SlideShare uma empresa Scribd logo
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Marcello Zillo Neto
Security Solutions Architect, Amazon Web Services
SID201
Visão geral dos serviços de Gestão e
Identidade e Acessos AWS
Alexandre Cisneiros
Software Engineer, Nubank
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Cada trajetória é única
Migrando ou
extendendo aplicações
existentes
Construindo aplicações
para seus clientes
nativas na nuvem
Organizações
ALL-IN
Usando a escala da
Nuvem AWS para
resolver novos desafios.
Mas todas requerem uma boa gestão de
identidade e acessos na nuvem
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
O que esperar de nosso bate papo
Modelo
mental
Serviços de Gestão de
Identidade e Acessos
AWS
Casos de
uso
Caso de
sucesso
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Nosso escopo de hoje
IAM
Autenticação, autorização,
auditoria e governança de
acessos na nuvem.
AWS IAM
(o serviço)
Autentica e autorizada
chamadas de APIs na AWS
Inclui
(o tópico)
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gerenciamento de identidade e acesso significa …
Validando identidades
de forma segura
Autenticar
Gerenciando o acesso
com políticas
refinadas.
Autorizar
Atendendo aos
requisitos regulatórios
Auditar / Governar
Gerenciar bem o acesso no ambiente de nuvem desde o princípio é essencial, pois
esse processo é a espinha dorsal para uma boa gestão de Segurança na Nuvem
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Em todos os níveis
Identity and Access Management
(o tópico)
AWS Management Console/APIs
Instraestrutura
AWS
Aplicações
AWS
Suas aplicações
Desenvolvedores
Admins
Segurança Empregados
Clientes
Parceiros
Modelo Mental
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Princípios
Modelo mental para serviços de gerenciamento de identidade e acesso
Defina
• Mais Segurança
• Flexibilidade e Agilidade
• Padronização
• Evolução contínua
• Serviços
• Automações
• Controles
• Governança
• Papéis
• Responsabilidades
• Perfis
Foque Implemente
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Benefícios dos Serviços de Gestão de Identidade e Acessos AWS
Mais Segurança
Flexibilidade
Agilidade e evolução contínua
Serviços de IAM AWS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Serviços de Gestão de Identidade e Acessos
Gerenciamento de
identidade e acesso
da AWS
AWS
Organizations
Amazon Cognito AWS Single Sign-On
AWS Directory
Service
Amazon Cloud
Directory
AWS Secrets
Manager (NOVO!)
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amplo portfolio de serviços de Segurança
AWS Identity & Access
Management (IAM)
AWS Organizations
Amazon Cognito
AWS SSO
AWS Directory Service
Amazon Cloud Directory
AWS Secrets Manager
AWS CloudTrail
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Amazon EC2
Systems Manager
AWS Shield
AWS Web Application
Firewall (AWS WAF)
Amazon Inspector
Amazon VPC (VPC)
AWS KMS
AWS CloudHSM
Amazon Macie
ACM
Server-Side Encryption
AWS Config Rules
AWS Lambda
Identidade
e Acessos
Controle
Detectivos
Segurança
infraestrutura
Resposta
incidentes
Proteção
Dados
Casos de Uso
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Casos de uso comuns
Gerenciar o acesso do usuário a contas e recursos da AWS
Gerenciar o acesso de aplicativos a dados e recursos
Gerenciar o acesso do usuário aos seus próprios aplicativos
1
2
3
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Acesso do usuário a contas e recursos da AWS
Permitir login em contas da AWS usando as
credenciais corporativas existentes.
1. Configure o acesso de SSO (federação) a cada
uma das suas contas da AWS usando o AWS
IAM.
2. O SSO da AWS ajuda você a gerenciar o
acesso e as permissões de usuário para várias
contas da AWS centralmente.
Defina permissões de usuário refinadas em suas
contas da AWS usando políticas do IAM.
1. O AWS Organizations ajuda você a gerenciar o
uso de APIs de serviço da AWS em várias
contas da AWS.
1
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS SSO Passo1: Defina as permissões
Use o AWS Organizations para
estruturar as contas...
Conta Master
Conta Membro #1 Conta Membro #N
AWS OrganizationsAWS SSO
Defina permissões usando sintaxe e
ferramentas padronizadas.
Definições e políticas
automaticamente implantadas e
mantidas em contas membros.
1
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS SSO Passo 2: Atribua permissões aos usuários
Master account
AWS OrganizationsAWS SSOAWS Directory
Service
Grupos
Active Dir
Direitos de acessoConexão de diretórios
On-premises
Use o AWS Directory
Service para conectar
com Active Directory
on-premises.
Mapeie os Grupos do
Active Directory com as
definições de
permissões.
Configure o acesso para uma
conta da AWS, uma OU ou
toda a organização.
1
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Fluxo de login
Conta Master
AWS SSO
AWS SSO
portal
Groups
Active Dir
usuários
Direitos de Acesso
AuthZ
On-premises
SAML
Conta Membro
Usuário navega para o portal
de SSO AWS e é autenticado
com credenciais corporativas
AWS SSO autoriza o usuário
com base em seus direitos de
acesso.
Ações e acessos a recursos
são gerenciados por IAM
policies e Organizations
SCPs.
Usuários são federados a uma
IAM role na conta membro.
1
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Organizations: Conceitos chaves
A1 A2 A4
M
Conta Master/ root
Organizational unit (OU)
Contas AWS
Service
Control
Policies
(SCPs)
Recursos AWS
A3
Dev Test Prod
1
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Organization em conjunto com IAM
Allow: EC2:*Allow: S3:* Allow: SQS:*
Allow: EC2:*Allow: EC2:*
SCP IAM
permissions
1
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Acesso de aplicativos a dados e recursos
Evite inserir credenciais de acesso no código-
