Compliance - ribeiry/AWS-Professional-Study GitHub Wiki

AWS Organization

AWS Organization é um serviço de gerenciamento que permite consolidar multiplas contas em uma só "organization" e gerenciar centralizadamente.

Consolidated Billing

Você pode usar o recurso de faturamento consolidado no AWS Organizations para consolidar o faturamento e o pagamento de várias contas da Contas da AWS ou da Amazon Internet Services Pvt. Ltd. (AISPL). Toda organização no AWS Organizations tem uma conta de gerenciamento que paga as despesas de todas as contas-membro. Para obter mais informações sobre organizações, consulte o Guia do usuário do AWS Organizations.

O faturamento consolidado tem os seguintes benefícios:

  • Uma fatura – Você recebe uma fatura para várias contas.

  • Fácil rastreamento – Você pode rastrear as despesas em várias contas e fazer download dos dados combinados de custos e uso.

  • Uso combinado – É possível combinar o uso em todas as contas da organização para compartilhar os descontos de preços por volume, os descontos de instância reservada e os Savings Plans. Isso pode resultar em um custo mais baixo para o seu projeto, departamento ou empresa do que com contas independentes individuais. Para obter mais informações, consulte . Descontos por volume.

  • Sem taxa extra – O faturamento consolidado é oferecido sem qualquer custo adicional.

AWS RAM(Resource Access Managemer)

Serviço que habilita de uma forma facil e rapida o compartilhamento de recursos AWS com várias contas AWS de sua Organização

  • Você pode compartilhar Transit Gateway, Subnets, Route53, Subnets

VPC Sharing - O compartilhamento de VPC (parte do Resource Access Manager) permite que várias contas da AWS criem seus recursos de aplicativo, como instâncias EC2, bancos de dados RDS, clusters Redshift e funções Lambda, em Amazon Virtual Private Cloud (VPCs) compartilhados e gerenciados centralmente. Para configurar isso, a conta que possui o VPC (proprietário) compartilha uma ou mais sub-redes com outras contas (participantes) que pertencem à mesma organização do AWS Organizations. Depois que uma sub-rede é compartilhada, os participantes podem visualizar, criar, modificar e excluir seus recursos de aplicativo nas sub-redes compartilhadas com eles. Os participantes não podem visualizar, modificar ou excluir recursos que pertencem a outros participantes ou ao proprietário do VPC. Você pode compartilhar Amazon VPCs para aproveitar o roteamento implícito em um VPC para aplicativos que exigem um alto grau de interconectividade e estão dentro dos mesmos limites de confiança. Isso reduz o número de VPCs que você cria e gerencia enquanto usa contas separadas para faturamento e controle de acessos.

AWS Config

É um serviço totalmente gerenciado que prove uma fonte para inventario de recursos um historico de configuração dos recursos, e notificações de configurações dos recursos de segurança e para compliance. AWS Config automaticamente avalia a alteração na configuração de recursos contra a configuração que você especificou.

Remediante Noomcompliant

AWS Config permite voce remediar os recursos noncompliant que são avaliado pela AWS Config Rules. AWS Config aplica a remediação usando AWS Systems Manager Automation documents. Esses documentos define que as ações são perfomada ou não compliance AWS recursos são avaliado pelo AWS Config Rules. Voce pode associar SSM documents por usar AWS management Console ou por usar API's. AWS Config prover setar a configuração do automação de documentos com remediação de ações. Voce pode também criar e associar automação de customização de documentos com AWS Config Rules.

Para aplicar a remediação de um recurso não compliance, voce pode escolher qualquer ação de remediação voce quer associar de uma lista prepopulada ou criar sua propria ação de remediação customizada usando o SSM document. AWS Config prove uma recomenda lista de ações de remediação no AWS Management Console.

No AWS Management Console, voce pode escolher entre remediações noncompliant automatica ou manual recursos associados por ações de remediações com AWS Config rules. Com todas as ações de remediações, voce pode escolher entre manual ou automatica.

License Manager

License Manager é um serviço que facilita o gerenciamento de licenças de software como Microsoft, SAP, Oracle etc. Fornecendo ontrole e visibilidade sobre o usu das suas licenças permitindo que você limite licenciamento excedentes e reduza o risco de não conformidade. Voce pode economizar custos usando oportunidades como Bring-Your-Own-License (BYOL), ou seja você pode definir suas licenças existentes para uso com recursos na nuvem.

IAM

Serviço Universal onde pode ser criado e controlado entidades (Users, Groups e Roles) e criação de Policies. É através do IAM que se gerencia a Root Account (Owner da conta criada)

  • Acces Key e Secret Key: Usado programaticamente para para chamadas de API do IAM
  • IAM Query API: Query parameters usado programaticamente para para chamadas de API do IAM

Você pode usar a verificação de condição nas políticas do IAM para procurar uma tag específica. O IAM verifica se a tag anexada ao principal que faz a solicitação corresponde ao nome e valor da chave especificados.

