Usuários, Roles e Permissões de Acesso AWS IAM - Curso Prático Amazon Web Services - Aula 04 - #38

e fala galera sejam bem-vindos ao canal do inventor qualquer e esta é a nossa aula de número 4 da Amazon Web Services na prática hoje nós vamos falar sobre i am How i a m que é na verdade o módulo da Armação para controlar as permissões de acesso às suas aplicações e as suas instâncias dentro da ASO E você tem que se lembrar que você deve acompanhar este vídeo do início ao fim pelo menos uma vez e depois se você precisar relembrar alguma coisinha que você não pegou direito aqui você acabou esquecendo aqui na descrição

do vídeo você tem a lista completa de todos os tópicos que nós estamos falando Neste vídeo que basta Abrir descrição clicar no tópico que te interessa e você vai direto para o ponto para você poder relembrar aquilo que você acabou esquecendo então fica ligado no vídeo e acompanha ele pelo menos uma vez só e se você está chegando agora eu recomendo que você deu uma olhadinha no nosso vídeo de abertura aonde a gente fala para você como esse vídeo tá sendo ministrado E como você pode ter o melhor aproveitamento deste conteúdo Além disso nós temos

outros episódios que já foram lançados que vão estar disponíveis na playlist de a WS na prática que eu vou deixar o link aqui na descrição antes que eu me esqueça se inscreva no canal porque tem mais episódios vindo aí e a gente vai fazer passo a passo todo o procedimento até que você consiga publicar sua aplicação na Amazon com segurança escalabilidade e poupando dinheiro então para gente começar falando sobre esse assunto que para mim é um dos mais importantes a respeito de ar WS que a parte de segurança eu vou convidar vocês mais uma vez

para ele para minha tela e a gente começar a mostrar os procedimentos como você é realmente vão estar desligados da interface de vocês desde a aula passada eu vou pedir para vocês para fazer um login na sua conta da WS aquela mesma que a gente criou lá na segunda aula e vocês vão cair nesta tela aqui logo que vocês lugar em que essa é a tela de entrada do seu console de gerenciamento da WS para a gente ir para a parte de gerenciamento se vocês repararem na minha conta Vocês já vão ver aqui logo na

entrada o i-ésimo o William que é o módulo de gerenciamento de usuários e permissões da amazo Ele está aqui porque eu acessei ele agora a pouco para conferir as informações antes de começar essa aula mas para vocês provavelmente ele não estará aparecendo Porque como vocês podem ver esse é o menu de serviços acessados recentemente então pra vocês encontrarem esse serviço basta que vocês venham aqui em cima no campinho de busca e digitem e a a e vocês vão ter a opção do aí aqui em cima clique nela e pronto nós estamos no painel do ai

a algumas definições importantes a respeito dessas informações que você vai encontrar dentro do painel do player no menu da esquerda você vai ver algumas informações que nós vamos utilizar agora Nesta aula e você vai ver muitas outras informações que você pode descobrir elas você pode utilizar elas no futuro então normalmente as ferramentas da Amazon e de outros serviços de cloud elas são meio intimidador as pela quantidade de informação pela quantidade de opções que você tem na tela e você acaba Entrando lá pela primeira vez e você tomar uns sustos pensando Minha Nossa que coisa complicada

Aonde eu clico primeiro por onde eu começo para isso é que a gente está fazendo esse curso para que você não se desespere e Vá com calma nessa primeira impressão nesse primeiro Impacto que você tá tá Vai com calma relaxa respira gusfraba e vamos começar pelos itens que realmente importam para este momento Ok então lá na tela você vai ver no menu da esquerda começando de cima para baixo lá no gerenciamento de acesso o primeiro item é o grupos o grupos como o nome diz são os grupos de permissões ou de políticas de permissões que

nós vamos utilizar dentro dos nossos usuários ou das nossas roles ou das nossas funções uma interface em português chama o segundo item usuários o nome é óbvio é onde a gente vai criar usuários o terceiro que são as funções Esse é especial e se eu quero explicar para vocês olhando olho no outro dentro da Amazon Você tem dois modelos básicos de usuários digamos assim um são os usuários propriamente ditos e são aqueles é bem um login e uma senha e através desse login é dessa senha eles podem se conectar tanto do console quanto na api

da Amazon e Óbvio através das permissões ele vai ter acesso a determinados serviços da sua conta Porém quando você tem um usuário e uma senha rolando dentro de uma aplicação ao dentro de várias aplicações e esse usuário essa senha também tem acesso ao painel e a outras funcionalidades é meio desaconselhado que você utilize o usuário esse porque essas informações acabam ficando soltas ou dentro da sua aplicação ou dentro do código em si e mesmo que você esteja commitando ele no kit Rubi por exemplo que é um procedimento normal e até recomendado você não deve em

