Para organizações que usam AWS, manter uma postura de privilégio mínimo nas operações em nuvem é cada vez mais desafiador. Este desafio surge da necessidade de construir novos sistemas de acesso, renovar as ferramentas existentes e antecipar melhorias futuras nos serviços de nuvem.
Além disso, as equipes acham complicado criar e gerenciar usuários e funções do AWS Identity and Access Management (IAM) à medida que suas equipes se expandem e exigem contas adicionais. Para resolver isso, introduziu o AWS Identity Center, anteriormente conhecido como AWS SSO, para servir como um provedor de identidade independente para login na Amazon ou integração com provedores existentes como Okta e Google.
Vamos explorar as cinco etapas essenciais para migrar para o AWS Identity Center.
Mas primeiro, por que optar pelo AWS IAM Identity Center?
A ferramenta AWS IAM tradicional da Amazon exige que as equipes configurem cada usuário ou função dentro da Amazon. E as permissões são estáticas, portanto, para fazer qualquer ajuste de permissão para qualquer usuário ou função, os administradores precisam entrar na AWS e alterar manualmente as permissões para contas específicas.
Em comparação, o IAM Identity Center oferece, por padrão, um diretório para criar usuários, organizá-los em grupos e atribuir permissões entre esses grupos. Ele também permite que os usuários gerenciem o acesso a diferentes contas e aplicativos da AWS e selecionem sua fonte de identidade preferida para uma integração tranquila em todo o ecossistema da AWS, mantendo permissões uniformes em várias contas e aplicativos.
5 etapas para provisionamento no AWS Identity Center
1. Habilitando o IAM Identity Center:
Ao configurar uma conta, comece com uma identidade de login principal chamada usuário root, que concede acesso total a todos os serviços e recursos da AWS na conta. Faça login no AWS Management Console como proprietário da conta escolhendo o usuário root. (Nota: Use o usuário root para executar as tarefas que somente ele pode realizar.)
2. Provisionamento de usuários e grupos:
No IAM Identity Center, você pode criar usuários e grupos ou integrar os existentes do Active Directory ou de outro provedor de identidade externo. No entanto, antes que o IAM Identity Center possa conceder permissões de acesso a usuários e grupos em uma conta da AWS, ele precisa ser informado sobre sua existência. Da mesma forma, os aplicativos habilitados pelo Identity Center podem interagir com usuários e grupos conhecidos pelo IAM Identity Center. O provisionamento no IAM Identity Center varia de acordo com a fonte de identidade que você usa.
3. Definindo permissões
Para definir as permissões e políticas que regem o que os usuários têm acesso em uma conta da AWS, você precisará acessar o console de administração e configurar tudo a partir daí. (Lembre-se de que com o AWS IAM Identity Center é possível reutilizar políticas existentes do AWS IAM Identity Center.)
4. Atribuição de acesso
No Identity Center, as permissões são administradas por meio de conjuntos de permissões, que são essencialmente agrupamentos de políticas do IAM. Quando um usuário ou grupo recebe um conjunto de permissões associado a uma conta, o Identity Center gerará automaticamente funções do IAM correspondentes nessa conta. Essas funções herdam configurações de política do respectivo conjunto de permissões. Além disso, cada função é equipada com uma política de confiança que garante que a função só possa ser assumida após o usuário ter sido autenticado pelo provedor de identidade federado.
5. Removendo acesso
Uma das etapas mais importantes, embora muitas vezes negligenciada, é lembrar de remover as permissões quando elas não forem mais necessárias. Isso ajuda a impor a política de segurança de princípio zero, que afirma que ninguém deve ter permissões permanentes.
Os usuários AWS IAM são um aspecto crucial do gerenciamento de acesso e permissões no ecossistema AWS. No entanto, confiar em credenciais de longo prazo pode representar muitos riscos. O uso do AWS Organizations, do AWS Identity Center e da federação de identidades pode melhorar significativamente o gerenciamento de usuários e recursos em várias contas.
Usando essas ferramentas e combinando-as com aplicativos de gerenciamento de permissões, você pode aprimorar a segurança, simplificar a administração e manter a conformidade em sua infraestrutura AWS.
Isso parece tedioso… Como posso agilizar esse fluxo de trabalho?
Existem ferramentas gratuitas como o Apono que se integram nativamente ao AWS, o que permite gerenciar o acesso aos seus buckets S3, funções e grupos IAM, clusters e muito mais.
Sobre Apono
Apono é uma plataforma de gerenciamento de acesso centralizado nativa da nuvem que mantém as organizações seguras com permissões just-in-time simples e precisas em todo o domínio DevOps. O Apono é autoatendível, leva apenas alguns minutos para ser implantado e integra-se facilmente aos seus serviços de nuvem existentes, Kubernetes, repositórios de dados e muito mais.
Experimente você mesmo e confira a página de documentação para obter informações detalhadas, casos de uso e muito mais.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
Sharon Kisluk é gerente principal de produtos da Apono, responsável pelas iniciativas de produtos estratégicos de curto e longo prazo da empresa. Ela traz mais de 10 anos de experiência como tecnóloga e construtora de produtos. Antes de Apono, Sharon realizou vários produtos…
Este site utiliza cookies para melhorar sua experiência de navegação. Ao continuar, você concorda com o uso de cookies. Para mais informações, consulte nossa Política de Privacidade.
Funcional
Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos.O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.