As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tema 4: gerenciar identidades
**Estratégias Essential Eight abordadas**
Restringir privilégios administrativos, autenticação multifator
O gerenciamento robusto de identidades e permissões é um aspecto essencial do gerenciamento da segurança na nuvem. Práticas de identidade sólidas equilibram o acesso necessário e o privilégio mínimo. Isso ajuda as equipes de desenvolvimento a se moverem rapidamente sem comprometer a segurança.
Use a federação de identidades para centralizar o gerenciamento de identidades. Isso facilita o gerenciamento do acesso em várias aplicações e serviços, pois você está gerenciando o acesso de um único local. Isso também ajuda a implementar permissões temporárias e autenticação multifator (MFA).
Conceda aos usuários somente as permissões de que eles precisam para executar suas tarefas. O AWS Identity and Access Management Access Analyzer pode validar políticas e verificar o acesso público e entre contas. Recursos como políticas de controle AWS Organizations de serviço (SCPs), condições de política do IAM, limites de permissões do IAM e conjuntos de Centro de Identidade do AWS IAM permissões podem ajudar você a configurar o [controle de acesso refinado (](apg-gloss.md#glossary-fgac)FGAC).
Ao realizar qualquer tipo de autenticação, é melhor utilizar credenciais temporárias a fim de reduzir ou eliminar riscos, como credenciais que são divulgadas acidentalmente, compartilhadas ou roubadas. Use perfis do IAM em vez de usuários do IAM.
Use mecanismos de login robustos, como MFA, para reduzir o risco de que as credenciais de login tenham sido divulgadas acidentalmente ou possam ser deduzidas com facilidade. Exija a MFA para o usuário-raiz, e também é possível exigi-la em nível de federação. Se o uso de usuários do IAM for inevitável, aplique a MFA.
Para monitorar e relatar a conformidade, você deve trabalhar continuamente para reduzir as permissões, monitorar as descobertas do analisador de acesso do IAM e remover recursos do IAM não utilizados. Use AWS Config regras para garantir que mecanismos de login robustos sejam aplicados, que as credenciais tenham vida curta e que os recursos do IAM estejam em uso.
## Melhores práticas relacionadas no AWS Well-Architected Framework
+ [SEC02- BP01 Use mecanismos de login fortes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02- BP02 Use credenciais temporárias](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02- BP03 Armazene e use segredos com segurança](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02- BP04 Confie em um provedor de identidade centralizado](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02- BP05 Audite e alterne as credenciais periodicamente](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02- BP06 Empregue grupos e atributos de usuários](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03- BP01 Definir os requisitos de acesso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03- BP02 Conceda acesso com privilégios mínimos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03- BP03 Estabelecer processo de acesso de emergência](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03- BP04 Reduza as permissões continuamente](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03- BP05 Defina barreiras de permissão para sua organização](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03- BP06 Gerencie o acesso com base no ciclo de vida](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03- BP07 Analise o acesso público e entre contas](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03- BP08 Compartilhe recursos com segurança em sua organização](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
## Implementação deste tema
### Implementar federação de identidades
+ [Exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [Implemente o acesso elevado temporário ao seus ambientes da AWS](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
### Aplicar permissões de privilégio mínimo
+ [Proteja suas credenciais de usuário root e não as use para tarefas diárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [Use o IAM Access Analyzer para gerar políticas de privilégios mínimos com base na atividade de acesso](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [Verifique o acesso público e entre contas aos recursos com o IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [Use o analisador de acesso do IAM para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [Estabeleça barreiras de permissões em várias contas](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [Use limites de permissões para definir o máximo de permissões que uma política baseada em identidade pode conceder](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Use condições nas políticas do IAM para restringir ainda mais o acesso](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [Revise e remova regularmente usuários, funções, permissões, políticas e credenciais não utilizados](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [Comece com políticas AWS gerenciadas e adote permissões com privilégios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Use o recurso de conjuntos de permissões no Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
### Alternar credenciais
+ [Exija que as cargas de trabalho usem funções do IAM para acessar AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Automatize a exclusão de perfis do IAM não utilizados](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [Alterne as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
### Aplicar a MFA
+ [Exija a MFA para o usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [Exija a MFA por meio do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [Considere exigir a MFA para ações de API específicas do serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
## Monitoramento deste tema
### Monitorar acesso de privilégio mínimo
+ [Envie as descobertas do IAM Access Analyzer para AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [Considere configurar notificações para descobertas críticas do Centro de Identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [Revise regularmente os relatórios de credenciais de seu Contas da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
### Implemente as seguintes AWS Config regras
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`