hipótese alguma comentar dentro do seu código do kit Rubi credenciais que tem acesso a serviços nem a banco de dados a minha serviços de cloud nenhum tipo de credencial especialmente aquelas que te dão permissão de acesso a serviços externos como PayPal streep e outros meios de pagamentos porque a sua conta no kit Rubi por mais segura que ela seja por mais que o bit Rubin Invista em segurança ela não é 100 porcento segura e ela está à mercê de pequenas falhas que podem ser cometidas pela sua própria equipe de desenvolvimento nós já tivemos casos em

alguns projetos aonde um integrante da nossa equipe criou um fork público dos códigos do projeto principal óbvio que isso foi por engano e a gente conseguiu descobrir rápido e reverter o caso porém certas coisas como essa podem acontecer acidentalmente além é claro da máquina de um dos seus colaboradores sem infectada E essas informações o pênis traídas de dentro da máquina do desenvolvedor não muda o fato de que essas informações são críticas demais para serem vazados pela internet e Normalmente quando essas coisas vazão você só vai saber depois que as consequências já ocorreram por isso a

Amazon oferece um outro tipo de usuário e chama funções na interface em português na inglês a gente chama de rose eu vou falar roles aqui porque eu estou mais acostumada a falar em inglês e eu acho que vocês precisam praticar o inglês também como eu já disse nas outras aulas eu costumo usar interfaces sempre em inglês porque na hora de buscar na documentação ou buscar no Google algum tutorial é sempre mais fácil você encontrar conteúdo em inglês do que em português mas afinal de contas O que são Holmes bom roles são tipos de usuários que

não podem fazer login na Amazon são usuários criados especificamente para terem acesso o matico asaps então roles normalmente são atribuídas diretamente aos serviços você não gera Chaves de acesso ou mesmo usuários e senhas logins e senhas através de uma roupa porque ela é atribuída diretamente a Instância ou a uma função lambda ou a um serviço como s q s o s 3 EA amassou através dessa atribuição entende Quais são as permissões que esse serviço tem baseado na holy que ele recebeu todas as outras atribuições de uma holy são muito parecidas com usuários você atribui políticas

de segurança a ela ou você atribui grupos que dentro desses grupos terão políticas de segurança mas eu vou explicar um pouquinho melhor a hora que a gente estiver vendo na tela como se faz isso vamos pra tela a minha primeira recomendação para vocês aqui como vocês até esse ponto você só tem uma conta Ruth a conta Ruth ela é muito a Rosa por ela ter acesso a todas as funcionalidades da conta Inclusive a parte de pagamento Por isso a minha primeira tarefa aqui nessa conta que ela é nova foi a mesma conta que eu criei

junto com vocês lá na segunda aula é criar um novo usuário para mim isso mesmo eu vou criar um novo usuário com o nome Wesley aqui embaixo eu posso escolher se esse usuário vai ter somente acesso programático ou seja se ele só vai receber uma chave de acesso uma chave de api ou se ele vai ter acesso ao console de gerenciamento da WS neste caso Esse é o meu novo usuário usuário que eu vou usar no dia a dia para que eu não fique usando o usuário root para que eu não fico digitando a senha

do usuário root o tempo todo no meu computador para que eu não corro o risco de que se tiver um quilograma ou sniffer dentro da minha máquina essa senha não seja vazada mesmo eu tendo ativado autenticação em duas etapas e tudo mais mês e eu prefiro ter um outro usuário e vai ter um acesso mais restrito e que se caso essa senha seja comprometida o meu usuário root ainda tem poder sobre ele para desativar esse usuário e desfazer as besteiras que foram feitas através dessa conta aqui embaixo eu tenho opção de gerar sem automaticamente ou

de colocar uma senha personalizado Eu ainda tenho a opção de marcar o checkbox para que este usuário seja obrigado a trocar senha assim que ele fizer login na conta dele pela primeira vez Então eu vou para próxima nós estamos na área de permissões na área de permissões você tem três opções para poder atribuir permissões a este usuário a primeira delas é o grupo a permissão de grupo significa que você pode criar um grupo de permissões e dentro desse grupo você colocar várias políticas de acesso tendo assim uma em relação hierárquica das permissões e podendo atribuir

