Listas de controle de acesso (ACLs) em AWS Security Incident Response
Compatível com ACLs: não
As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
Controle de acesso por atributo (ABAC) com a Resposta a Incidentes de Segurança da AWS
Suporte para ABAC (etiquetas em políticas): sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define as permissões com base em atributos. Na AWS, esses atributos são chamados de tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a muitos recursos da AWS. Marcar de entidades e atributos é a primeira etapa do ABAC. Em seguida, você deve elaborar políticas de ABAC para permitir operações quando a etiqueta da entidade principal corresponder à etiqueta do recurso que ela está tentando acessar. O ABAC é útil em ambientes em rápida expansão e auxilia em situações nas quais o gerenciamento de políticas se torna complexo.
Para controlar o acesso com base em etiquetas, você deve fornecer informações relacionadas às etiquetas no elemento “Condition” de uma política, usando as chaves de condição AWS:ResourceTag/key-name, AWS:RequestTag/key-name ou AWS:TagKeys. Se um serviço oferecer suporte às três chaves de condição para todos os tipos de recurso, o valor será Sim para esse serviço. Se um serviço oferecer suporte às três chaves de condição somente para alguns tipos de recursos, o valor será Parcial. Para obter mais informações sobre o ABAC, consulte What is ABAC? no Guia do usuário do IAM. Para visualizar um tutorial com etapas para configurar o ABAC, consulte Usar controle de acesso baseado em atributos (ABAC) no Guia do usuário do IAM.
Credenciais temporárias com a Resposta a Incidentes de Segurança da AWS
Compatível com credenciais temporárias: sim
Os serviços da AWS não funcionam quando você acessa usando credenciais temporárias. Para obter informações adicionais, incluindo quais serviços da AWS são compatíveis com credenciais temporárias, consulte Serviços da AWS que funcionam com o IAM no Guia do usuário do IAM. Você estará usando credenciais temporárias se acessar o Console de Gerenciamento da AWS por qualquer método que não seja nome de usuário e senha. Por exemplo, quando você acessa a AWS usando o link de autenticação única (SSO) da sua empresa, esse processo cria credenciais temporárias automaticamente. Você também cria automaticamente credenciais temporárias quando faz login no console como usuário e, em seguida, alterna perfis. Para obter mais informações sobre como alternar funções, consulte Alternar para um perfil (console) no Guia do usuário do IAM.
É possível criar credenciais temporárias de forma manual por meio da AWS CLI ou da API da AWS. Em seguida, você pode usar essas credenciais temporárias para acessar a AWS. A AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para obter mais informações, consulte Credenciais de segurança temporárias no IAM.
Sessões de acesso encaminhado para a Resposta a Incidentes de Segurança da AWS
Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS): sim
O usuário ou perfil do IAM usado para executar ações na AWS é considerado uma entidade principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. A FAS usa as permissões do entidade principal que chama um serviço da AWS, combinadas com o serviço da AWS solicitante, para fazer solicitações a serviços downstream. As solicitações FAS são feitas somente quando um serviço recebe uma solicitação que requer interações com outros serviços ou recursos do AWS para ser concluída. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer solicitações de FAS, consulte Sessões de acesso direto.
