Gerenciamento de permissões

Gerencie permissões para controlar o acesso a identidades de humanos e máquinas que precisam de acesso à AWS e à suas workloads. As permissões controlam quem pode acessar o quê e em quais condições. Defina permissões para identidades humanas e de máquina específicas para conceder acesso a ações de serviço específicas em recursos específicos. Além disso, especifique condições que devem ser verdadeiras para que o acesso seja concedido. Por exemplo, você pode permitir que os desenvolvedores criem novas funções do Lambda, mas apenas em uma região específica. Ao gerenciar seus ambientes da AWS em escala, siga as práticas recomendadas a seguir para garantir que as identidades tenham apenas o acesso de que precisam e nada mais.

Há várias maneiras de conceder acesso a diferentes tipos de recursos. Uma maneira é usar diferentes tipos de política.

As políticas baseadas em identidade no IAM são gerenciadas ou em linha e anexadas às identidades do IAM, incluindo usuários, grupos ou perfis. Essas políticas permitem que você especifique o que cada identidade pode fazer (suas respectivas permissões). As políticas baseadas em identidade podem ser subdivididas em outras categorias.

Políticas gerenciadas: políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em sua conta da AWS. Existem dois tipos de políticas gerenciadas:

• Políticas gerenciadas pela AWS: políticas gerenciadas que são criadas e gerenciadas pela AWS.

• Políticas gerenciadas pelo cliente: políticas gerenciadas que você cria e gerencia em sua conta da AWS. As políticas gerenciadas pelo cliente fornecem controle mais preciso sobre suas políticas do que as políticas gerenciadas pela AWS.

As políticas gerenciadas são o método preferencial para aplicar permissões. No entanto, também é possível usar políticas em linha adicionadas diretamente a um único usuário, grupo ou perfil. As políticas em linha mantêm um relacionamento estrito de um para um entre uma política e uma identidade. As políticas em linha são excluídas quando a identidade é excluída.

Na maioria dos casos, é necessário criar suas próprias políticas gerenciadas pelo cliente seguindo o princípio do privilégio mínimo.

Políticas baseadas em recurso são anexadas a um recurso. Por exemplo, uma política de bucket do S3 é uma política baseada em recursos. Essas políticas concedem permissão a uma entidade principal que pode estar na mesma conta que o recurso ou em outra conta. Para obter uma lista de serviços que oferecem suporte a permissões baseadas em recursos, consulte Serviços da AWS que funcionam com o IAM.

Os limites de permissões usam uma política gerenciada para determinar as permissões máximas que um administrador pode definir. Isso permite que você delegue a capacidade de criar e gerenciar permissões para desenvolvedores, como a criação de um perfil do IAM, mas limita as permissões que eles podem conceder para que não possam escalar as próprias permissões usando o que eles criaram.

O Controle de acesso por atributo (ABAC) permite que você conceda permissões com base em atributos. Na AWS, elas são chamadas de tags. As tags podem ser anexadas a entidades principais (usuários ou perfis) do IAM e a recursos da AWS. Usando políticas do IAM, os administradores podem criar uma política reutilizável que aplica permissões com base nos atributos da entidade principal do IAM. Por exemplo, como administrador, você pode usar uma única política do IAM que concede aos desenvolvedores em sua organização acesso a recursos da AWS que correspondem às tags de projeto dos desenvolvedores. À medida que a equipe de desenvolvedores adiciona recursos aos projetos, as permissões são aplicadas automaticamente com base em atributos. Como resultado, nenhuma atualização de política é necessária para cada novo recurso.

As políticas de controle de serviços (SCP) de organizações definem o máximo de permissões para os membros da conta de uma organização ou unidade organizacional (UO). As SCPs limitam as permissões que as políticas baseadas em identidade ou políticas baseadas em recurso concedem a entidades (usuários ou funções) dentro da conta, mas não concedem permissões.

As políticas de sessão assumem uma função ou um usuário federado. Passe as políticas de sessão ao usar as políticas de sessão da AWS CLI ou AWS API para limitar as permissões que as políticas baseadas em identidade do usuário ou da função concedem à sessão. As políticas de sessão limitam as permissões para uma sessão criada, mas não concedem permissões. Para obter mais informações, consulte Políticas de sessão.

Práticas recomendadas

• SEC03-BP01 Definir requisitos de acesso
• SEC03-BP02 Conceder acesso de privilégio mínimo
• SEC03-BP03 Estabelecer processo de acesso de emergência
• SEC03-BP04 Reduzir as permissões continuamente
• SEC03-BP05 Definir barreiras de proteção de permissões para sua organização
• SEC03-BP06 Gerenciar o acesso com base no ciclo de vida
• SEC03-BP07 Analisar o acesso público e entre contas
• SEC03-BP08 Compartilhar recursos com segurança em sua organização
• SEC03-BP09 Compartilhar recursos com terceiros de forma segura