Article image
Aguinaldo Américo
Aguinaldo Américo02/08/2023 10:53
Compartilhe

IAM USERS, GROUPS e ROLES na AWS

  • #AWS
  • #AWS IAM

O AWS Identity And Access Management (IAM), cumpre o papel ou ajuda-nos a controlar o acesso aos recursos da AWS.

Neste artigo, analisamos as diferenças entre usuários, grupos e funções do IAM, também analisamos quando usar cada entidade.

Ao criar uma conta na AWS pela primeira vez, temos acesso completo a todos os serviços e recursos da AWS. O que chamamos de usuário “root” ou usuário raiz da conta, acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.

Por questões de segurança a AWS recomenda que o usuário raiz não seja usado no dia a dia, nem mesmo em tarefas administrativas. Como prática recomenda-se que seja protegidas as credenciais de usuário raiz e não a use em tarefas cotidianas. As credenciais do usuário root são utilizadas somente para executar algumas tarefas de gerenciamento de contas e serviços.

É ai que entra em cena o AWS Identity And Access Management (IAM).

neste artigo aprofundaremos nas três identidades do IAM (User’s, Goups e Roles), usuários, grupos, funções e suas diferenças.

O que é um IAM USER?

Um IAM USER é uma entidade que representa uma pessoa ou aplicativo que interage com os serviços da AWS.

Os usuários podem fazer login no console de gerenciamento da AWS para tarefas interativas, bem como a capacidade de fazer solicitações programáticas usando a API & CLI.

Os usuários do IAM podem receber permissões diretamente ou fazer parte de um grupo com permissões específicas.

Um IAM USER tem um nome e uma senha que usa para fazer login no console de gerenciamento da AWS. Os usuários também podem criar até duas chaves de acesso que podem usar para acesso programático à AWS.

O que são IAM Groups?

Um grupo do IAM (IAM Group) é uma coleção de usuários que compartilham políticas de controle de acesso.

Os membros do grupo tem permissão para executar ações específicas em objetos dentro do escopo do grupo. Por exemplo, se for concedido acesso somente leitura a todas as instâncias do EC2, qualquer membro do grupo poderá exibir informações sobre essas instâncias ou seja somete a leitura dessas instâncias.

O que é IAM Role?

As funções do IAM (IAM Roles) são identidades que você pode criar com permissões específicas para durações curtas. Pode-se atribuir IAM Roles a entidades confiáveis para que essas entidades possam assumir a função quando necessário. As funções do IAM destinam-se principalmente ao uso interno.

Uma função do IAM não tem credencias associadas (senhas ou chave de acesso), a falta de credenciais é uma das principais diferenças entre um usuário e uma função.

Uma função pode ser assumida temporariamente por um usuário, serviço ou aplicativo que recebeu permissão para assumir a role.

Quando usar cada entidade?

IAM USER

Os usuários do IAM são para acesso externo e são destinados a pessoas. Deve-se criar um IAM USER para as seguintes situações:

·        Criando seu primeiro IAM USER: não deve-se usar a conta root. Cria um novo usuário do IAM com as permissões necessárias para acessar o console de gerenciamento da AWS.

·        Os usuários do IAM podem receber amplas permissões para acessar vários serviços da AWS.

No entanto, os usuários do IAM não devem ser usados para acesso interno. Por exemplo, um usuário do IAM não deve ser usado para fazer solicitações à AWS a partir de um aplicativo em execução no EC2.

IAM GROUPS

Deve-se usar os grupos do IAM quando quiser atribuir permissões a vários usuários do IAM. Por exemplo, pode-se criar um grupo chamado "dev" e adicionar todos os desenvolvedores a esse grupo. Em seguida pode-se atribuir permissões ao grupo. Você pode adicionar permissões adicionais ao grupo posteriormente modificando a politica do grupo.

IAM ROLES

As funções do IAM destina-se ao acesso interno em que você deseja conceder permissões a uma entidade confiável. As funções do IAM usam credenciais de segurança temporária para acessar os serviços da AWS. Por exemplo, você pode criar uma função do IAM que permita que uma instância do EC2 acesse um bucket do S3, em seguida, você pode atribuir a função do IAM à instância do EC2. Você deve criar uma função do IAM ao criar um aplicativo executado na AWS e precisar fazer solicitações para outros serviços da AWS.

Em resumo:

IAM USER:

é uma entidade que você cria na AWS. O usuário do IAM representa o usuário humano ou a workload que utiliza o usuário do IAM para interagir com a AWS.

IAM GROUPS:

é um conjunto de usuários do IAM. Os grupos de usuários permitem especificar permissões para vários usuários.

IAM ROLES:

todos os acessos entre aplicações devem ser feitos através de uma role configurada no serviço IAM.

Através de uma role você associa policies e restrições de acesso que podem ser associadas a uma ou mais aplicações.

IAM POLICIES:

as politicas do IAM definem permissões para uma ação, independente do método usado para executar a operação.

 

Fonte:

https://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/id_root-user.html

https://www.learnaws.org

Compartilhe
Comentários (1)
Edilson Soares
Edilson Soares - 02/08/2023 15:02

Muito bom o artigo Aguinaldo, parabéns.