esse grupo a vários usuários diferentes e quando você precisar mudar as permissões desse grupo de usuários você só precisa mudar no grupo e todos os usuários que pertencem a ele vão receber essa mudança automaticamente a segunda opção é você basicamente copiar as permissões existentes de um outro usuário no caso de você já ter criado vários usuários que pertencem a uma determinada classificação de permissões dentro da sua conta WS basta que você selecione a opção copiar as permissões de usuário existente você vai fazer a busca por esse usuário e vai copiar as permissões diretamente dele para

dentro desse novo usuário que você tá e a terceira opção é a opção de anexar políticas existentes de forma direta ou seja no modelo de grupo Você tem o usuário no primeiro nível você tem um em baixo dele e dentro o grupo você tem que políticas essa terceira opção significa que você vai pegar as políticas que normalmente ficariam dentro de um grupo e vai conectar essas políticas diretamente com o usuário que você tá criando eu não recomendaria utilizar políticas diretas A não ser que você esteja utilizando políticas muito específicas eu vou criar este usuário com

um exemplo utilizando políticas diretas mas mais uma vez a minha recomendação é que você criasse um grupo para estes usuários no caso desse usuário que é o meu usuário eu quero que ele tenha basicamente as mesmas permissões do root exceto as permissões de administração da conta esse por isso eu vou dar para ele um acesso de administrador ele vai poder fazer basicamente tudo aqui dentro menos as coisas relacionadas a conta em si e um acesso Zinho extra para eu não precisar ficar logando e deslogando para poder ver o meu relatório e para você encontrar ele

você digita aqui em cima na busca de Lin e você pode marcar essa permissão Belém veja que eu marquei a primeira permissão que era administrador fiz a busca Marquei a segunda mas se eu voltar aqui a minha permissão de administrador ainda assim então eu sei que eu tenho essas duas permissões selecionadas para este usuário Vou para as tags e as tags de usuário elas não estão relacionadas ou vinculadas com nenhuma funcionalidade interna da WS elas são para o seu uso em serviços normalmente as tags podem ser utilizadas para customização de relatórios mais aqui no caso

do usuário você pode utilizar as tags para basicamente qualquer coisa então você usa uma chave e um valor a chave é o título O nome do câmpus isso aqui fosse um banco de dados Então nesse caso eu vou colocar aqui a cargo e o valor admin e pronto se você não quiser informar nenhuma tag também não tem problema fica a seu critério Eu normalmente não utilizo tags para usuários uma última revisão nos dados deste usuário e criamos ele com o usuário criado aqui nessa tela é o único momento aonde eu vou conseguir ver a senha

temporária que foi criada para este meu usuário nesse momento eu posso tanto exibir a senha quanto eu posso enviar ela por e-mail para o usuário em questão ou eu posso fazer download de um csv e vai trazer essas informações e eu posso então anexar ele ao criptografar essas informações e enviar de forma segura para o usuário só para não correr o risco de no intervalo entre o recebimento deste e-mail e efetivamente o login dele para ele trocar por uma senha mais protegida alguém não só pegando essa senha e entrando no painel antes dele feito isso

nós vamos voltar lá para o nosso painel do haiyan e nós vamos criar um segundo usuário tentando utilizar agora o novo método que é o método de grupos para que vocês entendam o fluxo da criação dos grupos de permissões então é o que que eu vou fazer aqui eu vou criar um usuário chamado esse usuário Happy eu não vou dar acesso para ele ao painel de controle eu vou dar só sucesso programático porque eu pretendo utilizar ele dentro da minha aplicação Vamos para o próximo passo que são permissões dentro das permissões eu vou clicar em

criar um grupo dentro da janela de criar grupo eu tenho políticas pré-definidas já criadas pela própria Amazon para que eu possa atribuir a esse grupo ou eu posso criar uma nova política do zero e especificar exatamente Quais são as permissões que eu quero nesse momento eu quero ficar na parte um pouco mais simples que a gente em algumas permissões predefinidas como esse cara vai ser usuário da minha Happy eu não vou dar certo de administrador para ele é óbvio mas eu quero que ele tenha permissão para acessar o storge o S3 nesse caso eu vou

dar um furo aqui vocês aqui para ele vou criar um nome do grupo vou colocar o grupo como AP para poder identificar esse esse usuário depois pelo grupo e se eu tiver mais de uma apoio mais de um tipo de apoio vários microsserviços rodando lá dentro eu posso depois mudar as permissões do grupo ap e todas essas apis vão receber as mesmas permissões uma coisa muito importante para dizer aqui é que é o seguinte quando você cria uma política personalizada você tem acesso a permissões mais atômicas mais segmentadas isso permite que por exemplo dentro do

