# Gerenciamento de identidade e acesso
<a name="a-identity-and-access-management"></a>

**Topics**
+ [SEC 2  Como você gerencia a autenticação de pessoas e máquinas?](w2aac19b7b7b5.md)
+ [SEC 3  Como você gerencia permissões para pessoas e máquinas?](w2aac19b7b7b7.md)

# SEC 2  Como você gerencia a autenticação de pessoas e máquinas?
<a name="w2aac19b7b7b5"></a>

 Há dois tipos de identidade que você precisa gerenciar para operar workloads seguras da AWS. Entender o tipo de identidade de que você precisa para gerenciar e conceder acesso ajuda a garantir que as identidades corretas tenham acesso aos recursos certos nas condições certas. 

Identidades humanas: seus administradores, desenvolvedores, operadores e usuários finais precisam de uma identidade para acessar seus ambientes e aplicações na AWS. Eles são membros de sua organização ou usuários externos com quem você colabora e que interagem com seus recursos da AWS por meio de um navegador da Web, de uma aplicação cliente ou de ferramentas interativas de linha de comando. 

Identidades de máquina: suas aplicações de serviço, ferramentas operacionais e workloads precisam de uma identidade para fazer solicitações a serviços da AWS para ler dados, por exemplo. Essas identidades incluem máquinas em execução em seu ambiente da AWS, como instâncias do Amazon EC2 ou funções do AWS Lambda. Você também pode gerenciar identidades de máquina para partes externas que precisam de acesso. Além disso, você pode ter máquinas fora da AWS que precisam de acesso ao seu ambiente da AWS. 

**Topics**
+ [SEC02-BP01 Usar mecanismos de login fortes](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Usar credenciais temporárias](sec_identities_unique.md)
+ [SEC02-BP03 Armazenar e usar segredos com segurança](sec_identities_secrets.md)
+ [SEC02-BP04 Contar com um provedor de identidades centralizado:](sec_identities_identity_provider.md)
+ [SEC02-BP05 Fazer a auditoria e a rotação periódica das credenciais](sec_identities_audit.md)
+ [SEC02-BP06 Utilizar grupos e atributos de usuários](sec_identities_groups_attributes.md)

# SEC02-BP01 Usar mecanismos de login fortes
<a name="sec_identities_enforce_mechanisms"></a>

 Imponha o tamanho mínimo da senha e instrua os usuários a evitar senhas comuns ou reutilizadas. Aplique a Multi-Factor Authentication (MFA – Autenticação multifator) com mecanismos de software ou hardware para fornecer uma camada adicional de verificação. Por exemplo, quando usar o Centro de Identidade do IAM como origem de identidade, defina a configuração de “reconhecimento de contexto” ou “sempre ativo” da MFA e permita que os usuários inscrevam seus próprios dispositivos MFA para acelerar a adoção. Ao usar um Identity Provider (IdP – Provedor de identidade) externo, configure-o para MFA. 

 **Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto 

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Criar uma política do Identify and Access Management (IAM) para aplicar o login de MFA: crie uma política gerenciada pelo cliente do IAM que proíba todas as ações do IAM, exceto aquelas que permitem que um usuário assuma perfis, altere suas próprias credenciais e gerencie seus dispositivos MFA na [página My Security Credentials (Minhas credenciais de segurança)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Habilitar a MFA no provedor de identidades: habilite a [MFA](https:/aws.amazon.com/iam/details/mfa) no provedor de identidades ou serviço de logon único, como o [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que você usa. 
+  Configurar uma política de senhas robusta para seus usuários: configure uma [política de senha](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) forte no IAM e nos sistemas de identidade federada para ajudar na proteção contra ataques de força bruta. 
+  [Alternar credenciais regularmente](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)verifique se os administradores de sua workload alteram senhas e chaves de acesso (se usadas) regularmente. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vídeos relacionados:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with IAM Identity Center (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP02 Usar credenciais temporárias
<a name="sec_identities_unique"></a>

 exija que as identidades adquiram [credenciais temporárias dinamicamente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Para identidades de força de trabalho, use o Centro de Identidade do AWS IAM ou a federação com perfis do AWS Identity and Access Management (IAM) para acessar as Contas da AWS. Para identidades de máquina, como instâncias do Amazon Elastic Compute Cloud(Amazon EC2) ou funções do AWS Lambda, exija o uso de perfis do IAM em vez de usuários do IAM com chaves de acesso de longo prazo. 

