Gerenciando permissões em AWS RAM

Em AWS RAM, há dois tipos de permissões gerenciadas: permissões, AWS gerenciadas e permissões gerenciadas pelo cliente.

As permissões gerenciadas definem como um consumidor pode agir sobre os recursos em um compartilhamento de recursos. Ao criar um compartilhamento de recursos, você deve especificar qual permissão gerenciada usar para cada tipo de recurso incluído no compartilhamento de recursos. O modelo de política na permissão gerenciada contém tudo o que é necessário para uma política baseada em recursos, exceto a entidade principal e o recurso. O Amazon Resource Name (ARN) do recurso e o ARN das entidades principais associadas ao compartilhamento de recursos completam os elementos de uma política baseada em recursos. AWS RAM em seguida, cria a política baseada em recursos que ela atribui a todos os recursos desse compartilhamento de recursos.

Cada permissão gerenciada pode ter uma ou mais versões. Uma versão é designada como a versão padrão para essa permissão gerenciada. Ocasionalmente, AWS atualiza uma permissão AWS gerenciada para um tipo de recurso criando uma nova versão e designando essa nova versão como padrão. Você também pode atualizar suas permissões gerenciadas pelo cliente criando novas versões. As permissões gerenciadas que já estão anexadas a um compartilhamento de recursos não são atualizadas automaticamente. O AWS RAM console indica quando uma nova versão padrão está disponível, e você pode revisar as alterações na nova versão padrão em comparação com a anterior.

nota

Recomendamos que você atualize para a nova versão da permissão AWS gerenciada o mais rápido possível. Essas atualizações geralmente adicionam suporte para novos ou atualizados Serviços da AWS que podem compartilhar outros tipos de recursos usando AWS RAM. Uma nova versão padrão também pode abordar e corrigir vulnerabilidades de segurança.

Importante

Você só pode anexar a versão padrão da permissão gerenciada a um novo compartilhamento de recursos.

É possível recuperar a lista das permissões gerenciadas disponíveis a qualquer momento. Para obter mais informações, consulte Visualizando permissões gerenciadas.

Tópicos

• Visualizando permissões gerenciadas
• Criação e uso de permissões gerenciadas pelo cliente no AWS RAM
• Atualização de permissões AWS gerenciadas para uma versão mais recente
• Considerações sobre o uso de permissões gerenciadas pelo cliente no AWS RAM
• Como as permissões gerenciadas funcionam
• Tipos de permissões gerenciadas

Como as permissões gerenciadas funcionam

Para uma visão geral rápida, assista ao vídeo a seguir que demonstra como as permissões gerenciadas permitem que você aplique a melhor prática de acesso com privilégios mínimos aos seus AWS recursos.

Este vídeo demonstra como criar e associar permissões gerenciadas pelo cliente seguindo as práticas recomendadas de privilégio mínimo. Para obter mais informações, consulte, Criação e uso de permissões gerenciadas pelo cliente no AWS RAM.

Ao criar um compartilhamento de recursos, você associa uma permissão AWS gerenciada a cada tipo de recurso que deseja compartilhar. Se a permissão gerenciada tiver mais de uma versão, o novo compartilhamento de recursos sempre usará a versão designada como padrão.

Depois de criar o compartilhamento de recursos, AWS RAM usa a permissão gerenciada para gerar uma política baseada em recursos que é anexada a cada recurso compartilhado.

O modelo de política em uma permissão gerenciada especifica o seguinte:

Efeito

Indica se deve Allow ou não Deny a permissão da entidade principal para realizar uma operação em um recurso compartilhado. Para uma permissão gerenciada, o efeito é sempre Allow. Para obter mais informações, consulte Efeito no Guia do usuário do IAM.

Ação

A lista de operações que a entidade principal tem permissão para realizar. Pode ser uma ação no AWS Management Console, ou uma operação na AWS Command Line Interface (AWS CLI) ou na API da AWS. As ações são definidas pela AWS permissão. Para obter mais informações, consulte Ações no Guia do usuário do usuário IAM.

Condição

Quando e como uma entidade principal pode interagir com um recurso em um compartilhamento de recursos. As condições adicionam uma camada extra de segurança aos seus recursos compartilhados. Use-os para limitar o acesso de ações confidenciais aos seus recursos compartilhados. Por exemplo, você pode incluir condições que exijam que as ações tenham origem em um intervalo específico de endereços IP corporativos ou que as ações sejam executadas por usuários autenticados com autenticação multifator. Para obter mais informações sobre as chaves de condição, consulte AWS chaves de contexto de condição global no Manual do usuário do IAM. Para obter mais informações sobre condições específicas do serviço, consulte Ações, recursos e chaves de condição AWS do serviço na Referência de autorização do serviço.

nota

As condições estão disponíveis para permissões gerenciadas pelo cliente e tipos de recursos compatíveis para permissões AWS gerenciadas.

