© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Marcello Zillo Neto
Security Solutions Architect, Amazon Web Services
SID201
Visão geral dos serviços de Gestão e
Identidade e Acessos AWS
Alexandre Cisneiros
Software Engineer, Nubank

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Cada trajetória é única
Migrando ou
extendendo aplicações
existentes
Construindo aplicações
para seus clientes
nativas na nuvem
Organizações
ALL-IN
Usando a escala da
Nuvem AWS para
resolver novos desafios.
Mas todas requerem uma boa gestão de
identidade e acessos na nuvem

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
O que esperar de nosso bate papo
Modelo
mental
Serviços de Gestão de
Identidade e Acessos
AWS
Casos de
uso
Caso de
sucesso

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Nosso escopo de hoje
IAM
Autenticação, autorização,
auditoria e governança de
acessos na nuvem.
AWS IAM
(o serviço)
Autentica e autorizada
chamadas de APIs na AWS
Inclui
(o tópico)

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gerenciamento de identidade e acesso significa …
Validando identidades
de forma segura
Autenticar
Gerenciando o acesso
com políticas
refinadas.
Autorizar
Atendendo aos
requisitos regulatórios
Auditar / Governar
Gerenciar bem o acesso no ambiente de nuvem desde o princípio é essencial, pois
esse processo é a espinha dorsal para uma boa gestão de Segurança na Nuvem

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Em todos os níveis
Identity and Access Management
(o tópico)
AWS Management Console/APIs
Instraestrutura
AWS
Aplicações
AWS
Suas aplicações
Desenvolvedores
Admins
Segurança Empregados
Clientes
Parceiros

Modelo Mental

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Princípios
Modelo mental para serviços de gerenciamento de identidade e acesso
Defina
• Mais Segurança
• Flexibilidade e Agilidade
• Padronização
• Evolução contínua
• Serviços
• Automações
• Controles
• Governança
• Papéis
• Responsabilidades
• Perfis
Foque Implemente

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Benefícios dos Serviços de Gestão de Identidade e Acessos AWS
Mais Segurança
Flexibilidade
Agilidade e evolução contínua

Serviços de IAM AWS

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Serviços de Gestão de Identidade e Acessos
Gerenciamento de
identidade e acesso
da AWS
AWS
Organizations
Amazon Cognito AWS Single Sign-On
AWS Directory
Service
Amazon Cloud
Directory
AWS Secrets
Manager (NOVO!)

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amplo portfolio de serviços de Segurança
AWS Identity & Access
Management (IAM)
AWS Organizations
Amazon Cognito
AWS SSO
AWS Directory Service
Amazon Cloud Directory
AWS Secrets Manager
AWS CloudTrail
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Amazon EC2
Systems Manager
AWS Shield
AWS Web Application
Firewall (AWS WAF)
Amazon Inspector
Amazon VPC (VPC)
AWS KMS
AWS CloudHSM
Amazon Macie
ACM
Server-Side Encryption
AWS Config Rules
AWS Lambda
Identidade
e Acessos
Controle
Detectivos
Segurança
infraestrutura
Resposta
incidentes
Proteção
Dados

Casos de Uso

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Casos de uso comuns
Gerenciar o acesso do usuário a contas e recursos da AWS
Gerenciar o acesso de aplicativos a dados e recursos
Gerenciar o acesso do usuário aos seus próprios aplicativos
1
2
3

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Acesso do usuário a contas e recursos da AWS
Permitir login em contas da AWS usando as
credenciais corporativas existentes.
1. Configure o acesso de SSO (federação) a cada
uma das suas contas da AWS usando o AWS
IAM.
2. O SSO da AWS ajuda você a gerenciar o
acesso e as permissões de usuário para várias
contas da AWS centralmente.
Defina permissões de usuário refinadas em suas
contas da AWS usando políticas do IAM.
1. O AWS Organizations ajuda você a gerenciar o
uso de APIs de serviço da AWS em várias
contas da AWS.
1

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS SSO Passo1: Defina as permissões
Use o AWS Organizations para
estruturar as contas...
Conta Master
Conta Membro #1 Conta Membro #N
AWS OrganizationsAWS SSO
Defina permissões usando sintaxe e
ferramentas padronizadas.
Definições e políticas
automaticamente implantadas e
mantidas em contas membros.
1

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS SSO Passo 2: Atribua permissões aos usuários
Master account
AWS OrganizationsAWS SSOAWS Directory
Service
Grupos
Active Dir
Direitos de acessoConexão de diretórios
On-premises
Use o AWS Directory
Service para conectar
com Active Directory
on-premises.
Mapeie os Grupos do
Active Directory com as
definições de
permissões.
Configure o acesso para uma
conta da AWS, uma OU ou
toda a organização.
1

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Fluxo de login
Conta Master
AWS SSO
AWS SSO
portal
Groups
Active Dir
usuários
Direitos de Acesso
AuthZ
On-premises
SAML
Conta Membro
Usuário navega para o portal
de SSO AWS e é autenticado
com credenciais corporativas
AWS SSO autoriza o usuário
com base em seus direitos de
acesso.
Ações e acessos a recursos
são gerenciados por IAM
policies e Organizations
SCPs.
Usuários são federados a uma
IAM role na conta membro.
1

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Organizations: Conceitos chaves
A1 A2 A4
M
Conta Master/ root
Organizational unit (OU)
Contas AWS
Service
Control
Policies
(SCPs)
Recursos AWS
A3
Dev Test Prod
1

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Organization em conjunto com IAM
Allow: EC2:*Allow: S3:* Allow: SQS:*
Allow: EC2:*Allow: EC2:*
SCP IAM
permissions
1

