Delegação de acesso entre contas AWS usando IAM Roles

Daniel Ginês -

Conceda acesso temporário para terceiros de maneira segura.

Imagine o cenário da Estabilis, que precisa ter acesso à console AWS de todos seus clientes. Seria um grande transtorno se cada cliente precisasse criar um usuário para nós. Sem contar que, do ponto de vista de auditoria de segurança, não pode haver usuários genéricos (ou compartilhados) no ambiente. Cada usuário deve ter suas próprias credenciais de acesso. Imagina então se nossos clientes precisassem criar credenciais de acesso para todos os consultores. Esse método é inviável para uma operação profissional.

A forma correta para nossos clientes liberarem este acesso é configurando uma role de Cross-Account Access. Este método de federação de usuários possibilita conceder acesso apenas ao que a Synapsys precisa. Desta forma você estará de acordo com as melhores práticas de segurança da AWS, fornecendo o mínimo de privilégios necessários. Clique aqui para ler mais sobre Grant Least Privilege.

Este método permite também que MSP’s tenham um maior controle dos especialistas que acessam seu ambiente, concedendo permissões pontuais para quem realmente precisa ter.

Este é o passo-a-passo que nossos clientes devem seguir para liberar acesso read-only.

Passo 1

Na Console AWS, vá em IAM

Passo 2

No menu do lado esquerdo, clique em Roles.

Passo 3

Clique em Create New Role

Passo 4

Especifique um nome para essa role e clique em Next Step.

Passo 5

Na tela Select Role Type, clique no sub-grupo Role for Cross-Account Access, e selecione a opção Provide access between AWS accounts you own.

Passo 6

Nesta tela você deverá informar o Account ID da Estabilis e clicar em Next Step.

Passo 7

Na próxima tela você deverá selecionar qual policy deverá ser aplicada ao usuário externo que se autenticará em sua conta AWS. Selecione a policy ReadOnlyAccess e clique em Next Step.

Passo 8

A última tela será um resumo das configurações. Clique em Create Role.

Para que você remova todo o acesso da Estabilis ao seu ambiente basta desabilitar essa Role que você acabou de criar.

Se tiver qualquer dúvida, conte conosco para ajudar!