Características do AWS IAM e AWS IAM Identity Center
AWS é o maior provedor de nuvem do mundo. De acordo com o Synergy Research Group, a AWS tem uma participação de mercado de 32% no setor de provedores de nuvem (IaaS ou infraestrutura como serviço). Para organizações que gerenciam permissões de usuários e grupos, acesso a contas e recursos, a AWS oferece dois serviços: AWS Identity and Access Management (IAM) e AWS IAM Identity Center.
Existem várias semelhanças entre os serviços: ambos supervisionam o gerenciamento de acesso, garantem que seus usuários tenham acesso apenas aos recursos de que precisam e podem ser gerenciados centralmente com um provedor de identidade externo (IdP). Dadas as semelhanças, veremos o motivo de uma organização escolher um em vez de outro
Existem várias semelhanças entre os serviços: ambos supervisionam o gerenciamento de acesso, garantem que seus usuários tenham acesso apenas aos recursos de que precisam e podem ser gerenciados centralmente com um provedor de identidade externo (IdP). Dadas as semelhanças, veremos o motivo de uma organização escolher um em vez de outro
Conta
Uma conta AWS é um contêiner de recursos AWS. Usar várias contas da AWS é uma prática recomendada para escalar ambientes, pois fornece um limite natural de faturamento para custos, isola recursos para segurança, dá flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos de negócios.
Uma conta AWS é um contêiner de recursos AWS. Usar várias contas da AWS é uma prática recomendada para escalar ambientes, pois fornece um limite natural de faturamento para custos, isola recursos para segurança, dá flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos de negócios.
Organização
Uma organização AWS é uma coleção de contas AWS que podem ser organizadas em uma hierarquia e gerenciadas centralmente. As organizações ajudam a criar novas contas de forma programática e a alocar recursos, além de simplificar o faturamento configurando um único método de pagamento para todas as contas. Além disso, o AWS Organizations é integrado a outros serviços da AWS para que os administradores possam definir configurações centrais, mecanismos de segurança e compartilhamento de recursos entre contas.
Uma organização AWS é uma coleção de contas AWS que podem ser organizadas em uma hierarquia e gerenciadas centralmente. As organizações ajudam a criar novas contas de forma programática e a alocar recursos, além de simplificar o faturamento configurando um único método de pagamento para todas as contas. Além disso, o AWS Organizations é integrado a outros serviços da AWS para que os administradores possam definir configurações centrais, mecanismos de segurança e compartilhamento de recursos entre contas.
Usuário
Um usuário da AWS é uma identidade da AWS criada diretamente no console de administração do AWS IAM ou do AWS IAM Identity Center que consiste em um nome e credenciais.
Um usuário da AWS é uma identidade da AWS criada diretamente no console de administração do AWS IAM ou do AWS IAM Identity Center que consiste em um nome e credenciais.
Usuário Federado
Um usuário federado é uma identidade de usuário criada e gerenciada centralmente e autenticada por um provedor de identidade externo. Os usuários federados assumem uma função ao acessar contas da AWS.
Um usuário federado é uma identidade de usuário criada e gerenciada centralmente e autenticada por um provedor de identidade externo. Os usuários federados assumem uma função ao acessar contas da AWS.
Grupo
Um grupo é uma coleção de usuários. Os grupos permitem que os administradores especifiquem permissões para vários usuários, o que pode facilitar o gerenciamento das permissões. Qualquer usuário nesse grupo terá automaticamente as permissões atribuídas ao grupo. Qualquer usuário removido do grupo perderá essas permissões. Por exemplo, se Bob colocar um novo funcionário no grupo Engenharia, que tem acesso à conta de produção do Lambda e do DynamoDB, o novo funcionário também terá acesso aos recursos dessa conta.
Um grupo é uma coleção de usuários. Os grupos permitem que os administradores especifiquem permissões para vários usuários, o que pode facilitar o gerenciamento das permissões. Qualquer usuário nesse grupo terá automaticamente as permissões atribuídas ao grupo. Qualquer usuário removido do grupo perderá essas permissões. Por exemplo, se Bob colocar um novo funcionário no grupo Engenharia, que tem acesso à conta de produção do Lambda e do DynamoDB, o novo funcionário também terá acesso aos recursos dessa conta.