Para identidades humanas que usam o Console de gerenciamento da AWS, exija que os usuários adquiram credenciais temporárias e façam a federação na AWS. Você pode fazer isso usando o portal do usuário do Centro de Identidade do AWS IAM. Para usuários que precisam de acesso à CLI, certifique-se de que eles usem a [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), que oferece suporte para integração direta com o IAM Identity Center. Os usuários podem criar perfis de CLI vinculados a contas e perfis do Centro de Identidade do IAM. A CLI recupera automaticamente as credenciais da AWS do IAM Identity Center e as atualiza em seu nome. Isso elimina a necessidade de copiar e colar credenciais temporárias da AWS no console do IAM Identity Center. Para SDK, os usuários devem contar com o AWS Security Token Service (AWS STS) para assumir perfis e receber credenciais temporárias. Em alguns casos, credenciais temporárias podem não ser práticas. Você deve estar ciente dos riscos de armazenar chaves de acesso. Alterne-as com frequência e exija a autenticação multifator (MFA) como uma condição, quando possível. Use as últimas informações acessadas para determinar quando alternar ou remover as chaves de acesso.

Para casos em que você precisa conceder aos consumidores acesso aos seus recursos da AWS, use os grupos de identidade do [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) e atribua a eles um conjunto de credenciais de privilégios temporários e limitados para acessar seus recursos da AWS. As permissões para cada usuário são controladas por meio de [perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que você cria. Você pode definir regras para escolher a função de cada usuário com base em solicitações no token de ID do usuário. Você pode definir uma função padrão para usuários autenticados. Você também pode definir uma função do IAM separada com permissões limitadas para usuários convidados que não são autenticados.

Para identidades de máquina, você deve confiar em perfis do IAM para conceder acesso à AWS. Para instâncias do Amazon Elastic Compute Cloud(Amazon EC2), você pode usar [perfis do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Você pode anexar um perfil do IAM à sua instância do Amazon EC2 para permitir que suas aplicações em execução no Amazon EC2 usem credenciais de segurança temporárias que a AWS cria, distribui e alterna automaticamente por meio do Instance Metadata Service (IMDS – Serviço de metadados da instância). A [versão mais recente](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) do IMDS ajuda a proteger contra vulnerabilidades que expõem as credenciais temporárias e devem ser implementadas. Para acessar instâncias do Amazon EC2 usando chaves ou senhas, o [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) é uma maneira mais segura de acessar e gerenciar suas instâncias usando um agente pré-instalado sem o segredo armazenado. Além disso, outros serviços da AWS, como o AWS Lambda, permitem que você configure um perfil de serviço do IAM para conceder permissões de serviço a fim de executar ações da AWS usando credenciais temporárias. Em situações em que não é possível usar credenciais temporárias, use ferramentas programáticas, como o [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), para automatizar a rotação e o gerenciamento de credenciais.

**Fazer a auditoria e a rotação periódica das credenciais: **A validação periódica, preferencialmente por meio de uma ferramenta automatizada, é necessária para verificar se os controles corretos são aplicados. Para identidades humanas, você deve exigir que os usuários alterem suas senhas periodicamente e retirem chaves de acesso em favor de credenciais temporárias. Conforme você migra usuários do IAM para identidades centralizadas, é possível [gerar um relatório de credenciais ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar os usuários do IAM. Também recomendamos implementar as configurações de MFA no provedor de identidades. Você pode configurar o [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para monitorar essas configurações. Para identidades de máquina, você deve confiar em credenciais temporárias usando perfis do IAM. Para situações em que isso não é possível, é necessária a auditoria frequente e a mudança de chaves de acesso.

**Armazenar e usar segredos com segurança:** para credenciais não relacionadas ao IAM e que não podem usar credenciais temporárias, como logins de banco de dados, use um serviço projetado para lidar com o gerenciamento de segredos, como o [Secrets Manager](https://aws.amazon.com/secrets-manager/). O Secrets Manager facilita o gerenciamento, a rotação e o armazenamento seguro de segredos criptografados usando [serviços com suporte](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). As chamadas para acessar os segredos são registradas no AWS CloudTrail para fins de auditoria, e as permissões do IAM podem conceder privilégio mínimo a elas.

