O Identity and Access Management (IAM) da Amazon Web Services (AWS) é um serviço de diretório projetado para rastrear usuários do sistema e fornecer maneiras de acompanhar informações sobre como eles são autenticados.
O IAM ajuda a acompanhar informações e autorizações de autenticação de dois fatores. Por exemplo, o proprietário de uma empresa pode criar “usuários” para quantos funcionários precisar usar uma senha ou autenticação de dois fatores. Essas senhas determinam a permissão para cada usuário assim que eles obtêm acesso a um sistema. O AWS IAM controla quais usuários são permitidos em um sistema e o que eles podem fazer ao entrar.
O Amazon IAM é destinado a qualquer pessoa com acesso de rota a uma conta responsável por gerenciar um grupo ou delegar privilégios para manipular um serviço, como um administrador do sistema.
Os administradores de sistema podem usar o Console de gerenciamento da AWS para configurar e encerrar instâncias, criar políticas de senha de conta (comprimento, expiração etc.) e permissões que limitam o acesso do usuário a recursos específicos da AWS e quais operações um usuário pode realizar. Eles também podem criar grupos, usuários e funções e atribuir privilégios a cada um.
Grupos diferentes podem receber privilégios diferentes. Por exemplo, o Grupo A pode editar X, Y e Z sem a capacidade de excluir, enquanto o Grupo B pode editar e excluir tudo.
Esse processo é mais do que apenas adicionar usuários. Os administradores devem monitorar rotineiramente o estado de seu sistema IAM para garantir que as pessoas corretas tenham acesso e privilégios apropriados. É imperativo pensar na gestão a longo prazo. Os administradores do sistema devem saber como remover um usuário do sistema quando ele sair da empresa e garantir que as políticas sejam implementadas para fazer backup automático de buckets e remover o acesso desses usuários para garantir total segurança.
O IAM oferece os seguintes recursos:
Você pode conceder permissões a outras pessoas para administrar e usar recursos em sua conta da AWS sem a necessidade de compartilhar sua senha ou chave de acesso.
Você pode conceder permissões diferentes a pessoas diferentes para diferentes recursos. Por exemplo, você pode permitir que alguns usuários tenham acesso completo ao Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift e outros produtos da AWS. Para outros usuários, você pode permitir acesso somente leitura a apenas alguns buckets do S3 ou permissão para administrar apenas algumas instâncias do EC2 ou para acessar suas informações de faturamento, mas nada mais.
Você pode usar recursos do IAM para fornecer credenciais de forma segura às aplicações que são executadas em instâncias do EC2. Essas credenciais fornecem permissões ao aplicativo para acessar outros recursos da AWS. Os exemplos incluem buckets do S3 e tabelas do DynamoDB.
Você pode adicionar a autenticação de dois fatores à sua conta e a usuários individuais para proporcionar segurança extra. Com a MFA, você ou seus usuários devem fornecer não apenas uma senha ou chave de acesso para trabalhar com a sua conta, mas também um código de um dispositivo especialmente configurado.
Você pode permitir que os usuários que já têm senhas em outro lugar, por exemplo, em sua rede corporativa ou com um provedor de identidade de Internet, obtenham acesso temporário à sua conta da AWS.
Se você usar o AWS CloudTrail, receberá registros de log com informações sobre quem fez solicitações de recursos na sua conta. Essas informações são baseadas em identidades do IAM.
O IAM é compatível com o processamento, o armazenamento e a transmissão de dados de cartão de crédito por um comerciante ou um provedor de serviços e foi aprovado como estando em conformidade com o Data Security Standard (DSS – Padrão de Segurança de Dados) da Payment Card Industry (PCI – Indústria de Pagamento com Cartão). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.
Para obter uma lista dos produtos da AWS que funcionam com o IAM, consulte AWSProdutos da compatíveis com o IAM.
O IAM, como muitos outros produtos da AWS, oferece consistência final. O IAM atinge alta disponibilidade ao replicar dados em vários servidores dentro de datacenters da Amazon em todo o mundo. Se uma solicitação para alterar alguns dados for bem-sucedida, a alteração estará comprometida e armazenada com segurança. No entanto, a alteração deverá ser replicada em todo o IAM, o que pode levar algum tempo.
Essas alterações incluem a criação ou a atualização de usuários, grupos, funções ou políticas. Recomendamos que você não inclua essas alterações do AWS IAM nos caminhos de código crítico de alta disponibilidade do seu aplicativo. Em vez disso, faça alterações do IAM em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas.
O AWS Identity and Access Management (IAM) e o AWS Security Token Service (AWS STS) são recursos da conta da AWS oferecidos sem custo adicional. Você só será cobrado quando acessar outros produtos da AWS usando seus usuários do IAM ou as credenciais de segurança temporárias do AWS STS.
Fontes: https://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/introduction.html e https://searchaws.techtarget.com/definition/Amazon-Web-Services-AWS-Identity-and-Access-Management-IAM