Role
Uma role é semelhante a um usuário, pois é uma identidade da AWS com permissões e políticas que determinam o que a identidade pode ou não fazer em uma conta da AWS. No entanto, em vez de ser associado exclusivamente a uma pessoa, pretende-se que uma role seja assumida por qualquer pessoa que dela necessite. Uma role não possui credenciais padrão de longo prazo, como senha ou chaves de acesso associadas a ela. Em vez disso, quando um usuário assume uma role, ele fornece um conjunto de credenciais de segurança temporárias para essa sessão. Os administradores podem usar roles para delegar acesso a usuários, aplicativos ou serviços que normalmente não têm acesso a esses recursos da AWS.
Uma role é semelhante a um usuário, pois é uma identidade da AWS com permissões e políticas que determinam o que a identidade pode ou não fazer em uma conta da AWS. No entanto, em vez de ser associado exclusivamente a uma pessoa, pretende-se que uma role seja assumida por qualquer pessoa que dela necessite. Uma role não possui credenciais padrão de longo prazo, como senha ou chaves de acesso associadas a ela. Em vez disso, quando um usuário assume uma role, ele fornece um conjunto de credenciais de segurança temporárias para essa sessão. Os administradores podem usar roles para delegar acesso a usuários, aplicativos ou serviços que normalmente não têm acesso a esses recursos da AWS.
Conjunto de permissões do AWS IAM Identity Center
Um conjunto de permissões define o nível de acesso que um usuário tem aos recursos da AWS em uma conta da AWS. Para Bob, depois de fornecer acesso às contas necessárias no AWS IAM Identity Center, ele poderá usar conjuntos de permissões predefinidos ou personalizados para controlar o nível de acesso.
AWS IAM
O AWS Identity and Access Management permite que os administradores gerenciem o acesso aos serviços e recursos da AWS em uma conta da AWS com segurança para o que ele chama de “entidades”: usuários do IAM criados no console de administração do AWS IAM, usuários federados, código de aplicativo ou outro serviço da AWS. Os administradores podem criar e gerenciar usuários e grupos da AWS diretamente e usar permissões para permitir e negar acesso aos recursos da AWS. Os administradores criam funções para gerenciar o acesso de todas as outras entidades.
Por exemplo, se Bob quiser controlar quem tem acesso a um bucket específico do S3 Standard, ele poderá criar uma função e adicionar permissões a essa função para controlar quais usuários terão acesso.
Por exemplo, se Bob quiser controlar quem tem acesso a um bucket específico do S3 Standard, ele poderá criar uma função e adicionar permissões a essa função para controlar quais usuários terão acesso.
AWS IAM Identity Center
O AWS IAM Identity Center também gerencia o acesso aos serviços e recursos da AWS. A diferença entre AWS IAM e AWS IAM Identity Center é que o último gerencia o acesso a todas as contas AWS dentro de uma organização AWS, bem como o acesso a outros aplicativos em nuvem, por exemplo, Salesforce.
O AWS IAM Identity Center inclui um portal de usuário onde os usuários finais podem encontrar e acessar suas contas atribuídas da AWS, aplicativos em nuvem e aplicativos personalizados em um só lugar.
AWS IAM vs. AWS IAM Identity Center
Adicionando contas
Você tem 10 contas AWS. Você precisa criar duas novas contas AWS, uma conta de teste e uma conta de produção para Lambda e DynamoDB, para isolar seus ambientes e garantir o acesso adequado.
Usando o AWS IAM, você precisará criar duas novas contas após o processo de inscrição.
Usando o AWS IAM Identity Center, você precisará abrir o serviço AWS Organizations e adicionar duas novas contas a partir dele.
Você tem 10 contas AWS. Você precisa criar duas novas contas AWS, uma conta de teste e uma conta de produção para Lambda e DynamoDB, para isolar seus ambientes e garantir o acesso adequado.
Usando o AWS IAM, você precisará criar duas novas contas após o processo de inscrição.
Usando o AWS IAM Identity Center, você precisará abrir o serviço AWS Organizations e adicionar duas novas contas a partir dele.
Configurando provedores de identidade
Você está usando o JumpCloud como seu único provedor de identidade.