Obs.:

  • IAM Groups é exclusivamente para usuários e não para instancias
  • Quando um novo usuario é criado via Console Managemente vc deve escolher incluir senha ou acess key, quando vc cria um novo usuario IAM via CLI ou AWS Api nenhum tipo de credencial é setado por default, vc deve criar posteriormente de acordo com as necessidades do seu usuário.

IAM Database Autentication

Mecanismo de autententicação de databases para MySQL e Postgre, gerenciado pelo IAM. Com esse método de autenticação, você não precisa usar uma senha quando se conectar a uma instância de banco de dados. Em vez disso, você usa um token de autenticação. Um token de autenticação é uma string exclusiva de caracteres que o Amazon RDS gera mediante solicitação. Os tokens de autenticação são gerados usando o Signature Versão 4 da AWS. Cada token tem uma vida útil de 15 minutos. Você não precisa armazenar as credenciais de usuário no banco de dados, porque a autenticação é gerenciada externamente usando o IAM. Você também pode usar a autenticação de banco de dados padrão caso necessite.

Benefícios

  • Trafego de rede do IAM para a base de dados é criptografado usando Secure Sockets Layer (SSL).
  • Você pode usar o IAM para centralizar o gerenciamento de acesso do seu recurso de database, ao invés de gerenciar cada Data base individualmente.
  • Para aplicações rodando no Amazon EC2, voce pode usar perfil de credenciais especificas para a sua instancia para acessar a sua database ao invés de senha para aumentar a segurança.

IAM Security Tools

IAM Credential Report (nível de conta)

Um report que lista todas as contas de usuário e o status de suas varias credenciais

IAM Access Advisor

Access Advisor mostra as permissões de serviços concedida a um usuário e quando esses serviços foram acessados pela última vez. Você pode usar essa informação para revisar suas policies.

Politicas e permissões do IAM

Voce pode gerenciar os acessos na AWS criando politicas e anexando-as identidades do IAM ou a recursos da AWS. Uma politica é um objeto na AWS que, quando associada ou a um recurso, voce define suas permissões. Existe 6 tipos de Politicas na AWS.

Políticas baseadas em identidade

São politicas de permissões baseadas em documentos json que controla as ações de uma identidade, as politicas podem ser categorizada em :

  • Politica gerenciada pela AWS: politicas criadas e gerenciadas pela Aws
  • Politicas gerenciada pelo cliente: politicas criadas e gerenciadas pelo cliente

Politicas em linha

Politicas adicionado em um unico usuario, grupo ou função. As politicas em linha mantem um relacionamento estrito de um para um entre politica e indentidade. Elas são excluidas quando voce exclui a identidade

Politica baseada em recursos

São documentos em json que voce anexa a um recurso, como por exemplo em um bucket S3. Essas politicas concedem permissões ao principal espeficicado para executar ações especifica nesse recurso e definem em que condições isso se aplica.As politicas de recursos são baseadas em linha.

Limites de permissões do IAM (Permissions boundaries)

Essa politica defini o numero maximo de permissões que as politicas baseadas em identidade podem conceder a uma identidade, mas nao concede permissões.Os limites de permissões não definem o numero maximo de permissões que uma politica baseada em recurso pode conceder a uma entidade.

Políticas baseadas em identidade com limites

As políticas baseadas em identidade são políticas em linha ou gerenciadas que são anexadas a um usuário, grupo de usuários ou função. As políticas baseadas em identidade concedem permissão para a entidade, e os limites de permissões limitam essas permissões. As permissões efetivas são a interseção de ambos os tipos de política. Uma negação explícita em qualquer uma dessas políticas substitui a permissão.

Politicas de SCP's

Use uma política de controle de serviço (SCP) do AWS Organizations para definir o número máximo de permissões para os membros da conta de uma organização ou unidade organizacional (UO). As SCPs limitam as permissões que as políticas baseadas em identidade ou políticas baseadas em recurso concedem a entidades (usuários ou funções) dentro da conta, mas não concedem permissões.

