O Amazon Web Services – Identity And Access Management (IAM), é uma ferramenta que centraliza e permite realizar o fine tunning do acesso de usuários aos recursos da AWS.
Ao criar uma conta na AWS pela primeira vez, criamos, também um usuário root, que tem a acesso completo a todos os serviços e recursos da AWS. Por questões de segurança a AWS recomenda que o usuário raiz não seja usado no dia a dia, nem mesmo em tarefas administrativas. Como prática recomenda-se que as credenciais de usuário raiz sejam protegidas e não a use em tarefas cotidianas. As credenciais do usuário root são utilizadas somente para executar algumas tarefas de gerenciamento de contas e serviços.
Por esse motivo, foi criado o AWS Identity And Access Management (IAM) que permite criar usuários, IAM USERS, com um controle muito fino do que pode e não pode fazer ao acessar a conta e utilizar seus recursos.
O que é um IAM USER?
Um IAM USER é uma entidade que representa uma pessoa ou aplicativo que interage com os serviços da AWS.
Os usuários podem fazer login no console de gerenciamento da AWS para realizar tarefas interativas, e tem a capacidade de fazer solicitações programáticas usando a API & CLI. Os usuários do IAM podem receber permissões diretamente ou fazer parte de um grupo com permissões específicas. Um IAM USER tem um nome e uma senha que usa para fazer login no console de gerenciamento da AWS. Os usuários também podem criar até duas chaves de acesso que podem usar para acesso programático à AWS por meio de scripts para automação, integração com aplicativos ou controle fino de tarefas.
O que são IAM Groups?
Um grupo do IAM (IAM Group) é uma coleção de usuários que compartilham políticas de controle de acesso. Os membros do grupo tem permissão para executar ações específicas em objetos dentro do escopo do grupo. Por exemplo, se for concedido acesso somente leitura a todas as instâncias do EC2, qualquer membro do grupo poderá exibir informações sobre essas instâncias ou seja somete a leitura dessas instâncias. O grupos podem receber Policies que são conjuntos de autorizações aplicáveis
O que é IAM Role?
As funções do IAM (IAM Roles) são identidades que você pode criar com permissões específicas para durações curtas. Pode-se atribuir IAM Roles a entidades confiáveis para que essas entidades possam assumir a função quando necessário. As funções do IAM destinam-se principalmente ao uso interno.
Uma função do IAM não tem credencias associadas (senhas ou chave de acesso), a falta de credenciais é uma das principais diferenças entre um usuário e uma função.
Uma função pode ser assumida temporariamente por um usuário, serviço ou aplicativo que recebeu permissão para assumir a role.
Quando usar cada entidade?
IAM USER:
Quando você precisa atribuir funções a um usuário sobre recursos e procesos na sua conta. É uma entidade que você cria na AWS. O usuário do IAM representa o usuário humano ou a workload que utiliza o usuário do IAM para interagir com a AWS.
IAM GROUPS:
Quando você quer que um conjunto de usuários do IAM tenham os mesmos acessos e capacidades. Os grupos de usuários permitem especificar permissões para vários usuários.
IAM ROLES:
Quando todos os acessos entre aplicações devem ser feitos através de uma role configurada no serviço IAM.
Através de uma role você associa policies e restrições de acesso que podem ser associadas a uma ou mais aplicações.
IAM POLICIES:
as politicas do IAM definem permissões para uma ação, independente do método usado para executar a operação.
Fonte:
Comments are closed