Segurança da infraestrutura no AWS Identity and Access Management - AWS Identity and Access Management

Segurança da infraestrutura no AWS Identity and Access Management

Como serviços gerenciados, o AWS Identity and Access Management (IAM) e o AWS Security Token Service (AWS STS) são protegidos pelos procedimentos de segurança de rede global da AWS descritos no whitepaper Amazon Web Services: Overview of Security Processes.

Você usa chamadas de API publicadas pela AWS para acessar o IAM pela rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ou posterior. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS STS para gerar credenciais de segurança temporárias para assinar solicitações.

O IAM pode ser acessado de forma programática usando a API HTTPS do IAM, que permite emitir solicitações HTTPS diretamente ao serviço. A API de consulta retorna informações confidenciais, incluindo credenciais de segurança. Portanto, é necessário usar HTTPS com todas as solicitações de API. Quando você usa a API HTTPS, deve incluir código para assinar digitalmente solicitações usando suas credenciais.

Você pode chamar essas operações de API de qualquer local da rede, mas o IAM oferece suporte a políticas de acesso baseadas em recurso, que podem incluir restrições com base no endereço IP da fonte. Você também pode usar políticas do IAM para controlar o acesso de endpoints específicos da Amazon Virtual Private Cloud (Amazon VPC) ou VPCs específicas. Efetivamente, isso isola o acesso à rede para um determinado recurso do IAM somente da VPC específica dentro da rede da AWS.