Funções e Políticas do IAM

Funções e Políticas do IAM são essenciais para gerenciar permissões e proteger o acesso no AWS. Funções permitem delegar permissões sem compartilhar credenciais de longo prazo, enquanto políticas especificam as permissões que são concedidas ou negadas. Este capítulo explora esses componentes, fornecendo insights sobre seu uso e melhores práticas para gerenciamento seguro.

Funções do IAM atuam como credenciais de segurança temporárias que serviços da AWS, usuários ou identidades externas podem assumir. Elas aumentam a segurança ao eliminar a necessidade de credenciais estáticas, reduzindo assim a exposição de chaves de acesso. As funções podem ser:

• Funções de Serviço: Usadas por serviços da AWS como EC2 ou Lambda para interagir de forma segura com outros serviços da AWS;
• Funções de Federação de Identidade Web: Permitem que usuários autenticados por meio de provedores de identidade externos como Amazon Cognito ou Google acessem recursos da AWS;
• Funções de Federação SAML 2.0: Integram-se com diretórios corporativos para capacidades de logon único;
• Funções de Acesso entre Contas: Permitem que usuários de uma conta AWS acessem recursos em outra conta.

Cada função tem uma Política de Confiança que especifica quais entidades podem assumir a função, formando a base da relação de confiança na AWS.

Políticas do IAM definem quais ações são permitidas ou negadas em recursos AWS. Essas políticas são escritas em JSON e incluem elementos-chave como:

• Effect: Indica se a ação é permitida ou negada;
• Action: Especifica as operações que podem ser realizadas;
• Resource: Identifica os recursos AWS onde as ações podem ser executadas;
• Condition: Restrições opcionais, como restrições de tempo ou endereço IP, que determinam quando a política se aplica.

Existem dois tipos principais de políticas:

• Políticas Baseadas em Identidade: Podem ser gerenciadas (predefinidas pela AWS ou criadas personalizadamente) ou embutidas (específicas para um usuário, grupo ou função);
• Políticas Baseadas em Recursos: Anexadas diretamente a recursos como buckets S3 ou funções Lambda, definindo quais ações usuários ou funções podem realizar.

Limites de Permissões restringem ainda mais as permissões máximas que uma identidade pode ter, garantindo que nenhuma função ou usuário exceda os limites definidos.

Criar Políticas IAM pode ser feito usando o Editor Visual de Políticas da AWS para facilidade ou o Editor JSON para um controle mais detalhado. Aqui estão algumas práticas recomendadas:

• Privilégio Mínimo: Conceda apenas as permissões necessárias para a tarefa;
• Negação Explícita: Use isso para substituir qualquer permissão de permitir para segurança crítica;
• Condições: Restrinja o acesso com base em condições específicas, como tempo ou endereço IP.

Antes de implantar, use o Simulador de Políticas para testar como as políticas funcionarão em seu ambiente AWS, garantindo que funcionem conforme o esperado.

Para usar funções, anexe-as a entidades como instâncias EC2, que podem então acessar recursos como S3 usando credenciais temporárias do serviço de metadados da instância. As funções são cruciais em cenários como acesso entre contas ou identidade federada, onde usuários de sistemas externos interagem com segurança com recursos da AWS.

A segurança com funções e políticas envolve:

• Evitar Políticas Excessivamente Permissivas: Mantenha as permissões estritas para evitar vulnerabilidades de segurança;
• Auditorias Regulares: Revise periodicamente funções e políticas para manter a conformidade e a segurança;
• Condições: Use condições para refinar o controle de acesso;
• Encadeamento de Funções: Gerencie cuidadosamente para evitar escalonamentos de permissão não intencionais.

Em resumo, dominar Funções e Políticas IAM é crucial para proteger o acesso na AWS. Aplicando esses conceitos cuidadosamente, você melhora a segurança da sua infraestrutura AWS. Prossiga para o próximo módulo para aprender mais sobre as melhores práticas de segurança da AWS.