fonte das aplicações, use IAM roles para
permitir os acessos para a aplicação.
1. A AWS distribui e rotaciona credenciais de
curto prazo em seu nome
automaticamente quando estiver usando
roles.
2. IAM roles funcionam com o Amazon EC2,
contêineres do Amazon EC2 e funções do
AWS Lambda.
Você pode definir permissões refinadas para
recursos da AWS usando políticas do IAM.
2
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Recursos
AWS
IAM Roles para aplicativos
Seu código
Sistema
Operacional
Instância
EC2
Credenciais AWS entregues
automaticamente e
rotacionadas
periodicamente
Auto descoberta de
credenciais AWS e uso
Acesso controlado pela
política de IAM (roles)
Também trabalha com AWS Lambda & Amazon ECS
2
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAM roles fornecem aos seus aplicativos uma solução
confiável, segura e rotativa para credenciais da AWS
Mas e as demais credenciais?
• Conexão de Bancos de Dados?
• APIs de terceiros?
• Tokens OAuth?
Como evitar o beco sem saída onde não é possível trocar as senhas de aplicações?
2 Gerenciar acesso a aplicativos
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gerenciamento de ciclo de vida para credenciais, como
credenciais de banco de dados e chaves de API
Rotacione
credenciais
de forma segura
Pague pelo
uso
Gerenciar o acesso
com políticas
refinadas
Audite e garanta
segurança de
forma
centralizada
AWS Secrets Manager2
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Secrets Manager: Características principais
Rotação Segura
de credenciais
Integrações
extensíveis com o
Lambda
Rotação por
demanda ou
automática com
controle de versão
Políticas de acesso
refinadas
Armazenamento
encriptado
Log e
monitoração
2
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Recursos AWS
AWS Secrets Manager: Arquitetura
Seu Código
Sistema
Operacional
Instância
EC2
Outros
recursos
Credenciais AWS entregues
Automaticamente (como
antes)
Cred
DB
Rotação
Segura
Solução confiável, segura para rotação automática para TODAS as credenciais
2
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gerenciar acesso aos seus próprios aplicativos
Permita que os usuários utilizem suas
próprias identidades dos provedores de
identidade de rede social e corporativa
com o Amazon Cognito.
• Integrações para Facebook, Google e
Amazon.
• Integra-se a provedores de identidade
corporativa que suportam OAuth 2.0,
SAML 2.0 e OpenID Connect (OIDC).
Crie diretórios de usuários nativos da
nuvem com perfis de usuário extensíveis.
Acesso seguro aos seus aplicativos usando
autenticação adaptativa baseada em risco
3
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Cognito
Get AWS
credentials
Amazon Cognito
identity poolAmazon
DynamoDB
Amazon S3
Access AWS services
Federating
IdP
Amazon Cognito
user poolO user pool autentica usuários e
retorna tokens padrão.
Os tokens do Amazon Cognito
(CUP) são usados para acessar
suas APIs personalizadas
Identity Pool provê credenciais
AWS role-based (baseadas em
função) para acessar os serviços
da AWS
Authenticate
3
CUP
token1
IdP
token
2
Redirect /
Post back
CUP
Token
5
6
Access serverless backendCUP
Token
API GW
4
Lambda
3
Caso de sucesso
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Kubernetes com autenticação
integrada ao IAM desde o dia zero
O Nubank é uma empresa de
tecnologia que quer tirar toda a
complexidade que víamos no setor
financeiro para que as pessoas
tenham de novo o poder sobre seu
dinheiro.
O principal produto, o cartão de
crédito sem tarifas, tem mais de 4
milhões de clientes.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
O Desafio
Migrar 160+ microsserviços que
rodam diretamente em instâncias
para clusters de Kubernetes.
Manter, no mínimo, o mesmo
nível de segurança e controle de
acesso que já temos hoje.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Como era antes?
Pessoas
Aplicações
AWS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Como queríamos?
Pessoas
Kubernetes
Aplicação C
AWS
IAM Users?
Aplicação B
Aplicação A
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Autenticação de pessoas
Kubectl
Heptio Authenticator
AWS
Kubernetes
Master
Nu CLI
Heptio Authenticator
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Autorização de pessoas:
Nubank Deploy + RBAC
Nubank Deploy
AWS
Kubernetes
Master
RBAC
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Aplicações:
Nubank Deploy + Kube2IAM
Nubank Deploy
AWS
Kubernetes
Aplicação
Kube2IAM
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Aplicações:
Nubank Deploy + Kube2IAM
Nubank Deploy
AWS
Kubernetes
Aplicação
Kube2IAM
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Resultado
Conseguimos continuar
centralizando nosso controle de
acesso no IAM com Users, Groups
e Roles, graças à extensibilidade
da API.
Aplicamos Trust Relationship na
IAM Role para garantir que apenas
esse cluster pode assumi-la.
“Centralizar nossas
permissões no IAM
e usar tecnologias
open source nos
permite evoluir de
maneira ágil e
eficiente”
Resumindo
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Resumindo
1. Planeje a Gestão de Identidade e Acessos desde o início da sua
jornada na nuvem.
2. Utilize os recursos e serviços nativos da nuvem AWS para
gestionar os acessos e aumentar seu nível de segurança.
3. Segurança é um processo evolutivo e contínuo, implemente
controles e melhores práticas em todas as camadas de acesso.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Por favor, preencha a pesquisa no aplicativo
móvel.
Submit Session Feedback
1. Tap the Schedule icon. 2. Select the session
you attended.
3. Tap Session Evaluation
to submit your feedback.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Obrigado
mzillo@amazon.com
alexandre.cisneiros@nubank.com.br

