Casos de uso de negócios do IAM

Um caso de uso de negócios simples do IAM pode ajudar você a entender as maneiras básicas de implementar o serviço para controlar o acesso que seus usuários têm à AWS. O caso de uso é descrito em termos gerais, sem a mecânica de como você pode usaria a API do IAM para obter os resultados desejados.

Este caso de uso mostra duas formas típicas que uma empresa fictícia chamada Exemplo Corp pode usar o IAM. O primeiro cenário considera o Amazon Elastic Compute Cloud (Amazon EC2). O segundo considera o Amazon Simple Storage Service (Amazon S3).

Para obter mais informações sobre como usar o IAM com outros produtos da AWS, consulte Serviços da AWS que funcionam com o IAM.

Configuração inicial da Exemplo Corp

Nikki Wolf e Mateo Jackson são os fundadores da Example Corp. No início da empresa, eles criaram uma Conta da AWS e configuraram o AWS IAM Identity Center (Centro de Identidade do IAM) para criar contas administrativas para usar com seus recursos da AWS. Quando você configura o acesso à conta para o usuário administrativo, o IAM Identity Center cria um perfil do IAM correspondente. Esse perfil, que é controlado pelo Centro de Identidade do IAM, é criado na Conta da AWS relevante, e as políticas especificadas no conjunto de permissões AdministratorAccess são anexadas ao perfil.

Como agora têm contas de administrador, Nikki e Mateo não precisam mais usar o usuário raiz para acessar sua Conta da AWS. Pretendem usar apenas o usuário raiz para concluir as tarefas que somente o usuário raiz pode executar. Depois de analisar as práticas recomendadas de segurança, configuraram a autenticação multifator (MFA) da conta para credenciais do usuário raiz e decidiram proteger as credenciais do usuário raiz.

À medida que a empresa cresce, ele contrata funcionários para trabalhar como desenvolvedores, administradores, testadores, gerentes e administradores de sistema. Nikki é responsável por operações, enquanto Mateo gerencia as equipes de engenharia. Eles configuraram um servidor de domínio do Active Directory para gerenciar as contas dos funcionários e o acesso aos recursos internos da empresa.

Para conceder aos funcionários acesso aos recursos da AWS, usam o Centro de Identidade do IAM para conectar o Active Directory da empresa à Conta da AWS.

Por terem conectado o Active Directory ao Centro de Identidade do IAM, os usuários, grupos e membros do grupo estão sincronizados e definidos. Eles devem atribuir conjuntos de permissões e perfis aos diferentes grupos para conceder aos usuários o nível correto de acesso aos recursos da AWS. Eles usam Políticas gerenciadas pela AWS para funções de trabalho no AWS Management Console para criar esses conjuntos de permissões:

• Administrador

• Faturamento

• Desenvolvedores

• Administradores de rede

• Administradores de banco de dados

• Administradores de sistemas

• Usuários de suporte

Em seguida, atribuem esses conjuntos de permissões aos perfis atribuídos aos grupos do Active Directory.

Para obter um guia detalhado que descreve a configuração inicial do Centro de Identidade do IAM, consulte Getting started (Conceitos básicos) no Guia do usuário do AWS IAM Identity Center. Para obter mais informações sobre como provisionar o acesso de usuários do Centro de Identidade do IAM, consulte Acesso via login único a contas da AWS, no Guia do usuário do AWS IAM Identity Center.

Caso de uso do IAM com o Amazon EC2

Uma empresa como a Exemplo Corp normalmente usa o IAM para interagir com serviços como o Amazon EC2. Para entender essa parte do caso de uso, você precisa de uma compreensão básica do Amazon EC2. Para obter mais informações sobre o Amazon EC2, acesse o Guia do usuário do Amazon EC2.

Permissões do Amazon EC2 para os grupos de usuários

Para fornecer controle de “perímetro”, Nikki anexa uma política ao grupo de usuários AllUsers. Esta política nega qualquer solicitação da AWS de um usuário se o endereço IP de origem estiver fora da rede corporativa da Exemplo Corp.

Na Exemplo Corp, diferentes grupos de usuários exigem diferentes permissões:

• Administradores de sistema: precisam de permissão para criar e gerenciar AMIs, instâncias, snapshots, volumes, grupos de segurança e assim por diante. Nikki anexa a política AmazonEC2FullAccess gerenciada pela AWS ao grupo de usuários SysAdmins que concede aos membros do grupo permissão para usar todas as ações do Amazon EC2.

• Desenvolvedores: precisam da capacidade de trabalhar apenas com instâncias. Mateo cria e anexa uma política ao grupo de usuários Developers (Desenvolvedores) que permite que os desenvolvedores chamem DescribeInstances, RunInstances, StopInstances, StartInstances e TerminateInstances.

  nota

  O Amazon EC2 usa chaves SSH, senhas do Windows e grupos de segurança para controlar quem tem acesso ao sistema operacional de instâncias específicas do Amazon EC2. Não há um método no sistema do IAM para permitir ou negar acesso ao sistema operacional de uma instância específica.