O AWS IAM oferece suporte à configuração de vários provedores de identidade por conta. Usando o AWS IAM, você precisará fazer login em cada conta da AWS e configurar o JumpCloud como provedor de identidade.
O AWS IAM Identity Center oferece suporte apenas a um único provedor de identidade. Usando o AWS IAM Identity Center, você configura o JumpCloud como seu provedor de identidade uma vez, e o JumpCloud se torna o provedor de identidade para todas as suas contas AWS novas e existentes.
O AWS IAM oferece suporte à configuração de vários provedores de identidade por conta. Usando o AWS IAM, você precisará fazer login em cada conta da AWS e configurar o JumpCloud como provedor de identidade.
O AWS IAM Identity Center oferece suporte apenas a um único provedor de identidade. Usando o AWS IAM Identity Center, você configura o JumpCloud como seu provedor de identidade uma vez, e o JumpCloud se torna o provedor de identidade para todas as suas contas AWS novas e existentes.
Definição de permissões e roles
Você precisa definir as permissões e políticas que regem o que seus usuários podem ou não fazer em uma conta da AWS e a quais recursos da AWS eles têm acesso. Assim você precisará fazer isso no console de administração do serviço que está usando.
Usando o AWS IAM, você precisará fazer login em cada conta da AWS e criar novas funções ou, a partir de uma conta da AWS, Conta A, criar políticas que permitam que uma função seja assumida em outra conta da AWS e controlar o nível de acesso ao S3, Lambda e/ou CloudWatch na Conta B, por exemplo.
Usando o AWS IAM, você precisará fazer login em cada conta da AWS e criar novas funções ou, a partir de uma conta da AWS, Conta A, criar políticas que permitam que uma função seja assumida em outra conta da AWS e controlar o nível de acesso ao S3, Lambda e/ou CloudWatch na Conta B, por exemplo.
Usando o AWS IAM Identity Center, você pode reutilizar políticas e conjuntos de permissões existentes do AWS IAM Identity Center. As políticas e os conjuntos de permissões são definidos no nível da organização e aplicados a grupos ou usuários no nível da conta. Se as que já estão definidas não forem aplicáveis a essas novas contas, você poderá criar novas no console de administração do AWS IAM Identity Center.
Provisionamento de usuários e grupos
Usando o AWS IAM, os usuários federados fazem login como uma função e não como sua identidade de usuário específica. Bob não precisa criar usuários ou grupos. Se você tiver uma necessidade específica de criar uma conta de usuário que não seja gerenciada por um provedor de identidade e possa fazer login como uma identidade de usuário, você precisará criar um usuário diretamente no AWS IAM. Se você tiver um caso de uso para ter vários usuários da AWS, você poderá criar grupos para organizar esses usuários e simplificar a atribuição de acesso a esses usuários.
Usando o AWS IAM Identity Center, você pode configurar uma integração SCIM e criar usuários automaticamente no AWS IAM Identity Center quando forem criados em seu provedor de identidade. Caso contrário, você precisaria criar usuários e grupos manualmente no console de administração do AWS IAM Identity Center.
Usando o AWS IAM, os usuários federados fazem login como uma função e não como sua identidade de usuário específica. Bob não precisa criar usuários ou grupos. Se você tiver uma necessidade específica de criar uma conta de usuário que não seja gerenciada por um provedor de identidade e possa fazer login como uma identidade de usuário, você precisará criar um usuário diretamente no AWS IAM. Se você tiver um caso de uso para ter vários usuários da AWS, você poderá criar grupos para organizar esses usuários e simplificar a atribuição de acesso a esses usuários.
Usando o AWS IAM Identity Center, você pode configurar uma integração SCIM e criar usuários automaticamente no AWS IAM Identity Center quando forem criados em seu provedor de identidade. Caso contrário, você precisaria criar usuários e grupos manualmente no console de administração do AWS IAM Identity Center.
Atribuindo acesso
Com as funções definidas, você está pronto para atribuir funções aos seus usuários e grupos.
Usando o AWS IAM, as funções são atribuídas a usuários federados usando atributos na declaração SAML para cada conta da AWS. Para cada função, você precisará definir um atributo de função no nível do conector, grupo ou usuário no JumpCloud. Você precisará obter o nome de recurso da Amazon (ARN) para cada conta e cada uma das funções que definiu e construir o valor do atributo SAML a partir dos ARNs da função e da conta.