  • Disponíveis apenas em uma organização que tenha todos os recursos habilitados
  • Nenhuma permissão é concedida por uma SCP, ela apenas efetua listas de negações. Ou seja voce nega o acesso mas não concede permissão via SCP
  • Uma SCP define uma proteção ou limites sobre as ações que o administrador da conta pode delegar aos usuários e funções do IAM nas contas afetadas
  • SCPs não estarão disponíveis se sua organização tiver habilitado apenas os recursos de faturamento consolidado.
  • Não aplicável a conta root
  • Você não pode modificar um SCP que é aplicado a várias UOs em uma UO filha. Deve ser editado em um só lugar
Tarefas e entidades não restringidas pelo SCP's

Você não pode usar SCP's para restringir as seguintes tarefas:

  • Qualquer ação performada pelo gerenciamento de conta;
  • Qualquer ação performada usando permissões que são anexada para um serviço linked role;
  • Registro de um suporte Enterprise plano para um usuário root;
  • Mudança de nivel de suporte da AWS como usuario root;
  • Prover uma funcionalidade de assinante confiavel para um CloudFront de conteudo privado;
  • Configuração do DNS reverso para um Amazon LightSail servidor de email e instancia EC2 para um usuario raiz;
  • SCP's não afeta nenhum service-linked role. Service-linked roles habilita outro serviço para integrar com AWS Organization e não pode restringi pelo SCP.

Lista de controles de acessos (ACLS)

Use ACLs para controlar quais entidades de segurança em outras contas podem acessar o recurso ao qual a ACL está anexada. As ACLs são semelhantes às políticas baseadas em recurso, embora sejam o único tipo de política que não usa a estrutura de documento de política JSON. As ACLs são políticas de permissões entre contas que concedem permissões para a entidade principal especificada. As ACLs não podem conceder permissões para entidades na mesma conta.

Politicas de sessão

Transmita políticas de sessão avançadas ao usar a AWS CLI ou a API da AWS para assumir uma função ou um usuário federado. As políticas de sessão limitam as permissões que as políticas baseada em identidade do usuário ou função concedem à sessão. As políticas de sessão limitam as permissões para uma sessão criada, mas não concedem permissões.

AWS System Manager ( SSM )

System Manager é um serviço da AWS que você pode usar para visualizar e controlar sua infraestrutura na AWS. Usando o console do Systems Manager, você pode exibir dados operacionais de vários serviços da AWS e automatizar tarefas operacionais nos recursos da AWS. O Systems Manager ajuda você a manter a segurança e a conformidade verificando suas instâncias gerenciadas e gerando relatórios (ou tomando medidas corretivas) sobre quaisquer violações de políticas detectadas.

Uma instância gerenciada é uma máquina que foi configurada para uso com o Systems Manager. O Systems Manager também ajuda você a configurar e manter suas instâncias gerenciadas. Os tipos de máquina compatíveis incluem instâncias do Amazon Elastic Compute Cloud (Amazon EC2), servidores on-premises e máquinas virtuais (VMs), incluindo VMs em outros ambientes de nuvem. Os tipos de sistema operacional com suporte incluem Windows Server, macOS, Raspberry Pi OS (anteriormente Raspbian) e várias distribuições do Linux.

Patch Manager

O Patch Manager, capacibilita o AWS Systems Manager, automatiza o processo de gerenciamento de patchs em nó com com segurança e outros tipos de atualizações. Voce pode usar o Patch Manager para aplicar patchs para ambos sistemas operacionais e aplicações. No windows server, suporte aplicações é limitado para atualizações em nós Linux. Voce pode corrigir frotas de EC2 instancias, ou sua em sua intansica on-primese e virtual machines pelo sistema operacional.

AplyPatchBaseline x RunPatchBaseline

A AWS-ApplyPatchBaseline Systems Manager Document( SSM Document) não suporte gerenciamento de nós Linux. Para aplicar patch baselines para Linux, MacOs e Windows Server gerenciamento de nós, nós recomendamos o SSM documento é AWS-RunPatchBaseline.

Service Catalog

Launch Constraint

Um Launch Constraint especifica o AWS Identity and Access Management (IAM) role que o AWS Service Catalog assume quando um usuário final inicia um produto. Um IAM Role e uma coleção de permissões que um IAM User ou AWS Service pode assumir temporariamente para usar os serviços AWS.

Launch Constraints aplica para os produtos no portifólio (product-portifolio association). Lauch Constraint não aplica no nível de portifólio ou para um produto entre todos os portifólios. Para associar a launch constraint com todos os produtos em um portifólio, você deve aplicar o lauch constraint para cada produto individualmente.

Sem uma launch constraint, os usuários finais devem lançar e gerenciar produtos usando suas próprias credenciais de IAM. Para fazer isso, eles devem ter permissões para AWS CloudFormation, serviços da AWS que os produtos usam e AWS Service Catalog. Ao usar uma função de inicialização, você pode limitar as permissões dos usuários finais ao mínimo que eles exigem para aquele produto.

Para criar e atribuir papéis de IAM, você deve ter as seguintes permissões administrativas de IAM:

  • iam:CreateRole
  • iam:PutRolePolicy
  • iam:PassRole
  • iam:Get*
  • iam:List*