S3 que essa permissão que a gente tá colocando aqui você a criar um acesso especificamente para um banquete especificamente para aquela pasta onde os arquivos vão tá sendo gravados Então você consegue criar uma política pontual para dar acesso ao esse três mas não a todo o S3 não a todos os bancos que você tem dentro do S3 e sim a um banco específico e você consegue Além disso ainda você consegue dar permissões para este usuário conseguir somente visualizar arquivos somente gravar arquivos gravar ou ler ou acessar dados estatísticos a respeito daquele banquete ou mesmo gerar

Chaves temporárias de acesso Então você consegue ir no nível mais profundo na criação de uma política personalizada Mas se vocês quiserem que eu entre nesses detalhes mais aprofundados a respeito do Iêmen e a respeito das políticas de acesso eu posso fazer uma aula complementar depois do curso prático e a Ju tô entendendo a parte de customização mais atômica das regras do avião mais para o propósito deste curso eu vou tentar manter e o mais simples possível porém seguro para que vocês consigam fazer aplicação de vocês publicar e não ter problemas com segurança neste caso como

eu vou criar um banquete de teste o Amazon S3 full Axis vai ser o suficiente e não vai colocar minha conta em risco ele vai ter acesso a todos os banquetes mas nesse momento eu vou ter apenas um banquete Então não vai ser um problema estando selecionado o S3 full Axis dei um nome para o grupo vou clicar em criar um grupo Pronto ele já tá aqui na minha tela do usuário já vem pré-selecionado e eu vou para as tags nas tags nesse caso poderia colocar aqui uma descrição description e eu poderia colocar aqui por

exemplo S3 permission for hippie user on em é uma descrição que vai ficar aqui na tag vou para o próximo passo que é o de revisar e finalmente criaram meu meu usuário criado com e lembre-se que essas chaves aqui são as chaves que dão acesso ao usuário up aquele consiga acessar a api da sua conta da WS E essas chaves precisam ficar protegidas essa chave aqui é a chave de acesso ela é como se fosse o i user guide desta conta já que essa conta só vai ter acesso programático e aqui na chave de acesso

secreta é onde está o que seria o password seria a senha então isso aqui seria como se fosse o e-mail do usuário na Conta essa daqui seria como se fosse a senha de acesso daquela conta E aí e agora eu tenho dois usuários um deles que é o meu usuário não pertence a nenhum grupo foi criado hoje ainda não tem o multi-factor authentication habilitado E essa é uma parte muito importante óbvio que você não vai ativar o m é feio para um usuário que precisa de acesso programático mas para quem tem acesso ao painel de

controle a autenticação em múltiplas etapas ou duas etapas ela é essencial então para você ativar basta você clicar no usuário entrar aqui na conta dele e caem credenciais de segurança aqui você pode criar Chaves de acesso sim um usuário que tenha acesso ao console também pode ter acesso ao AP Você pode trocar a sua senha e você pode ativar o multi-factor authentication da mesma forma que vocês ativaram lá na criação da sua conta Ruth agora nós vamos lá para o menu da esquerda e ele tem funções logo abaixo de usuários e nós vamos criar a

nossa primeira holy Então nós vamos clicar em criar função uma coisa importante de vocês lembrarem aqui é que uma função ela é diferente de um usuário usuário você tem acesso a uma chave de acesso e uma chave secreta que você pode colocar dentro da sua aplicação dentro da própria máquina no ec2 por exemplo e essa chave vai dar acesso ao que você permite a ela que ela tem acesso por causa de uma holy ela é atribuída diretamente a Instância ou ao serviço a qual você quer dar permissões especiais por isso a primeira etapa da criação

de uma função onde mora holy é você determinar Qual é o serviço que vai consumir essa roupa nesse caso nós vamos consumir essa rolê no ec2 uma selecionam esse dois no Casos de usos comuns aqui caso não apareça para você no caso de uso comum e você pode scrollar e você vai encontrar ele aqui embaixo selecionando esse dois você desce mais um pouquinho e você vai selecionar o caso de uso no nosso caso a gente vai utilizar na esse dois mesmo nas instâncias ec2 após selecionar a gente vai para o próximo a permissão nas permissões

lembrem-se que eu não estou criando uma holy para ter acesso ao ec2 eu estou criando uma holy para utilizar ela no ec2 para que essa Instância do ec2 tem acesso a outros serviços então eu não preciso atribuir a ela nenhuma regra de acesso ao próprio esse 2 exceto se você esteja criando uma Instância ec2 para de vocs por exemplo e que através dessa Instância ela vai gerenciar outras instâncias como criar instâncias mudar códigos ou mudar regras de o alto isqueirinho coisas do tipo porém o nosso caso eu quero utilizar ela para fazer um teste comparativo

