View a markdown version of this page

Limitando o acesso do agente em uma conta AWS - AWS DevOps Agente
Entendendo as funções do IAM para o AWS DevOps agenteEscolhendo seus limites de recursosRestringindo o acesso ao serviçoRestringindo o acesso a recursosRestringindo o acesso regionalCriação de políticas personalizadas do IAMPráticas recomendadas de políticas personalizadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Limitando o acesso do agente em uma conta AWS

AWS DevOps O agente usa funções do IAM para descobrir e descrever AWS recursos durante investigações de incidentes e avaliações preventivas. Você pode controlar o nível de acesso que o agente tem configurando as políticas do IAM anexadas a essas funções. A topologia do aplicativo não mostra tudo ao qual o agente tem acesso — as políticas do IAM são a única maneira de realmente limitar quais AWS serviços APIs e recursos o agente pode acessar.

Entendendo as funções do IAM para o AWS DevOps agente

AWS DevOps O agente usa funções do IAM para acessar recursos em dois tipos de contas:

  • Função principal da conta — concede ao agente acesso aos recursos na AWS conta em que você criou o Espaço do Agente.

  • Funções secundárias da conta — concede ao agente acesso aos recursos em AWS contas adicionais que você conecta ao Espaço do Agente.

Para qualquer tipo de conta, você pode restringir quais AWS serviços o agente pode acessar, limitar o acesso a recursos específicos dentro desses serviços e controlar em quais regiões o agente pode operar.

Escolhendo seus limites de recursos

Ao limitar o acesso aos recursos, você precisa incluir permissões suficientes para que o agente investigue com êxito os incidentes do aplicativo. Isso inclui:

  • Todos os recursos para aplicativos dentro do escopo que o agente deve monitorar e investigar

  • Toda a infraestrutura de suporte da qual esses aplicativos dependem

A infraestrutura de suporte pode incluir:

  • Componentes de rede (sub-redesVPCs, balanceadores de carga, gateways de API)

  • Armazenamentos de dados (bancos de dados, caches, armazenamento de objetos)

  • Recursos computacionais (instâncias do EC2, funções Lambda, contêineres)

  • Serviços de monitoramento e registro (CloudWatch, CloudTrail)

  • Recursos de gerenciamento de identidade e acesso necessários para entender as permissões

Se você restringir o acesso de forma muito restrita, talvez o agente não consiga identificar as causas-raiz que se originam na infraestrutura de suporte fora dos limites definidos.

Restringindo o acesso ao serviço

Você pode limitar quais AWS serviços o agente pode acessar modificando as políticas do IAM anexadas às funções do agente. Ao criar políticas personalizadas, siga estas melhores práticas:

  • Conceda somente permissões de leitura — O agente precisa ler as configurações, métricas e registros dos recursos durante as investigações. Evite conceder permissões que permitam ao agente modificar ou excluir recursos.

  • Limite aos serviços necessários — inclua somente AWS os serviços que contêm recursos relevantes para seus aplicativos. Por exemplo, se seu aplicativo não usa o Amazon RDS, não inclua as permissões do RDS na política.

  • Use ações específicas em vez de curingas — em vez de conceder service:* permissões, especifique ações individuais, como oucloudwatch:GetMetricData. ec2:DescribeInstances

Exemplo de política de restrição a serviços específicos:

json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:DescribeAlarms",
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "ec2:DescribeInstances",
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "*"
    }
  ]
}

Restringindo o acesso a recursos

Para limitar o agente a recursos específicos em um serviço, use permissões em nível de recurso em suas políticas do IAM. Isso permite que você conceda acesso somente a recursos que correspondam a padrões específicos.

Usando padrões de ARN de recursos:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "arn:aws:lambda:*:*:function:production-*"
    }
  ]
}

Este exemplo limita o agente a acessar somente funções do Lambda com nomes que começam com “production-”.

Usando restrições baseadas em tags:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceStatus"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

Este exemplo limita o agente a acessar somente instâncias do EC2 marcadas comEnvironment=production.

Restringindo o acesso regional

Para limitar quais AWS regiões o agente pode acessar, use a chave de aws:RequestedRegion condição em suas políticas do IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "lambda:Get*",
        "cloudwatch:Get*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": [
            "us-east-1",
            "us-west-2"
          ]
        }
      }
    }
  ]
}

Este exemplo limita o agente a acessar recursos somente nas regiões us-east-1 e us-west-2.

Criação de políticas personalizadas do IAM

Ao criar um Agent Space ou adicionar contas secundárias, você tem a opção de criar uma função personalizada do IAM usando um modelo de política. Isso permite que você implemente o princípio do menor privilégio.

Ao criar um Espaço do Agente

No console do DevOps agente no console AWS de gerenciamento...

  • Escolha Criar uma nova função de DevOps agente usando um documento de política e siga as instruções

Ao editar um Espaço do Agente

No console do DevOps agente no console AWS de gerenciamento...

  • Selecione a guia Capacidades

  • Selecione a conta secundária que você deseja editar na seção Nuvem e clique em Editar

  • Escolha Criar uma nova política de DevOps agente usando um modelo e siga as instruções

Práticas recomendadas de políticas personalizadas

  • Conceda permissões somente de leitura — evite permissões que permitam a modificação ou exclusão de recursos

  • Use permissões em nível de recurso quando possível — restrinja o acesso a recursos específicos usando padrões ou tags de ARN

  • Revise e audite regularmente as permissões — revise periodicamente as políticas de IAM do agente para garantir que elas ainda estejam alinhadas aos seus requisitos de segurança