Mais conteúdo relacionado

Mais procurados

Move Your Desktop to AWS with Amazon Workspaces
Move Your Desktop to AWS with Amazon WorkspacesMove Your Desktop to AWS with Amazon Workspaces
Move Your Desktop to AWS with Amazon Workspaces
Amazon Web Services
 
Introduction to AWS Global Accelerator - SVC211 - Chicago AWS Summit
Introduction to AWS Global Accelerator - SVC211 - Chicago AWS SummitIntroduction to AWS Global Accelerator - SVC211 - Chicago AWS Summit
Introduction to AWS Global Accelerator - SVC211 - Chicago AWS Summit
Amazon Web Services
 
A Roadmap to Cloud Center of Excellence Adoption
A Roadmap to Cloud Center of Excellence AdoptionA Roadmap to Cloud Center of Excellence Adoption
A Roadmap to Cloud Center of Excellence Adoption
Amazon Web Services
 
Understanding AWS Secrets Manager - AWS Online Tech Talks
Understanding AWS Secrets Manager - AWS Online Tech TalksUnderstanding AWS Secrets Manager - AWS Online Tech Talks
Understanding AWS Secrets Manager - AWS Online Tech Talks
Amazon Web Services
 
아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...
아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...
아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...
Amazon Web Services Korea
 
AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...
AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...
AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...
Amazon Web Services
 
Standard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet DeploymentStandard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet Deployment
Hitachi ID Systems, Inc.
 
Aws certification ppt
Aws certification pptAws certification ppt
Aws certification ppt
MallikaDumati
 
(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep Dive(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep Dive
Amazon Web Services
 
Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...
Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...
Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...
Amazon Web Services
 
Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...
Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...
Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...
Amazon Web Services
 
Deep Dive on Amazon EC2 Systems Manager
Deep Dive on Amazon EC2 Systems ManagerDeep Dive on Amazon EC2 Systems Manager
Deep Dive on Amazon EC2 Systems Manager
Amazon Web Services
 
SRV403_Serverless Authentication and Authorization
SRV403_Serverless Authentication and AuthorizationSRV403_Serverless Authentication and Authorization
SRV403_Serverless Authentication and Authorization
Amazon Web Services
 
IT Transformation in the Public Sector
IT Transformation in the Public SectorIT Transformation in the Public Sector
IT Transformation in the Public Sector
Amazon Web Services
 
