AWS Identity and Access Management - Entendendo a conformidade com o GDPR na AWS

AWS Identity and Access Management

Quando você cria uma conta da AWS, uma conta de usuário raiz é criada automaticamente para sua conta da AWS. Essa conta de usuário tem acesso completo a todos os serviços e recursos da AWS em sua conta da AWS. Em vez de usar essa conta para as tarefas cotidianas, você só deve usá-la para criar inicialmente funções e contas de usuário adicionais, e para atividades administrativas que precisam dela. A AWS recomenda que você aplique o princípio de menor privilégio desde o início: defina diferentes funções e contas de usuário para diferentes tarefas, e especifique o conjunto mínimo de permissões necessário para concluir cada tarefa. Essa abordagem é um mecanismo para ajustar um conceito-chave introduzido no RGPD: proteção de dados por design. O AWS Identity and Access Management(IAM) é um serviço da Web que você pode usar para controlar com segurança o acesso aos seus recursos da AWS.

Usuários e funções definem as identidades do IAM com permissões específicas. Um usuário autorizado pode assumir uma função do IAM para realizar tarefas específicas. Credenciais temporárias são criadas quando a função é assumida. Por exemplo, você pode usar funções do IAM para, de forma segura, fornecer às aplicações executadas no Amazon Elastic Compute Cloud (Amazon EC2) as credenciais temporárias necessárias para acessar outros recursos da AWS, como buckets do Amazon S3 e bancos de dados Amazon Relational Database Service (Amazon RDS) ou Amazon DynamoDB. Da mesma forma, as funções de execução fornecem às funções do AWS Lambda as permissões necessárias para acessar outros serviços e recursos da AWS, como o Amazon CloudWatch Logs, para a transmissão de logs ou a leitura de uma mensagem de uma fila do Amazon Simple Queue Service (Amazon SQS). Ao criar uma função, você adiciona políticas a ela para definir autorizações.

Para ajudar os clientes a monitorar políticas de recursos e identificar recursos com acesso não intencional, público ou entre contas, o IAM Access Analyzer pode ser habilitado para gerar descobertas abrangentes que identificam recursos que podem ser acessados de fora de uma conta da AWS. O IAM Access Analyzer avalia políticas de recursos usando lógica matemática e inferência a fim de determinar os possíveis caminhos de acesso permitidos pelas políticas. O IAM Access Analyzer monitora continuamente as políticas novas ou atualizadas e analisa as permissões concedidas usando políticas para funções do IAM, mas também para recursos de serviços como buckets do Amazon S3, chaves do AWS Key Management Service (AWS KMS), filas do Amazon SQS e funções do Lambda.

O Access Analyzer para S3 alerta quando os buckets são configurados para permitir o acesso a qualquer pessoa na Internet ou a outras contas da AWS, incluindo contas da AWS fora da organização. Ao revisar um bucket em risco no Access Analyzer para Amazon S3, você pode bloquear todo o acesso público ao bucket com um único clique. A AWS recomenda que você bloqueie todo o acesso aos buckets, a menos que exija acesso público para dar suporte a um caso de uso específico. Antes de bloquear todo o acesso público, as aplicações devem continuar funcionando corretamente sem acesso público. Para obter mais informações, consulte Usar o Amazon S3 para bloquear o acesso público.

O IAM também fornece as últimas informações acessadas para ajudar a identificar permissões não utilizadas para que você possa removê-las das entidades principais associadas. Usando as informações acessadas pela última vez, é possível refinar suas políticas e permitir o acesso apenas aos serviços e às ações necessários. Isso ajuda a seguir e a aplicar melhor as práticas recomendadas de privilégio mínimo. É possível visualizar as informações acessadas pela última vez para entidades ou políticas existentes no IAM ou em todo o ambiente do AWS Organizations.