Resiliência no AWS Identity and Access Management - AWS Identity and Access Management

Resiliência no AWS Identity and Access Management

A infraestrutura global da AWS é criada com base em regiões da AWS e zonas de disponibilidade. As regiões da AWS As regiões têm várias zonas de disponibilidade fisicamente separadas e isoladas, que são conectadas com redes de baixa latência, alto throughput e alta redundância. Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte Infraestrutura global da AWS.

O AWS Identity and Access Management (IAM) e o AWS Security Token Service (AWS STS) são serviços autossustentáveis baseados em região que estão disponíveis globalmente.

O IAM é um AWS service (Serviço da AWS) essencial. Toda operação realizada na AWS deve ser autenticada e autorizada pelo IAM. O IAM verifica cada solicitação em relação às identidades e políticas armazenadas no IAM para determinar se a solicitação é permitida ou negada. O IAM foi projetado com um ambiente de gerenciamento e um plano de dados para que o serviço faça autenticações mesmo durante falhas inesperadas. Os recursos do IAM usados em autorizações, como perfis e políticas, são armazenados no ambiente de gerenciamento. Os clientes do IAM podem alterar a configuração desses recursos usando as operações do IAM, como DeletePolicy e AttachRolePolicy. Essas solicitações de alteração de configuração vão para o ambiente de gerenciamento. Há um único ambiente de gerenciamento do IAM para todas as Regiões da AWS comerciais e ele fica localizado na região Leste dos EUA (Norte da Virgínia). O sistema IAM propaga as alterações de configuração para os planos de dados do IAM de toda Região da AWS habilitada. O plano de dados do IAM é essencialmente uma réplica somente leitura dos dados de configuração do ambiente de gerenciamento do IAM. Cada Região da AWS tem uma instância completamente independente do plano de dados do IAM que realiza a autenticação e a autorização das solicitações da mesma região. Em cada região, o plano de dados do IAM é distribuído por pelo menos três zonas de disponibilidade e tem capacidade suficiente para suportar a perda de uma zona de disponibilidade sem qualquer prejuízo para o cliente. Tanto o controle do IAM quanto os planos de dados foram criados para não ter nenhuma paralização planejada, sendo todas as atualizações de software e operações de escala realizadas de maneira invisível para os clientes.

Por padrão, as solicitações do AWS STS vão para um único endpoint global. Porém, você pode usar um endpoint regional do AWS STS para reduzir latência ou fornecer redundância adicional para as aplicações. Para saber mais, consulte Gerenciar o AWS STS em uma região da AWS.

Certos eventos podem interromper a comunicação entre Regiões da AWS pela rede. Porém, mesmo quando você não pode se comunicar com o endpoint global do IAM, o AWS STS ainda pode autenticar as entidades principais do IAM e o IAM pode autorizar suas solicitações. Os detalhes específicos de um evento que interrompe a comunicação determinarão sua capacidade de acessar os serviços da AWS. Na maioria das situações, você pode continuar a usar credenciais do IAM no ambiente da AWS. As condições a seguir podem se aplicar a um evento que interrompe a comunicação.

Chaves de acesso de usuários do IAM

Você pode se fazer autenticações indefinidamente em uma região com chaves de acesso de usuários do IAM de longo prazo. Quando você usa a AWS Command Line Interface e as APIs, você pode fornecer chaves de acesso da AWS para que a AWS possa verificar sua identidade em solicitações programáticas.

Importante

Como prática recomendada, sugerimos que os usuários façam login com credenciais temporárias em vez de chaves de acesso de longo prazo.

Credenciais temporárias

Você pode solicitar novas credenciais temporárias com o endpoint de serviço regional do AWS STS para, pelo menos, 24 horas. As operações de API a seguir geram credenciais temporárias.

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAML

  • GetFederationToken

  • GetSessionToken

Entidades principais e permissões
AWS Management Console
  • Talvez você não possa usar um endpoint de login regional para entrar no AWS Management Console como um usuário do IAM. Os endpoints de login regionais têm o seguinte formato de URL.

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    Exemplo: https://111122223333.signin.aws.amazon.com/console?region=us-west-2

  • Talvez você não possa realizar a autenticação multifator (MFA) Universal 2nd Factor (U2F).

Práticas recomendadas para a resiliência do IAM

A AWS incorporou resiliência nas zonas de disponibilidade e Regiões da AWS. Quando você observa as práticas recomendadas do IAM a seguir nos sistemas que interagem com seu ambiente, aproveita essa resiliência.

  1. Use um endpoint de serviço regional da AWS STS em vez do endpoint global padrão.

  2. Analise a configuração do ambiente em busca de recursos vitais que rotineiramente criam ou modificam recursos do IAM e prepare uma solução de fallback que use os recursos existentes do IAM.