Para obter informações sobre condições que são excluídas do uso com permissões gerenciadas pelo cliente, consulte Considerações sobre o uso de permissões gerenciadas pelo cliente no AWS RAM.

Tipos de permissões gerenciadas

Ao criar um compartilhamento de recursos, você escolhe uma permissão gerenciada para associar a cada tipo de recurso incluído no compartilhamento de recursos. AWS as permissões gerenciadas são definidas pelo serviço AWS proprietário do recurso e gerenciadas por AWS RAM. Você cria e mantém suas próprias permissões gerenciadas pelo cliente.

• AWS permissão gerenciada — Há uma permissão gerenciada padrão disponível para cada tipo de recurso AWS RAM compatível. A permissão gerenciada padrão é aquela usada para um tipo de recurso, a menos que você escolha explicitamente uma das permissões gerenciadas adicionais. A permissão gerenciada padrão tem como objetivo oferecer suporte aos cenários mais comuns de clientes para compartilhar recursos do tipo especificado. A permissão gerenciada padrão permite que as entidades principais executem ações específicas que são definidas pelo serviço para o tipo de recurso. Por exemplo, para o tipo de recurso Amazon VPC ec2:Subnet, a permissão gerenciada padrão permite que as entidades principais realizem as seguintes ações:

  • ec2:RunInstances

  • ec2:CreateNetworkInterface

  • ec2:DescribeSubnets

  Os nomes das permissões AWS gerenciadas padrão usam o seguinte formato: AWSRAMDefaultPermissionShareableResourceType. Por exemplo, para o tipo de ec2:Subnet recurso, o nome da permissão AWS gerenciada padrão é AWSRAMDefaultPermissionSubnet.

  nota

  A permissão gerenciada padrão é separada da versão padrão de uma permissão gerenciada. Todas as permissões gerenciadas, sejam elas padrão ou uma das permissões gerenciadas adicionais suportadas por alguns tipos de recursos, são permissões separadas e completas com efeitos e ações diferentes que oferecem suporte a diferentes cenários de compartilhamento, como acesso de leitura e gravação versus acesso somente leitura. Qualquer permissão gerenciada, AWS seja ela gerenciada pelo cliente, pode ter várias versões, uma das quais é a versão padrão dessa permissão.

  Por exemplo, quando você compartilha um tipo de recurso que oferece suporte a uma permissão gerenciada de acesso total (Read e Write) e a uma permissão gerenciada somente para leitura, você pode criar um compartilhamento de recursos para o administrador com a permissão gerenciada de acesso total. Em seguida, você pode criar um compartilhamento de recursos separado para outros desenvolvedores usando a permissão gerenciada somente para leitura para seguir a prática de conceder privilégios mínimos.

  nota

  Todos os AWS serviços que funcionam com AWS RAM oferecem suporte a pelo menos uma permissão gerenciada padrão. Você pode ver as permissões disponíveis para cada uma AWS service (Serviço da AWS) na página da biblioteca de permissões gerenciadas. Esta página fornece detalhes sobre cada permissão gerenciada disponível, incluindo quaisquer compartilhamentos de recursos atualmente associados à permissão e se o compartilhamento com entidades principais externas é permitido, se aplicável. Para obter mais informações, consulte Visualizando permissões gerenciadas.

  Para serviços que não oferecem suporte a permissões gerenciadas adicionais, quando você cria um compartilhamento de recursos, aplica AWS RAM automaticamente a permissão padrão definida para o tipo de recurso que você escolher. Se houver suporte, você também terá a opção de escolher Criar permissão gerenciada pelo cliente na página Associar permissões gerenciadas.

• As permissões gerenciadas pelo cliente - Permissões gerenciadas pelo cliente são permissões gerenciadas que você cria e mantém especificando com precisão quais ações podem ser executadas sob quais condições com recursos compartilhados usando AWS RAM. Por exemplo, você quer limitar o acesso de leitura aos seus grupos da Amazon VPC IP Address Manager (IPAM), que ajudam você a gerenciar seus endereços IP em grande escala. Você pode criar permissões gerenciadas pelo cliente para que seus desenvolvedores atribuam endereços IP, mas não visualizem o intervalo de endereços IP que outras contas de desenvolvedor atribuem. É possível seguir as práticas recomendadas de privilégio mínimo, conceda apenas as permissões necessárias para executar tarefas em recursos compartilhados.