Identity and Access Management: The First Step in AWS Security
Identity and Access Management: The First Step in AWS SecurityIdentity and Access Management: The First Step in AWS Security
Identity and Access Management: The First Step in AWS Security
Amazon Web Services
 
Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...
Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...
Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...
Amazon Web Services
 
AWS Cloud Center Excellence Quick Start Prescriptive Guidance
AWS Cloud Center Excellence Quick Start Prescriptive GuidanceAWS Cloud Center Excellence Quick Start Prescriptive Guidance
AWS Cloud Center Excellence Quick Start Prescriptive Guidance
Tom Laszewski
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Amazon Web Services LATAM
 
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Amazon Web Services
 
Build Data Lakes & Analytics on AWS: Patterns & Best Practices
Build Data Lakes & Analytics on AWS: Patterns & Best PracticesBuild Data Lakes & Analytics on AWS: Patterns & Best Practices
Build Data Lakes & Analytics on AWS: Patterns & Best Practices
Amazon Web Services
 

Mais procurados (20)

Move Your Desktop to AWS with Amazon Workspaces
Move Your Desktop to AWS with Amazon WorkspacesMove Your Desktop to AWS with Amazon Workspaces
Move Your Desktop to AWS with Amazon Workspaces
 
Introduction to AWS Global Accelerator - SVC211 - Chicago AWS Summit
Introduction to AWS Global Accelerator - SVC211 - Chicago AWS SummitIntroduction to AWS Global Accelerator - SVC211 - Chicago AWS Summit
Introduction to AWS Global Accelerator - SVC211 - Chicago AWS Summit
 
A Roadmap to Cloud Center of Excellence Adoption
A Roadmap to Cloud Center of Excellence AdoptionA Roadmap to Cloud Center of Excellence Adoption
A Roadmap to Cloud Center of Excellence Adoption
 
Understanding AWS Secrets Manager - AWS Online Tech Talks
Understanding AWS Secrets Manager - AWS Online Tech TalksUnderstanding AWS Secrets Manager - AWS Online Tech Talks
Understanding AWS Secrets Manager - AWS Online Tech Talks
 
아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...
아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...
아마존닷컴처럼 Amazon Forecast로 시계열 예측하기 - 강지양 솔루션즈 아키텍트, AWS / 강태욱 매니저, GSSHOP :: A...
 
AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...
AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...
AWS, I Choose You: Pokemon's Battle against the Bots (SEC402-R1) - AWS re:Inv...
 
Standard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet DeploymentStandard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet Deployment
 
Aws certification ppt
Aws certification pptAws certification ppt
Aws certification ppt
 
(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep Dive(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep Dive
 
Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...
Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...
Migrating Databases to the Cloud: Introduction to AWS DMS - SRV215 - Chicago ...
 
Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...
Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...
Introduction to the Well-Architected Framework and Tool - SVC208 - Anaheim AW...
 
Deep Dive on Amazon EC2 Systems Manager
Deep Dive on Amazon EC2 Systems ManagerDeep Dive on Amazon EC2 Systems Manager
Deep Dive on Amazon EC2 Systems Manager
 
SRV403_Serverless Authentication and Authorization
SRV403_Serverless Authentication and AuthorizationSRV403_Serverless Authentication and Authorization
SRV403_Serverless Authentication and Authorization
 
IT Transformation in the Public Sector
IT Transformation in the Public SectorIT Transformation in the Public Sector
IT Transformation in the Public Sector
 
Identity and Access Management: The First Step in AWS Security
Identity and Access Management: The First Step in AWS SecurityIdentity and Access Management: The First Step in AWS Security
Identity and Access Management: The First Step in AWS Security
 
Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...
Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...
Introducing AWS DataSync - Simplify, automate, and accelerate online data tra...
 
AWS Cloud Center Excellence Quick Start Prescriptive Guidance
AWS Cloud Center Excellence Quick Start Prescriptive GuidanceAWS Cloud Center Excellence Quick Start Prescriptive Guidance
AWS Cloud Center Excellence Quick Start Prescriptive Guidance
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
 
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
 
Build Data Lakes & Analytics on AWS: Patterns & Best Practices
Build Data Lakes & Analytics on AWS: Patterns & Best PracticesBuild Data Lakes & Analytics on AWS: Patterns & Best Practices
Build Data Lakes & Analytics on AWS: Patterns & Best Practices
 

Semelhante a Visão Geral dos Serviços de Identidade, Diretório e Acesso da AWS - SID201 - Sao Paulo Summit

