As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceitos-chave para usar controles de acesso baseados em certificados em AWS
Os controles de acesso baseados em certificados AWS exigem a compreensão de vários conceitos interdependentes de autenticação e autorização. Por exemplo, o princípio do privilégio mínimo determina o escopo das permissões concedidas por meio da autenticação baseada em certificado, o que afeta diretamente a função AWS Identity and Access Management (IAM) e o design da política. A autenticação baseada em certificado em si depende da validação do certificado X.509 em relação a âncoras de confiança configuradas, que definem a cadeia de confiança criptográfica para verificação de certificados. As credenciais de segurança temporárias geradas por meio desse processo têm características específicas do ciclo de vida que afetam o gerenciamento de sessões e as estratégias de rotação de credenciais. Além disso, AWS Identity and Access Management Roles Anywhere implementa um modelo de permissão de camada dupla em que as políticas de função e as configurações de perfil do IAM devem autorizar o acesso. Sem entender como esses conceitos interagem, as implementações podem resultar em falhas de autenticação, acesso com privilégios excessivos ou falhas de segurança na cadeia de validação de certificados. Esses conceitos formam a base técnica necessária para configurar corretamente relações de confiança, limites de permissão e ciclos de vida de credenciais em sistemas de controle de acesso baseados em certificados AWS .
Esta seção contém os seguintes tópicos:
Privilégio mínimo
O princípio do privilégio mínimo é um conceito de segurança que recomenda a concessão do nível mínimo de acesso (ou permissões) necessário para que usuários, programas ou sistemas executem suas tarefas. A filosofia orientadora é simples: menos permissões uma entidade tem, menor o risco de danos maliciosos ou acidentais.
No contexto de AWS, esse princípio é particularmente relevante. AWS fornece uma ampla variedade de recursos e serviços, de máquinas virtuais a recursos de armazenamento. Ao criar e gerenciar sua AWS infraestrutura, a aplicação do princípio do privilégio mínimo garante que cada entidade (um usuário, serviço ou aplicativo) tenha somente as permissões necessárias para funcionar corretamente e nada mais.
A implementação do menor privilégio AWS oferece os seguintes benefícios:
-
Segurança — Ao limitar o acesso, você reduz o impacto potencial de uma violação de segurança. Se um usuário ou serviço tiver permissões mínimas, o escopo de danos será reduzido significativamente.
-
Conformidade — muitas estruturas regulatórias exigem controles de acesso rígidos. A adesão ao princípio do menor privilégio ajuda você a atender a esses requisitos de conformidade.
-
Simplicidade operacional — o gerenciamento de permissões pode se tornar complexo. Aplicar o menor privilégio pode manter as configurações tão simples e gerenciáveis quanto possível.
Autenticação baseada em certificado
A autenticação baseada em certificado usa certificados digitais para verificar a identidade de um dispositivo, serviço ou aplicativo. Os certificados X.509 contêm atributos que identificam a entidade e são assinados por uma autoridade de certificação confiável. Esse método de autenticação elimina a necessidade de credenciais estáticas e fornece uma forma criptograficamente segura de estabelecer confiança.
Enquanto a autenticação baseada em identidade depende de credenciais diretamente associadas a uma função ou usuário do IAM, a autenticação baseada em certificado usa certificados X.509 para estabelecer a identidade. A autenticação baseada em certificado oferece vantagens em ambientes híbridos, fornecendo uma postura de segurança mais forte, rotação automatizada de credenciais e a capacidade de codificar atributos que podem ser usados para um controle de acesso refinado.
Âncoras de confiança e modelos de confiança
Você estabelece confiança entre IAM Roles Anywhere e sua autoridade de certificação (CA) criando uma âncora de confiança. Uma âncora de confiança é uma referência a uma fonte CA externa CA Privada da AWSou a uma fonte externa. Suas cargas de trabalho externas são AWS autenticadas com a âncora confiável usando certificados emitidos pela CA confiável em troca de credenciais temporárias. AWS Pode haver várias âncoras de confiança em uma Conta da AWS. Para obter mais informações, consulte modelo de IAM Roles Anywhere confiança. O modelo de confiança define como os certificados são validados e quais atributos de certificado são necessários para uma autenticação bem-sucedida.
Credenciais de segurança temporárias
As credenciais de segurança temporárias fornecem acesso aos AWS recursos por tempo limitado, geralmente com duração de alguns minutos a várias horas. Diferentemente das chaves de acesso de longo prazo, essas credenciais expiram automaticamente. Isso reduz significativamente o risco de comprometimento de credenciais e simplifica o gerenciamento de acesso em sistemas distribuídos. Para obter mais informações sobre credenciais temporárias, consulte Exigir que as cargas de trabalho usem credenciais temporárias com funções do IAM para acessar as AWS melhores práticas na documentação do IAM.
Permissões de camada dupla no IAM
IAM Roles Anywhere implementa um modelo de permissão de camada dupla por meio da combinação de funções e perfis do IAM. Em um perfil, você pode definir políticas de sessão do IAM que limitam as permissões criadas para uma sessão. Um perfil pode ter várias funções do IAM, mas apenas uma política de sessão. O modelo de permissão de camada dupla fornece segurança aprimorada ao exigir que as permissões sejam explicitamente permitidas em ambas as camadas antes que o acesso seja concedido. A seguir estão as duas camadas:
-
A camada de funções do IAM define o seguinte:
-
Políticas de confiança que determinam qual entidade pode assumir a função
-
Políticas de permissão que especificam quais AWS recursos a função pode acessar e quais ações ela pode realizar
-
Elementos condicionais que podem restringir ainda mais o acesso com base em critérios específicos
-
-
A camada de IAM Roles Anywhere perfis faz o seguinte:
-
Define quais funções do IAM podem ser assumidas por meio de IAM Roles Anywhere
-
Fornece controles adicionais para a assunção de funções
-
Atue como um filtro de permissão, mesmo que a própria função do IAM permita um acesso mais amplo
-
Por exemplo, se uma função do IAM permite acesso ao Amazon Simple Storage Service (Amazon S3) e ao Amazon DynamoDB, mas o perfil permite acesso somente ao Amazon S3, o aplicativo pode acessar somente os recursos do Amazon S3. Essa abordagem de camada dupla reforça o princípio do menor privilégio ao exigir permissão explícita em ambas as camadas.
AWS Auxiliar de credenciais
Ao usar o Credential Helper
./aws_signing_helper credential-process \--certificate <Path to certificate> \--private-key <Path to private key> \--trust-anchor-arn <Trust anchor ARN> \--profile-arn <Profile 1 ARN> \--role-arn <Role 1 ARN>
Essa ferramenta é compatível com o credential_process recurso disponível em todo o idioma SDKs. Quando usadas com um AWS SDK, essas credenciais são atualizadas automaticamente antes de expirarem, não exigindo nenhuma implementação adicional para a renovação da credencial. O Credential Helper gerencia o processo de criar uma assinatura com o certificado e chamar o endpoint para obter as credenciais da sessão. Em seguida, ele retorna as credenciais de segurança temporárias para o processo de chamada em um formato JSON padrão.
Para obter mais informações, consulte Obter credenciais de segurança temporárias de IAM Roles Anywhere.