Com as funções definidas, você está pronto para atribuir funções aos seus usuários e grupos.
Usando o AWS IAM, as funções são atribuídas a usuários federados usando atributos na declaração SAML para cada conta da AWS. Para cada função, você precisará definir um atributo de função no nível do conector, grupo ou usuário no JumpCloud. Você precisará obter o nome de recurso da Amazon (ARN) para cada conta e cada uma das funções que definiu e construir o valor do atributo SAML a partir dos ARNs da função e da conta.
Usando o AWS IAM Identity Center, as funções são atribuídas por meio de associação ao grupo ou diretamente ao usuário para cada conta da AWS. Depois que os grupos forem criados, você precisará atribuir permissões a cada grupo em cada conta. Você é capaz de refinar ainda mais quem dentro do grupo obtém as permissões usando tags, que usam atributos específicos do usuário, como departamento ou função, para determinar se a permissão deve ser concedida.
Essas permissões serão então herdadas pelos usuários que são membros do grupo e atendem a quaisquer condições adicionais da(s) permissão(ões). Se houver determinados usuários que precisem de privilégios específicos além dos que herdam de seu grupo, você poderá atribuir permissões a esses usuários diretamente em cada conta.
Essas permissões serão então herdadas pelos usuários que são membros do grupo e atendem a quaisquer condições adicionais da(s) permissão(ões). Se houver determinados usuários que precisem de privilégios específicos além dos que herdam de seu grupo, você poderá atribuir permissões a esses usuários diretamente em cada conta.
Conclusão:
O AWS IAM Identity Center é ideal para gerenciar várias contas da AWS. Com seu grupo de engenharia configurado no AWS IAM Identity Center, você agora pode conceder aos usuários acesso às contas necessárias no nível do usuário ou do grupo.
No serviço AWS IAM Identity Center, se você quiser conceder ao seu grupo de engenharia acesso à conta de produção do Lambda e do DynamoDB, tudo o que você precisará fazer é selecionar contas da AWS, marcar a caixa da conta e atribuir ao grupo ou nível de usuário. Para aprimorar ainda mais o tipo de acesso que seus usuários ou grupos têm, você terá que especificar os níveis de permissão. Isso inclui o uso de permissões existentes, ou seja, usuário avançado, ou a criação de um conjunto de permissões personalizado.
Um benefício adicional do AWS IAM Identity Center é que qualquer novo usuário adicionado ao grupo receberá automaticamente o mesmo nível de acesso que outros membros do grupo. Se você adicionar Mary Adams ao grupo de Engenharia, ela também receberá acesso de usuário avançado à conta de produção do Lambda e do DynamoDB.
Curiosamente, a AWS também está incentivando seus usuários a mudarem do AWS IAM para o AWS IAM Identity Center. Na guia de provedores de identidade do AWS IAM, a Amazon tem um banner promovendo o AWS IAM Identity Center.
No serviço AWS IAM Identity Center, se você quiser conceder ao seu grupo de engenharia acesso à conta de produção do Lambda e do DynamoDB, tudo o que você precisará fazer é selecionar contas da AWS, marcar a caixa da conta e atribuir ao grupo ou nível de usuário. Para aprimorar ainda mais o tipo de acesso que seus usuários ou grupos têm, você terá que especificar os níveis de permissão. Isso inclui o uso de permissões existentes, ou seja, usuário avançado, ou a criação de um conjunto de permissões personalizado.
Um benefício adicional do AWS IAM Identity Center é que qualquer novo usuário adicionado ao grupo receberá automaticamente o mesmo nível de acesso que outros membros do grupo. Se você adicionar Mary Adams ao grupo de Engenharia, ela também receberá acesso de usuário avançado à conta de produção do Lambda e do DynamoDB.
Curiosamente, a AWS também está incentivando seus usuários a mudarem do AWS IAM para o AWS IAM Identity Center. Na guia de provedores de identidade do AWS IAM, a Amazon tem um banner promovendo o AWS IAM Identity Center.
Nenhum comentário:
Postar um comentário