Fortalecendo a segurança IAM Roles Anywhere usando controles de acesso baseados em certificados - AWS Orientação prescritiva
Público-alvoObjetivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Fortalecendo a segurança IAM Roles Anywhere usando controles de acesso baseados em certificados

Alberto Sagrado Amador, Amazon Web Services

Julho de 2025 (histórico do documento)

À medida que as organizações expandem sua presença na nuvem e adotam a automação, é cada vez mais essencial gerenciar o acesso seguro a identidades não humanas, como aplicativos, servidores e contêineres. As abordagens tradicionais usam credenciais de longo prazo ou segredos codificados, mas essas abordagens podem criar riscos de segurança e sobrecarga operacional. AWS Identity and Access Management Roles Anywhereaborda esses desafios permitindo que cargas de trabalho externas acessem AWS recursos Nuvem AWS com segurança por meio de certificados X.509 (Wikipedia) em vez de credenciais de longo prazo.

As organizações geralmente enfrentam dificuldades com a proliferação de chaves de acesso, a complexa rotação de credenciais e a capacidade limitada de aplicar controles de acesso refinados. As estruturas de segurança modernas enfatizam os princípios de Zero Trust, o just-in-time acesso e o princípio do menor privilégio, tudo isso pode ser obtido por meio da implementação adequada da autenticação baseada em certificados.

Este guia demonstra como aprimorar a segurança IAM Roles Anywhere gerenciando com eficácia os atributos do certificado e as relações de confiança das funções AWS Identity and Access Management (IAM). Ele usa um exemplo prático de arquitetura para demonstrar como implementar controles de acesso refinados e aplicar o princípio do menor privilégio nas sessões. IAM Roles Anywhere

A arquitetura usa IAM Roles Anywhere e Autoridade de Certificação Privada da AWS (CA Privada da AWS). CA Privada da AWS atua como uma âncora confiável e AWS Certificate Manager (ACM) gerencia os certificados. Essa base reflete as configurações de segurança do mundo real e suas implicações.

Sem configurações de política adequadas para funções do IAM, qualquer certificado emitido pela CA Privada da AWS poderia ser usado para assumir funções. Isso pode criar vulnerabilidades de segurança significativas, incluindo suposição não autorizada de funções, violações de dados e comprometimento de credenciais. Este guia mostra como ajudar a mitigar esses riscos por meio da configuração adequada das políticas e do gerenciamento dos atributos do certificado.

O diagrama a seguir mostra o fluxo de trabalho de como um aplicativo pode solicitar acesso IAM Roles Anywhere e, em seguida, realizar as ações permitidas no destino Conta da AWS.

Usando a autenticação baseada em certificado para obter credenciais de acesso temporário aos recursos. AWS

O diagrama mostra o seguinte fluxo de trabalho:

  1. O aplicativo solicita credenciais de segurança temporárias IAM Roles Anywhere e fornece seu certificado para autenticação.

  2. IAM Roles Anywhere usa uma relação de confiança para autenticar o aplicativo. CA Privada da AWS

  3. IAM Roles Anywhere gera um arquivo JSON que contém as credenciais de segurança temporárias e o retorna ao aplicativo.

  4. Usando as credenciais de segurança temporárias, o aplicativo assume uma função do IAM no. Conta da AWS

O aplicativo executa as ações permitidas pelas políticas anexadas à função do IAM e na conta. Por exemplo, ele pode acessar um bucket do Amazon Simple Storage Service (Amazon S3).

Público-alvo

Este guia é destinado a arquitetos de nuvem, engenheiros de segurança e DevOps engenheiros que estão implementando controles de acesso para ambientes de nuvem híbrida ou automatizando o gerenciamento de permissões para identidades não humanas. Este guia também pode ajudá-lo a cumprir os regulamentos ou as melhores práticas de segurança. Para entender os conceitos e recomendações deste guia, você deve estar familiarizado com o seguinte:

  • Fundamentos do IAM

  • Infraestrutura de chave pública (PKI) e gerenciamento de certificados X.509

  • Princípios de segurança Zero Trust e acesso com privilégios mínimos

  • Serviços da AWS para autenticação baseada em certificado, como e IAM Roles Anywhere CA Privada da AWS

Objetivos

O uso IAM Roles Anywhere de certificados X.509 para autenticação pode fornecer os seguintes resultados comerciais principais:

  • Segurança aprimorada — elimina os riscos associados ao uso de credenciais de longo prazo

  • Redução da sobrecarga operacional — automatiza o gerenciamento e a rotação de credenciais

  • Conformidade aprimorada — fornece trilhas de auditoria detalhadas e impõe acesso com privilégios mínimos

  • Gerenciamento escalável — centraliza o controle de acesso em ambientes híbridos

  • Eficiência de custos — reduz os custos associados aos esforços de resposta a incidentes de segurança e à complexidade do gerenciamento