Overview of AWS identity services Enabling and securing your cloud journey - ...
Overview of AWS identity services Enabling and securing your cloud journey - ...Overview of AWS identity services Enabling and securing your cloud journey - ...
Overview of AWS identity services Enabling and securing your cloud journey - ...
Amazon Web Services
 
Melhores Práticas de Segurança na AWS
Melhores Práticas de Segurança na AWS Melhores Práticas de Segurança na AWS
Melhores Práticas de Segurança na AWS
Amazon Web Services LATAM
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
Amazon Web Services LATAM
 
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Amazon Web Services LATAM
 
Inicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvemInicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvem
Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
Amazon Web Services LATAM
 
Criando Aplicações Serverless
Criando Aplicações ServerlessCriando Aplicações Serverless
Criando Aplicações Serverless
Amazon Web Services LATAM
 
AWS Segurança e Conformidade
AWS Segurança e ConformidadeAWS Segurança e Conformidade
AWS Segurança e Conformidade
Amazon Web Services LATAM
 
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
Amazon Web Services LATAM
 
Introdução ao Amazon EKS
Introdução ao Amazon EKSIntrodução ao Amazon EKS
Introdução ao Amazon EKS
Amazon Web Services LATAM
 
Escalando com segurança na AWS
Escalando com segurança na AWSEscalando com segurança na AWS
Escalando com segurança na AWS
Amazon Web Services LATAM
 
Segurança na AWS
Segurança na AWSSegurança na AWS
Segurança na AWS
Amazon Web Services LATAM
 
Webinar: Como explorar os recursos de aprendizagem da AWS
Webinar: Como explorar os recursos de aprendizagem da AWSWebinar: Como explorar os recursos de aprendizagem da AWS
Webinar: Como explorar os recursos de aprendizagem da AWS
Amazon Web Services LATAM
 
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS SummitThreat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Amazon Web Services
 
Webinar: O que é computação em nuvem com a AWS?
Webinar: O que é computação em nuvem com a AWS?Webinar: O que é computação em nuvem com a AWS?
Webinar: O que é computação em nuvem com a AWS?
Amazon Web Services
 
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Amazon Web Services
 
Práticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSPráticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWS
Amazon Web Services LATAM
 
Começando com aplicações serverless na AWS
 Começando com aplicações serverless na AWS Começando com aplicações serverless na AWS
Começando com aplicações serverless na AWS
Amazon Web Services LATAM
 
Segurança na AWS
Segurança na AWS Segurança na AWS
Segurança na AWS
Amazon Web Services LATAM
 

Semelhante a Visão Geral dos Serviços de Identidade, Diretório e Acesso da AWS - SID201 - Sao Paulo Summit (20)

Overview of AWS identity services Enabling and securing your cloud journey - ...
Overview of AWS identity services Enabling and securing your cloud journey - ...Overview of AWS identity services Enabling and securing your cloud journey - ...
Overview of AWS identity services Enabling and securing your cloud journey - ...
 
Melhores Práticas de Segurança na AWS
Melhores Práticas de Segurança na AWS Melhores Práticas de Segurança na AWS
Melhores Práticas de Segurança na AWS
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
 
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
 
Inicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvemInicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvem
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
Criando Aplicações Serverless
Criando Aplicações ServerlessCriando Aplicações Serverless
Criando Aplicações Serverless
 
AWS Segurança e Conformidade
AWS Segurança e ConformidadeAWS Segurança e Conformidade
AWS Segurança e Conformidade
 
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
 
Introdução ao Amazon EKS
Introdução ao Amazon EKSIntrodução ao Amazon EKS
Introdução ao Amazon EKS
 
Escalando com segurança na AWS
Escalando com segurança na AWSEscalando com segurança na AWS
Escalando com segurança na AWS
 
Segurança na AWS
Segurança na AWSSegurança na AWS
Segurança na AWS
 
Webinar: Como explorar os recursos de aprendizagem da AWS
Webinar: Como explorar os recursos de aprendizagem da AWSWebinar: Como explorar os recursos de aprendizagem da AWS
Webinar: Como explorar os recursos de aprendizagem da AWS
 
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS SummitThreat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
 
Webinar: O que é computação em nuvem com a AWS?
Webinar: O que é computação em nuvem com a AWS?Webinar: O que é computação em nuvem com a AWS?
Webinar: O que é computação em nuvem com a AWS?
 
