Veja nesse guia prático como funciona um dos principais serviços de segurança da AWS, o AWS Identity and Access Management (IAM)!

O que é o AWS Identity and Access Management (IAM)?

O AWS Identity and Access Management (IAM) é um serviço regional da AWS que permite que você configure e gerencie identidades e seus tipos de acessos.

Conceitos

No AWS IAM temos alguns conceitos como usuários, grupos, funções, políticas e permissões ( do inglês seria Users, Groups, Roles e Policy Document). E o que é tudo isso e como eles se relacionam?

Usuários/Users: 

Usuários são pessoas com credenciais permanentes. É importante ressaltar dois pontos: 

  • Sempre use o princípio do Least Privilege – que seria dar a uma identidade somente permissões que ela necessita de fato.
  • Nunca compartilhe o usuário root em hipótese alguma.

Grupos/Groups: 

Podemos dizer que grupos é o coletivo de usuários, sendo assim não é possível colocar um grupo dentro de outro. Um usuário pode participar de mais de um grupo, mas isso não é obrigatório.

Funções/Roles: 

A função é um método de autenticação temporária. 

Imagine o seguinte: ao chegar na sua casa a sua mãe/usuário root distribui a função de cada um na cozinha e você irá cozinhar. A sua função é cozinhar, mas isso não significa que você se tornou um cozinheiro, pois a ordem da sua mãe é só por hoje, logo temporária.

Desta forma, podemos anexar uma função ao usuário, grupo de usuários ou a um serviço. Entretanto, a função não é a sua permissão, continue lendo para entender…

Políticas e Permissões/Policy Document

Usuários, grupos e funções apenas autenticam, não oferecem autorização para realizar uma determinada ação, quem faz isso é a Policy Document ou Política e Permissões que após serem anexadas, oferecem um tipo específico de permissão.

Vamos voltar ao nosso exemplo da cozinha: 

A sua mãe/usuário root lhe deu a função de cozinhar (algo temporário, certo?), mas não lhe deu a permissão/policy document de mexer com objetos de vidro, somente com as panelas de aço inox, pois você é um tanto desastrado, afinal ela está respeitando o Least Privilege. 

Desta forma, você/usuário recebeu a função/role de cozinhar (algo temporário) com permissão (policy document) mínima de mexer somente com panelas.

Agora vamos falar de um exemplo mais próximo do nosso dia a dia?

Imagine que você precisa dar um acesso via Interface de Linha de Comando da AWS para o seu estagiário. Logo você irá criar um usuário com credenciais permanentes, após isso irá anexar uma função/role temporária de 1h com a policy document permitindo o acesso via CLI.


foto-Maria-Lombardi
Maria Lombardi Analista de Infraestrutura em Nuvem
maria.lombardi@darede.com.br

Formada pelo SENAI em técnica em Redes de Computadores. Maria possui uma vasta e experiência e certificações em nuvem pela AWS. Atualmente ela atua Analista de Infraestrutura em Nuvem Jr em DevOPs na Darede.

OUTRAS PUBLICAÇÕES

Arquitetura Docker

Por Thiago Marques O pai ta on!! Até agora entendemos o que é um container, como o Docker funciona sob esse modelo e como utilizar

Nós usamos cookies para garantir e oferecer a melhor experiência de navegação em nosso site! Mais informações