iam

AWS Identity and Access Management

---

Descrição

• Oferece autenticação e autorização como serviço
• Principais aspectos do serviço:
  • Usuário-raiz
  • Usuário
  • Grupos
  • Políticas e Permissões
  • Roles

---

Aspectos

Usuário-raiz (root)

• Acesso e controle total de qualquer recurso da conta AWS
• Recomenda-se o MFA para segurança
• Não deve-se usar o usuário-raiz
• Deve-se criar um usuário no IAM com permissões restringidas

Usuários do IAM

• Inicialmente, o novo usuário não possuirá permissão nenhuma
• Segue o Princípio do privilégio mínimo
  • Um usuário recebe acesso apenas ao que ele precisa
• Deverá conceder as permissões de forma explícita com as Políticas do IAM

Políticas do IAM (Policies)

• Um arquivo JSON que comunica quais API Calls o usuário pode ou não fazer
• Define as permissões de determinado usuário, restrigindo leituras e escritas

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resoruce": "arn:aws:s3:::coffee_shop_reports"
  }
}

• Effect: Permitir ou negar uma ação
• Action: Qualquer chamada de API da AWS
• Resource: Aponta para qual recurso da AWS

Grupos do IAM

• Conjunto de usuários do IAM
• Possibilita centralização de Policies
• Assim, qualquer usuário do grupo terá as mesmas permissõess

Roles do IAM (Perfis/Funções)

• Permissões associadas
• Acessos temporários
• Sem nome de usuário ou senha
• Assumida por períodos temporários
• Fornece permissões temporárias para:
  • Recursos da AWS
  • Usuários
  • Identidades externas
  • Aplicações
  • Outros serviços da AWS

Autenticação multifator (MFA)

• Uma camada extra de segurança para a conta
• Ao logar, será solicitado um código de um dispositivo
• Esse dispositivo deverá possuir a aplicação MFA, previamente cadastrada
• Informe o código para se autenticar com êxito