 **Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto 

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Implementar políticas de privilégio mínimo: atribua políticas de acesso com privilégio mínimo a grupos e perfis do IAM para refletir a função do usuário ou a função que você definiu. 
  +  [Grant least privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  Remover permissões desnecessárias: implemente o privilégio mínimo removendo permissões desnecessárias. 
  +  [Redução do escopo da política ao exibir a atividade do usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
  +  [Visualizar acesso à função](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites) 
+  Considerar os limites de permissões: um limite de permissões é um recurso avançado para usar uma política gerenciada que define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. O limite de permissões de uma entidade permite que ela execute apenas as ações aceitas por suas políticas baseadas em identidade e seus limites de permissões. 
  +  [Laboratório: limites de permissões do IAM que delegam a criação de perfis](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 
+  Considerar tags de recursos para permissões: você pode usar tags para controlar o acesso aos recursos da AWS que oferecem suporte à marcação. Você também pode marcar usuários e perfis do IAM para controlar o que eles podem acessar. 
  +  [Laboratório: Controle de acesso baseado em tags do IAM para o EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 
  +  [AttributeControle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vídeos relacionados:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP03 Armazenar e usar segredos com segurança
<a name="sec_identities_secrets"></a>

 As identidades de força de trabalho e de máquina que precisam de segredos, como senhas para aplicações de terceiros, devem ser armazenadas com rotação automática, segundo os padrões mais recentes do setor, em um serviço especializado, como credenciais não relacionadas ao IAM e que não podem usar credenciais temporárias, como logins de banco de dados. Use um serviço projetado para lidar com o gerenciamento de segredos, como o AWS Secrets Manager. O Secrets Manager facilita o gerenciamento, a rotação e o armazenamento seguro de segredos criptografados usando serviços compatíveis. As chamadas para acessar os segredos são registradas no AWS CloudTrail para fins de auditoria, e as permissões do IAM podem conceder acesso de privilégio mínimo a elas. 

 **Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto 

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Use o AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) é um serviço da AWS que facilita o gerenciamento de segredos. Segredos podem ser credenciais de banco de dados, senhas, chaves de API de terceiros e até texto arbitrário. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+  [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 

 **Vídeos relacionados:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4) 

# SEC02-BP04 Contar com um provedor de identidades centralizado:
<a name="sec_identities_identity_provider"></a>

 Para identidades da força de trabalho, conte com um provedor de identidade que permita a você gerenciar identidades em um local centralizado. Isso facilita o gerenciamento do acesso em vários aplicativos e serviços, pois você está criando, gerenciando e revogando o acesso de um único local. Por exemplo, se alguém deixar sua organização, você poderá revogar o acesso a todos os serviços e aplicações (incluindo a AWS) de um único local. Esse procedimento reduz a exigência de várias credenciais e oferece uma oportunidade de integração com processos de recursos humanos (RH) existentes. 

Para federação com contas individuais da AWS, você pode usar identidades centralizadas da AWS com um provedor baseado em SAML 2.0 com o AWS Identity and Access Management. Você pode usar qualquer provedor (hospedado por você na AWS, externo à AWS ou fornecido pela AWS Partner, que seja compatível com o protocolo [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Você pode usar a federação entre sua conta da AWS e o provedor escolhido a fim de conceder acesso a um usuário ou a uma aplicação para chamar operações da API da AWS com uma declaração SAML para obter credenciais de segurança temporárias. Também há suporte para logon único baseado na Web, permitindo que os usuários façam login no Console de gerenciamento da AWS por meio do site de login.

Para federação em várias contas no AWS Organizations, você pode configurar sua origem de identidade no [Centro de Identidade do AWS IAM (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)e especificar onde seus usuários e grupos são armazenados. Uma vez configurado, seu provedor de identidade é sua fonte confiável, e as informações podem ser [sincronizadaas](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) com o uso do protocolo System for Cross-domain Identity Management (SCIM) v2.0. Em seguida, você pode pesquisar usuários ou grupos e conceder a eles acesso de IAM Identity Center a contas da AWS, aplicações de nuvem ou ambos.

O IAM Identity Center integra-se ao AWS Organizations, o que permite configurar seu provedor de identidade uma vez e, em seguida, [conceder acesso a contas novas e existentes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gerenciadas na sua organização. O IAM Identity Center fornece um armazenamento padrão, que você pode usar para gerenciar seus usuários e grupos. Se você optar por usar o armazenamento do IAM Identity Center, crie seus usuários e grupos e atribua o nível de acesso deles às suas contas e aplicações da AWS, tendo em mente a prática recomendada do privilégio mínimo. Como alternativa, você pode optar por [Conectar-se ao seu provedor de identidade externo ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)usando SAML 2.0 ou [Conectar-se ao seu diretório do Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) usando o AWS Directory Service. Depois de configurado, você pode fazer login no Console de gerenciamento da AWS ou no aplicativo móvel da AWS, autenticando por meio do provedor de identidades central.

Para gerenciar usuários finais ou consumidores de suas cargas de trabalho, como um aplicativo para dispositivos móveis, você pode usar o [Amazon Cognito](http://aws.amazon.com/cognito/). Ele fornece autenticação, autorização e gerenciamento de usuários para aplicativos Web e para dispositivos móveis. Os usuários podem fazer login diretamente com um nome do usuário e senha ou por meio de terceiros, como Amazon, Apple, Facebook ou Google.