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
 
Práticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSPráticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWS
 
Começando com aplicações serverless na AWS
 Começando com aplicações serverless na AWS Começando com aplicações serverless na AWS
Começando com aplicações serverless na AWS
 
Segurança na AWS
Segurança na AWS Segurança na AWS
Segurança na AWS
 

Mais de Amazon Web Services

Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Amazon Web Services
 
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Amazon Web Services
 
Esegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS FargateEsegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS Fargate
Amazon Web Services
 
Costruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWSCostruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWS
Amazon Web Services
 
Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot
Amazon Web Services
 
Open banking as a service
Open banking as a serviceOpen banking as a service
Open banking as a service
Amazon Web Services
 
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Amazon Web Services
 
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
Amazon Web Services
 
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows WorkloadsMicrosoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
Amazon Web Services
 
Computer Vision con AWS
Computer Vision con AWSComputer Vision con AWS
Computer Vision con AWS
Amazon Web Services
 
Database Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatareDatabase Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatare
Amazon Web Services
 
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJSCrea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
Amazon Web Services
 
API moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e webAPI moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e web
Amazon Web Services
 
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatareDatabase Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
Amazon Web Services
 
Tools for building your MVP on AWS
Tools for building your MVP on AWSTools for building your MVP on AWS
Tools for building your MVP on AWS
Amazon Web Services
 
How to Build a Winning Pitch Deck
How to Build a Winning Pitch DeckHow to Build a Winning Pitch Deck
How to Build a Winning Pitch Deck
Amazon Web Services
 
Building a web application without servers
Building a web application without serversBuilding a web application without servers
Building a web application without servers
Amazon Web Services
 
Fundraising Essentials
Fundraising EssentialsFundraising Essentials
Fundraising Essentials
Amazon Web Services
 
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
Amazon Web Services
 
Introduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container ServiceIntroduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container Service
Amazon Web Services
 

Mais de Amazon Web Services (20)

Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
 
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
 
Esegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS FargateEsegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS Fargate
 
Costruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWSCostruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWS
 
Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot
 
Open banking as a service
Open banking as a serviceOpen banking as a service
Open banking as a service
 
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
 
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
 
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows WorkloadsMicrosoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
 
Computer Vision con AWS
Computer Vision con AWSComputer Vision con AWS
Computer Vision con AWS
 
Database Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatareDatabase Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatare
 
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJSCrea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
 
API moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e webAPI moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e web
 
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatareDatabase Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
 
Tools for building your MVP on AWS
Tools for building your MVP on AWSTools for building your MVP on AWS
Tools for building your MVP on AWS
 
How to Build a Winning Pitch Deck
How to Build a Winning Pitch DeckHow to Build a Winning Pitch Deck
How to Build a Winning Pitch Deck
 
Building a web application without servers
Building a web application without serversBuilding a web application without servers
Building a web application without servers
 
Fundraising Essentials
Fundraising EssentialsFundraising Essentials
Fundraising Essentials
 
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
 
Introduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container ServiceIntroduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container Service
 

Visão Geral dos Serviços de Identidade, Diretório e Acesso da AWS - SID201 - Sao Paulo Summit