• Usuários de suporte: não devem ser capazes de realizar qualquer ação do Amazon EC2, exceto listar os recursos do Amazon EC2 disponíveis atualmente. Portanto, Nikki cria e anexa uma política ao grupo de usuários Support (Suporte) que apenas permite que chamem as operações de API “Describe” do Amazon EC2.

Para obter exemplos práticos dessas políticas, consulte Exemplos de políticas baseadas em identidade do IAM e Uso do AWS Identity and Access Management no Guia do usuário do Amazon EC2.

Mudança da função de trabalho do usuário

Em determinado momento, um dos desenvolvedores, Paulo Santos, muda de cargo e se torna gerente. Como gerente, Paulo torna-se parte do grupo de usuários do Support e pode abrir casos de suporte para seus desenvolvedores. Mateo muda Paulo do grupo de usuários Developers (Desenvolvedores) para o grupo de usuários Support (Suporte). Como resultado dessa mudança, a capacidade dele de interagir com instâncias do Amazon EC2 é limitada. Ele não pode executar ou iniciar instâncias. Ele também não pode interromper ou encerrar instâncias existentes, mesmo que ele tenha sido o usuário que executou ou iniciou a instância. Ele pode listar apenas as instâncias que os usuários da Exemplo Corp executaram.

Caso de uso do IAM com o Amazon S3

Empresas como a Exemplo Corp também costumam usar o IAM com o Amazon S3. John criou um bucket do Amazon S3 para a empresa chamado aws-s3-bucket.

Criação de outros usuários e grupos de usuários

Como funcionários, Zhang Wei e Maria Major precisam ser capazes de criar seus próprios dados no bucket da empresa. Eles também precisam ler e gravar dados compartilhados em que todos os desenvolvedores trabalham. Para permitir isso, Mateo organiza logicamente os dados no aws-s3-bucket usando um esquema de prefixo de chaves do Amazon S3, conforme mostrado na figura a seguir.

/aws-s3-bucket
    /home
        /zhang
        /major
    /share
        /developers
        /managers

Mateo divide /aws-s3-bucket em um conjunto de diretórios iniciais para cada funcionário e uma área compartilhada para grupos de desenvolvedores e gerentes.

Agora, Mateo cria um conjunto de políticas para atribuir permissões aos usuários e grupos de usuários:

• Acesso ao diretório home para Zhang: Mateo anexa uma política a Wei que permite a ele ler, gravar e listar qualquer objeto com o prefixo de chaves /aws-s3-bucket/home/zhang/ do Amazon S3

• Acesso ao diretório base para Mary: Mateo anexa uma política à Mary que permite a ela ler, gravar e listar objetos com o prefixo de chaves /aws-s3-bucket/home/major/ do Amazon S3

• Acesso ao diretório compartilhado para o grupo de usuários desenvolvedores: Mateo anexa uma política ao grupo de usuários que permite aos desenvolvedores ler, gravar e listar objetos em /aws-s3-bucket/share/developers/

• Acesso ao diretório compartilhado para o grupo de usuários gerentes: Mateo anexa uma política ao grupo de usuários que permite aos gerentes ler, gravar e listar objetos em /aws-s3-bucket/share/managers/

nota

O Amazon S3 não concede permissão automática ao usuário que cria um bucket ou objeto para executar outras ações naquele bucket ou objeto. Portanto, em suas políticas do IAM, você deve explicitamente conceder aos usuários permissão para usar os recursos do Amazon S3 que eles criam.

Para obter exemplos dessas políticas, consulte Controle de acesso no Guia do usuário do Amazon Simple Storage Service. Para obter informações sobre como as políticas são avaliadas no runtime, consulte Lógica da avaliação de política.

Mudança da função de trabalho do usuário

Em determinado momento, um dos desenvolvedores, Zhang Wei, muda de cargo e se torna gerente. Presumimos que ele não precise mais acessar os documentos no diretório share/developers. Mateo, como administrador, move Wei para o grupo de usuários Managers e o remove do grupo de usuários Developers. Com esta simples reatribuição, Wei obtém automaticamente todas as permissões concedidas ao grupo de usuários Managers, mas não poderá mais acessar os dados no diretório share/developers.

Integração com uma empresa de terceiros

Organizações frequentemente trabalham com empresas, consultores e prestadores de serviço parceiros. A Example Corp tem um parceiro chamado Widget Company, e uma funcionária da Widget Company chamada Shirley Rodriguez precisa colocar dados em um bucket para uso da Example Corp. Nikki cria um grupo de usuários chamado WidgetCo e um usuário chamado Shirley e adiciona Shirley ao grupo de usuários WidgetCo. Nikki também cria um bucket especial chamado aws-s3-bucket1 para Shirley usar.

Nikki atualiza as políticas existentes ou adiciona novas políticas, a fim de acomodar o parceiro Widget Company. Por exemplo, Nikki pode criar uma nova política que nega aos membros do grupo de usuários WidgetCo a capacidade de usar qualquer ação exceto gravação. Essa política será necessária apenas se houver uma política ampla que forneça a todos os usuários acesso a um amplo conjunto de ações do Amazon S3.