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Acesso de aplicativos a dados e recursos
Evite inserir credenciais de acesso no código-
fonte das aplicações, use IAM roles para
permitir os acessos para a aplicação.
1. A AWS distribui e rotaciona credenciais de
curto prazo em seu nome
automaticamente quando estiver usando
roles.
2. IAM roles funcionam com o Amazon EC2,
contêineres do Amazon EC2 e funções do
AWS Lambda.
Você pode definir permissões refinadas para
recursos da AWS usando políticas do IAM.
2

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Recursos
AWS
IAM Roles para aplicativos
Seu código
Sistema
Operacional
Instância
EC2
Credenciais AWS entregues
automaticamente e
rotacionadas
periodicamente
Auto descoberta de
credenciais AWS e uso
Acesso controlado pela
política de IAM (roles)
Também trabalha com AWS Lambda & Amazon ECS
2

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAM roles fornecem aos seus aplicativos uma solução
confiável, segura e rotativa para credenciais da AWS
Mas e as demais credenciais?
• Conexão de Bancos de Dados?
• APIs de terceiros?
• Tokens OAuth?
Como evitar o beco sem saída onde não é possível trocar as senhas de aplicações?
2 Gerenciar acesso a aplicativos

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gerenciamento de ciclo de vida para credenciais, como
credenciais de banco de dados e chaves de API
Rotacione
credenciais
de forma segura
Pague pelo
uso
Gerenciar o acesso
com políticas
refinadas
Audite e garanta
segurança de
forma
centralizada
AWS Secrets Manager2

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Secrets Manager: Características principais
Rotação Segura
de credenciais
Integrações
extensíveis com o
Lambda
Rotação por
demanda ou
automática com
controle de versão
Políticas de acesso
refinadas
Armazenamento
encriptado
Log e
monitoração
2

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Recursos AWS
AWS Secrets Manager: Arquitetura
Seu Código
Sistema
Operacional
Instância
EC2
Outros
recursos
Credenciais AWS entregues
Automaticamente (como
antes)
Cred
DB
Rotação
Segura
Solução confiável, segura para rotação automática para TODAS as credenciais
2

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gerenciar acesso aos seus próprios aplicativos
Permita que os usuários utilizem suas
próprias identidades dos provedores de
identidade de rede social e corporativa
com o Amazon Cognito.
• Integrações para Facebook, Google e
Amazon.
• Integra-se a provedores de identidade
corporativa que suportam OAuth 2.0,
SAML 2.0 e OpenID Connect (OIDC).
Crie diretórios de usuários nativos da
nuvem com perfis de usuário extensíveis.
Acesso seguro aos seus aplicativos usando
autenticação adaptativa baseada em risco
3

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Cognito
Get AWS
credentials
Amazon Cognito
identity poolAmazon
DynamoDB
Amazon S3
Access AWS services
Federating
IdP
Amazon Cognito
user poolO user pool autentica usuários e
retorna tokens padrão.
Os tokens do Amazon Cognito
(CUP) são usados para acessar
suas APIs personalizadas
Identity Pool provê credenciais
AWS role-based (baseadas em
função) para acessar os serviços
da AWS
Authenticate
3
CUP
token1
IdP
token
2
Redirect /
Post back
CUP
Token
5
6
Access serverless backendCUP
Token
API GW
4
Lambda
3

Caso de sucesso

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Kubernetes com autenticação
integrada ao IAM desde o dia zero
O Nubank é uma empresa de
tecnologia que quer tirar toda a
complexidade que víamos no setor
financeiro para que as pessoas
tenham de novo o poder sobre seu
dinheiro.
O principal produto, o cartão de
crédito sem tarifas, tem mais de 4
milhões de clientes.

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
O Desafio
Migrar 160+ microsserviços que
rodam diretamente em instâncias
para clusters de Kubernetes.
Manter, no mínimo, o mesmo
nível de segurança e controle de
acesso que já temos hoje.

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Como era antes?
Pessoas
Aplicações
AWS

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Como queríamos?
Pessoas
Kubernetes
Aplicação C
AWS
IAM Users?
Aplicação B
Aplicação A

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Autenticação de pessoas
Kubectl
Heptio Authenticator
AWS
Kubernetes
Master
Nu CLI
Heptio Authenticator

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Autorização de pessoas:
Nubank Deploy + RBAC
Nubank Deploy
AWS
Kubernetes
Master
RBAC

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Aplicações:
Nubank Deploy + Kube2IAM
Nubank Deploy
AWS
Kubernetes
Aplicação
Kube2IAM

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Aplicações:
Nubank Deploy + Kube2IAM
Nubank Deploy
AWS
Kubernetes
Aplicação
Kube2IAM

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Resultado
Conseguimos continuar
centralizando nosso controle de
acesso no IAM com Users, Groups
e Roles, graças à extensibilidade
da API.
Aplicamos Trust Relationship na
IAM Role para garantir que apenas
esse cluster pode assumi-la.
“Centralizar nossas
permissões no IAM
e usar tecnologias
open source nos
permite evoluir de
maneira ágil e
eficiente”

Resumindo

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Resumindo
1. Planeje a Gestão de Identidade e Acessos desde o início da sua
jornada na nuvem.
2. Utilize os recursos e serviços nativos da nuvem AWS para
gestionar os acessos e aumentar seu nível de segurança.
3. Segurança é um processo evolutivo e contínuo, implemente
controles e melhores práticas em todas as camadas de acesso.

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Por favor, preencha a pesquisa no aplicativo
móvel.

Submit Session Feedback
1. Tap the Schedule icon. 2. Select the session
you attended.
3. Tap Session Evaluation
to submit your feedback.

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Obrigado
mzillo@amazon.com
alexandre.cisneiros@nubank.com.br