  • 1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Marcello Zillo Neto Security Solutions Architect, Amazon Web Services SID201 Visão geral dos serviços de Gestão e Identidade e Acessos AWS Alexandre Cisneiros Software Engineer, Nubank
  • 2. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Cada trajetória é única Migrando ou extendendo aplicações existentes Construindo aplicações para seus clientes nativas na nuvem Organizações ALL-IN Usando a escala da Nuvem AWS para resolver novos desafios. Mas todas requerem uma boa gestão de identidade e acessos na nuvem
  • 3. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. O que esperar de nosso bate papo Modelo mental Serviços de Gestão de Identidade e Acessos AWS Casos de uso Caso de sucesso
  • 4. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Nosso escopo de hoje IAM Autenticação, autorização, auditoria e governança de acessos na nuvem. AWS IAM (o serviço) Autentica e autorizada chamadas de APIs na AWS Inclui (o tópico)
  • 5. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Gerenciamento de identidade e acesso significa … Validando identidades de forma segura Autenticar Gerenciando o acesso com políticas refinadas. Autorizar Atendendo aos requisitos regulatórios Auditar / Governar Gerenciar bem o acesso no ambiente de nuvem desde o princípio é essencial, pois esse processo é a espinha dorsal para uma boa gestão de Segurança na Nuvem
  • 6. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Em todos os níveis Identity and Access Management (o tópico) AWS Management Console/APIs Instraestrutura AWS Aplicações AWS Suas aplicações Desenvolvedores Admins Segurança Empregados Clientes Parceiros
  • 8. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Princípios Modelo mental para serviços de gerenciamento de identidade e acesso Defina • Mais Segurança • Flexibilidade e Agilidade • Padronização • Evolução contínua • Serviços • Automações • Controles • Governança • Papéis • Responsabilidades • Perfis Foque Implemente
  • 9. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Benefícios dos Serviços de Gestão de Identidade e Acessos AWS Mais Segurança Flexibilidade Agilidade e evolução contínua
  • 11. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Serviços de Gestão de Identidade e Acessos Gerenciamento de identidade e acesso da AWS AWS Organizations Amazon Cognito AWS Single Sign-On AWS Directory Service Amazon Cloud Directory AWS Secrets Manager (NOVO!)
  • 12. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amplo portfolio de serviços de Segurança AWS Identity & Access Management (IAM) AWS Organizations Amazon Cognito AWS SSO AWS Directory Service Amazon Cloud Directory AWS Secrets Manager AWS CloudTrail AWS Config Amazon CloudWatch Amazon GuardDuty VPC Flow Logs Amazon EC2 Systems Manager AWS Shield AWS Web Application Firewall (AWS WAF) Amazon Inspector Amazon VPC (VPC) AWS KMS AWS CloudHSM Amazon Macie ACM Server-Side Encryption AWS Config Rules AWS Lambda Identidade e Acessos Controle Detectivos Segurança infraestrutura Resposta incidentes Proteção Dados
  • 14. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Casos de uso comuns Gerenciar o acesso do usuário a contas e recursos da AWS Gerenciar o acesso de aplicativos a dados e recursos Gerenciar o acesso do usuário aos seus próprios aplicativos 1 2 3
  • 15. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Acesso do usuário a contas e recursos da AWS Permitir login em contas da AWS usando as credenciais corporativas existentes. 1. Configure o acesso de SSO (federação) a cada uma das suas contas da AWS usando o AWS IAM. 2. O SSO da AWS ajuda você a gerenciar o acesso e as permissões de usuário para várias contas da AWS centralmente. Defina permissões de usuário refinadas em suas contas da AWS usando políticas do IAM. 1. O AWS Organizations ajuda você a gerenciar o uso de APIs de serviço da AWS em várias contas da AWS. 1
  • 16. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS SSO Passo1: Defina as permissões Use o AWS Organizations para estruturar as contas... Conta Master Conta Membro #1 Conta Membro #N AWS OrganizationsAWS SSO Defina permissões usando sintaxe e ferramentas padronizadas. Definições e políticas automaticamente implantadas e mantidas em contas membros. 1
  • 17. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS SSO Passo 2: Atribua permissões aos usuários Master account AWS OrganizationsAWS SSOAWS Directory Service Grupos Active Dir Direitos de acessoConexão de diretórios On-premises Use o AWS Directory Service para conectar com Active Directory on-premises. Mapeie os Grupos do Active Directory com as definições de permissões. Configure o acesso para uma conta da AWS, uma OU ou toda a organização. 1
  • 18. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Fluxo de login Conta Master AWS SSO AWS SSO portal Groups Active Dir usuários Direitos de Acesso AuthZ On-premises SAML Conta Membro Usuário navega para o portal de SSO AWS e é autenticado com credenciais corporativas AWS SSO autoriza o usuário com base em seus direitos de acesso. Ações e acessos a recursos são gerenciados por IAM policies e Organizations SCPs. Usuários são federados a uma IAM role na conta membro. 1
  • 19. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Organizations: Conceitos chaves A1 A2 A4 M Conta Master/ root Organizational unit (OU) Contas AWS Service Control Policies (SCPs) Recursos AWS A3 Dev Test Prod 1
  • 20. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Organization em conjunto com IAM Allow: EC2:*Allow: S3:* Allow: SQS:* Allow: EC2:*Allow: EC2:* SCP IAM permissions 1