com aquele usuário up que eu criei e eu vou fazer uma comparação utilizando o usuário a p i e a holy up para vocês verem qual a diferença e Quais as vantagens desses dois modelos então para eu encontrar aqui eu vou no campinho de busca S3 e vou selecionar novamente o S3 Full aces para ele ficar com a mesma permissão do usuário apei feito isso eu vou para as tags Vou colocar aqui na chave description e na descrição S3 permissions for holy up clico no próximo passo que é o revisar informo o nome up I

a descrição já tá aqui a minha permissão tá correta é só para o S3 e full aces feito isso clique em criar função minha função a cada E mais uma vez para relembrar não tenho nenhuma chave de acesso nenhum nome de usuário Nenhuma senha não tenho nada aqui na holy holy vai ser utilizada anexando ela a uma Instância do ec2 E aí e não só revisando o que a gente aprendeu até aqui e que são pontos muito importantes primeiro criam usuário secundário para você mesmo para que você não fique usando a conta Ruth para logar

na sua conta da Amazon o tempo todo para gerenciar coisas como Instância banco de dados e coisas desse tipo deixe a sua conta Ruth guardadinha segura de preferência dentro de um gerenciador de senhas segura e confiável e criam usuário dentro do haiyan com as permissões que você precisa para poder fazer o seu trabalho do dia-a-dia como último passo eu vou dar uma dicazinha extra para vocês para vocês garantirem que se na Conta Ah mas um de vocês vocês tiverem mais usuários acessando essas contas vocês garantam que esses usuários não sejam descuidados e acabem botando Por

Água Abaixo ou do esforço que você tá fazendo para manter a sua conta da WS o ok lá no painel do lado esquerdo você tem um item chamado configuração da conta na configuração da conta você vai ver logo no topo lá lá no início você vai ver um item chamado política de senha por padrão a ah mas não tem uma política de senha mais liberal digamos assim para sua conta porque para a maioria dos usuários na hora de criar uma conta ela acaba confundindo muito se você fica exigindo o caractere especial letra maiúscula letra minúscula

número e tudo mais porém eles deixam aqui disponível para você dentro do painel a opção de você definir o com dura tem que ser essa política de criação de senhas dessa forma Toda vez que você criar um novo usuário na sua conta WS da forma como a gente fez nessa aula e você enviar as credenciais de acesso para um dos membros da sua equipe e quando ele logar pela primeira vez com aquela senha temporária ele será obrigado a informar uma nova senha e essa nova senha vai ter que respeitar as políticas de senha que você

definir agora nessa tela por isso quando você clicar aqui no alterar política de senha você vai ter a opção de qual é o mínimo de caracteres que essa senha precisa ter no meu ponto de vista e pela minha experiência 8 caracteres tá ótimo Porém exigir pelo menos uma letra maiúscula no alfabeto Latino eu marco sim exigir pelo menos uma minúscula sim exigir pelo menos um número sim exigir pelo menos um caractere especial sim habilitar expiração de senha aí fica a seu critério a expiração de senha pode ser uma questão mais de política interna da empresa

ou de políticas de segurança da própria área de t.i. dependendo do e vai esse ou dos princípios das regras que você tem aí dentro da empresa do que simplesmente uma preferência pessoal Mais Um item a expiração de senha requer redefinição pelo administrador que cai nesse ponto que eu acabei de falar depende da sua estrutura interna permitir que os usuários alterem a própria senha sim impedir a reutilização de senhas critério pessoal também eu prefiro deixar ela marcada tão feito isso clicamos lá em salvar alterações E aí E não se esqueça que depois você pode voltar aqui

nesse mesmo vídeo aqui na descrição Você tem o índice completo com todos os tópicos que nós tratamos aqui para você relembrar e pegar todos os detalhezinhos para manter a sua conta da WS segura se você gostou desse vídeo se você gostou da sala se ela foi útil para você deixa o joinha não se esquece de se inscrever se você ainda não for inscrito se você já for inscrito verifica-se o Sininho tá habilitado Porque sem ele você não recebe as notificações dos novos episódios desse curso prático e claro compartilha esse vídeo porque se ele ajudou Você

imagina quantas outras pessoas esse vídeo pode ajudar então compartilhe mandino telegram no WhatsApp no Facebook compartilhe mande para quem você acha que precisa assistir esse vídeo falando sobre segurança e sobre a parte de credenciais da Amazon para manter a conta da wsc e muito obrigado Mais uma vez vou deixar dois videozinhos aqui para vocês ok Um