Acesso Seguro à AWS: Exigindo Federação com Provedor de Identidade e Credenciais Temporárias

Acesso Seguro à AWS: Exigindo Federação com Provedor de Identidade e Credenciais Temporárias

Garantir a segurança e a governança no acesso à AWS é essencial para proteger seus dados, recursos e aplicações. Uma das principais práticas recomendadas é exigir que usuários humanos e workloads utilizem credenciais temporárias por meio de federação com provedores de identidade.  

Identidades Humanas: Quem São e Como Devem Acessar a AWS

Usuários humanos, também chamados de identidades humanas, incluem administradores, desenvolvedores, operadores e consumidores das aplicações hospedadas na AWS. Esses usuários podem pertencer à sua organização (força de trabalho) ou serem colaboradores externos, interagindo por: 

  • Navegadores web
  • Aplicativos cliente ou móveis 
  • Ferramentas de linha de comando (CLI) 

Exigir Uso de Credenciais Temporárias para Usuários Humanos

Por que usar credenciais temporárias? Credenciais temporárias reduzem riscos de segurança, pois expiram automaticamente após um período, evitando uso indevido em caso de vazamento. 

Como implementar? Utilize federação com um provedor de identidade (IdP) para permitir que os usuários acessem as contas AWS de forma segura, assumindo funções IAM (IAM Roles) que fornecem essas credenciais temporárias. 

A melhor forma de gerenciar isso de forma centralizada é com o AWS IAM Identity Center, que permite: 

  • Gerenciar contas e permissões em diferentes ambientes. 
  • Controlar identidades de usuários internos ou federados via IdP externo. 

Conceitos Importantes: Funções IAM e Assunção de Funções

 Workloads: Acesso Seguro com Credenciais Temporárias 

O que são workloads? Workloads são conjuntos de códigos e recursos que entregam valor de negócio, como: 

  • Aplicações web 
  • Backends de processamento 
  • Pipelines de CI/CD 

 

Esses componentes frequentemente precisam acessar serviços AWS (como S3, DynamoDB, etc.) e devem utilizar credenciais temporárias via IAM Roles. 

Workloads dentro da AWS

Mesmo workloads que rodam fora da AWS (em datacenters locais, outras nuvens ou plataformas CI/CD) podem e devem usar credenciais temporárias. As formas de fornecê-las incluem: 

  • AM Roles Anywhere com certificados X.509 
  • AssumeRoleWithSAML (AWS STS) usando uma asserção SAML de um IdP 
  • AssumeRoleWithWebIdentity com tokens JWT 

 

 AWS IoT Core com autenticação MTLS para dispositivos IoT 

Integrações AWS para Workloads Externos

Serviços que facilitam o uso de credenciais temporárias fora da AWS: 

  • Amazon ECS Anywhere – entrega credenciais para tarefas do ECS fora da AWS. 
  • Amazon EKS Hybrid Nodes – entrega credenciais para pods EKS em ambientes externos. 
  • AWS Systems Manager Hybrid Activations – entrega credenciais para agentes SSM em recursos locais. 

Exigir Autenticação Multifator (MFA)

Mesmo com o uso de credenciais temporárias, é essencial exigir MFA (autenticação multifator) para qualquer acesso direto com identidade de longo prazo (como usuários IAM ou usuário root). 

  • MFA adiciona uma camada extra de proteção além da senha. 
  • No IAM Identity Center, o MFA pode ser ativado e gerenciado para usuários internos ou federados. 

 

Atualização de Chaves de Acesso em Casos Específicos

Embora o ideal seja evitar o uso de credenciais de longo prazo, em alguns cenários elas ainda são necessárias. Nestes casos: 

  • Use os relatórios de último uso no IAM para monitorar e rotacionar as chaves de acesso. 
  • Revogue ou atualize as credenciais de forma proativa, especialmente ao desligar um funcionário ou encerrar um serviço. 

 

Proteja Também o Usuário Root

Mesmo com todo o controle federado e o uso de credenciais temporárias, o usuário root ainda existe e precisa ser protegido com: 

  • MFA obrigatória 
  • Senha forte e única 
  • Uso mínimo, apenas em casos críticos 

 

Conclusão

A exigência de federação com provedores de identidade e o uso de credenciais temporárias são práticas essenciais de segurança na AWS. Essa abordagem protege sua organização contra riscos associados a credenciais permanentes, melhora a governança e aumenta a escalabilidade do acesso. 

Práticas recomendadas:

  • Use o IAM Identity Center para gerenciamento centralizado. 
  • Implemente MFA em todas as frentes. 
  • Utilize funções IAM para todos os acessos programáticos. 
  • Evite e substitua credenciais de longa duração sempre que possível. 
  • Monitore e atualize as credenciais de forma contínua. 

 

 

Compartilhe esse conteúdo

Posts Relacionados