  • 21. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Acesso de aplicativos a dados e recursos Evite inserir credenciais de acesso no código- fonte das aplicações, use IAM roles para permitir os acessos para a aplicação. 1. A AWS distribui e rotaciona credenciais de curto prazo em seu nome automaticamente quando estiver usando roles. 2. IAM roles funcionam com o Amazon EC2, contêineres do Amazon EC2 e funções do AWS Lambda. Você pode definir permissões refinadas para recursos da AWS usando políticas do IAM. 2
  • 22. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Recursos AWS IAM Roles para aplicativos Seu código Sistema Operacional Instância EC2 Credenciais AWS entregues automaticamente e rotacionadas periodicamente Auto descoberta de credenciais AWS e uso Acesso controlado pela política de IAM (roles) Também trabalha com AWS Lambda & Amazon ECS 2
  • 23. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. IAM roles fornecem aos seus aplicativos uma solução confiável, segura e rotativa para credenciais da AWS Mas e as demais credenciais? • Conexão de Bancos de Dados? • APIs de terceiros? • Tokens OAuth? Como evitar o beco sem saída onde não é possível trocar as senhas de aplicações? 2 Gerenciar acesso a aplicativos
  • 24. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Gerenciamento de ciclo de vida para credenciais, como credenciais de banco de dados e chaves de API Rotacione credenciais de forma segura Pague pelo uso Gerenciar o acesso com políticas refinadas Audite e garanta segurança de forma centralizada AWS Secrets Manager2
  • 25. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Secrets Manager: Características principais Rotação Segura de credenciais Integrações extensíveis com o Lambda Rotação por demanda ou automática com controle de versão Políticas de acesso refinadas Armazenamento encriptado Log e monitoração 2
  • 26. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Recursos AWS AWS Secrets Manager: Arquitetura Seu Código Sistema Operacional Instância EC2 Outros recursos Credenciais AWS entregues Automaticamente (como antes) Cred DB Rotação Segura Solução confiável, segura para rotação automática para TODAS as credenciais 2
  • 27. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Gerenciar acesso aos seus próprios aplicativos Permita que os usuários utilizem suas próprias identidades dos provedores de identidade de rede social e corporativa com o Amazon Cognito. • Integrações para Facebook, Google e Amazon. • Integra-se a provedores de identidade corporativa que suportam OAuth 2.0, SAML 2.0 e OpenID Connect (OIDC). Crie diretórios de usuários nativos da nuvem com perfis de usuário extensíveis. Acesso seguro aos seus aplicativos usando autenticação adaptativa baseada em risco 3
  • 28. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Cognito Get AWS credentials Amazon Cognito identity poolAmazon DynamoDB Amazon S3 Access AWS services Federating IdP Amazon Cognito user poolO user pool autentica usuários e retorna tokens padrão. Os tokens do Amazon Cognito (CUP) são usados para acessar suas APIs personalizadas Identity Pool provê credenciais AWS role-based (baseadas em função) para acessar os serviços da AWS Authenticate 3 CUP token1 IdP token 2 Redirect / Post back CUP Token 5 6 Access serverless backendCUP Token API GW 4 Lambda 3
  • 30. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  • 31. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Kubernetes com autenticação integrada ao IAM desde o dia zero O Nubank é uma empresa de tecnologia que quer tirar toda a complexidade que víamos no setor financeiro para que as pessoas tenham de novo o poder sobre seu dinheiro. O principal produto, o cartão de crédito sem tarifas, tem mais de 4 milhões de clientes.
  • 32. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. O Desafio Migrar 160+ microsserviços que rodam diretamente em instâncias para clusters de Kubernetes. Manter, no mínimo, o mesmo nível de segurança e controle de acesso que já temos hoje.
  • 33. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Como era antes? Pessoas Aplicações AWS
  • 34. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Como queríamos? Pessoas Kubernetes Aplicação C AWS IAM Users? Aplicação B Aplicação A
  • 35. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Autenticação de pessoas Kubectl Heptio Authenticator AWS Kubernetes Master Nu CLI Heptio Authenticator
  • 36. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Autorização de pessoas: Nubank Deploy + RBAC Nubank Deploy AWS Kubernetes Master RBAC
  • 37. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Aplicações: Nubank Deploy + Kube2IAM Nubank Deploy AWS Kubernetes Aplicação Kube2IAM
  • 38. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Aplicações: Nubank Deploy + Kube2IAM Nubank Deploy AWS Kubernetes Aplicação Kube2IAM
  • 39. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Resultado Conseguimos continuar centralizando nosso controle de acesso no IAM com Users, Groups e Roles, graças à extensibilidade da API. Aplicamos Trust Relationship na IAM Role para garantir que apenas esse cluster pode assumi-la. “Centralizar nossas permissões no IAM e usar tecnologias open source nos permite evoluir de maneira ágil e eficiente”
  • 41. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Resumindo 1. Planeje a Gestão de Identidade e Acessos desde o início da sua jornada na nuvem. 2. Utilize os recursos e serviços nativos da nuvem AWS para gestionar os acessos e aumentar seu nível de segurança. 3. Segurança é um processo evolutivo e contínuo, implemente controles e melhores práticas em todas as camadas de acesso.
  • 42. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Por favor, preencha a pesquisa no aplicativo móvel.
  • 43. Submit Session Feedback 1. Tap the Schedule icon. 2. Select the session you attended. 3. Tap Session Evaluation to submit your feedback.
  • 44. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved. Obrigado mzillo@amazon.com alexandre.cisneiros@nubank.com.br