rede. Combine isso com auditorias regulares de segurança de TI para descobrir possíveis problemas.