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação de implementação
<a name="implementation-guidance"></a>
+  Centralize o acesso administrativo: crie uma entidade de provedor de identidades do Identity and Access Management (IAM) para estabelecer um relacionamento confiável entre o Conta da AWS e o provedor de identidades (IdP). O IAM oferece suporte a IdPs compatíveis com OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). 
  +  [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Centralize o acesso à aplicação: considere o Amazon Cognito para centralizar o acesso à aplicação. O produto permite que você adicione cadastro/login de usuários e controle de acesso aos seus aplicativos móveis e web de forma rápida e fácil. [Amazon Cognito](https://aws.amazon.com/cognito/) escala para milhões de usuários e oferece suporte ao login com provedores de identidades sociais, como Facebook, Google e Amazon, e provedores de identidade corporativa via SAML 2.0. 
+  Remova usuários e grupos antigos do IAM: depois de começar a usar um provedor de identidades (IdP), remova usuários e grupos do IAM que não são mais necessários. 
  +  [Encontrar credenciais não utilizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Excluir um grupo do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vídeos relacionados:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP05 Fazer a auditoria e a rotação periódica das credenciais
<a name="sec_identities_audit"></a>

 Quando você não puder contar com credenciais temporárias e exigir credenciais de longo prazo, faça uma auditoria das credenciais para garantir que os controles definidos, por exemplo, autenticação multifator (MFA), sejam aplicados, alternados regularmente e que tenham o nível de acesso apropriado. A validação periódica, preferencialmente por meio de uma ferramenta automatizada, é necessária para verificar se os controles corretos são aplicados. Para identidades humanas, você deve exigir que os usuários alterem suas senhas periodicamente e retirem chaves de acesso em favor de credenciais temporárias. Conforme você migra usuários do AWS Identity and Access Management (IAM) para identidades centralizadas, é possível [gerar um relatório de credenciais ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar os usuários do IAM. Também recomendamos que implementar as configurações de MFA no provedor de identidades. Você pode configurar o [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para monitorar essas configurações. Para identidades de máquina, você deve confiar em credenciais temporárias usando perfis do IAM. Para situações em que isso não é possível, é necessária a auditoria frequente e a mudança de chaves de acesso. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação de implementação
<a name="implementation-guidance"></a>
+  Faça auditoria de credenciais regularmente: use relatórios de credenciais e o Identity and Access Management (IAM) Access Analyzer para auditar credenciais e permissões do IAM. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Obtenção do relatório de credenciais](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Laboratório: Limpeza automatizada de usuários do IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Use os níveis de acesso para revisar as permissões do IAM: para melhorar a segurança da sua Conta da AWS, revise e monitore regularmente cada uma das políticas do IAM. Certifique-se de que suas políticas concedam o privilégio mínimo para executar apenas as ações necessárias. 
  +  [Usar níveis de acesso para revisar permissões do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Considere automatizar a criação e as atualizações de recursos do IAM: o AWS CloudFormation pode ser usado para automatizar a implantação de recursos do IAM, incluindo perfis e políticas, para reduzir erros humanos, pois os modelos podem ser verificados e ter controle de versão. 
  +  [Laboratório: Implantação automatizada de grupos e perfis do IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Vídeos relacionados:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP06 Utilizar grupos e atributos de usuários
<a name="sec_identities_groups_attributes"></a>

 À medida que o número de usuários gerenciados cresce, você precisará determinar maneiras de organizá-los para que você possa gerenciá-los em grande escala. Coloque usuários com requisitos de segurança comuns em grupos definidos pelo provedor de identidade e implemente mecanismos para garantir que os atributos de usuário que podem ser usados para controle de acesso (por exemplo, departamento ou localização) estejam corretos e atualizados. Use esses grupos e atributos para controlar o acesso em vez de usuários individuais. Isso permite que você gerencie o acesso centralmente, alterando a associação ao grupo ou os atributos de um usuário uma vez com um [conjunto de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), em vez de atualizar várias políticas individuais quando as necessidades de acesso de um usuário mudarem. Você pode usar o Centro de Identidade do AWS IAM (IAM Identity Center) para gerenciar grupos e atributos de usuários. O IAM Identity Center oferece suporte aos atributos mais usados, quer eles sejam inseridos manualmente durante a criação do usuário ou provisionados automaticamente usando um mecanismo de sincronização, como definido na especificação System for Cross-Domain Identity Management (SCIM). 

Coloque usuários com requisitos de segurança comuns em grupos definidos pelo provedor de identidade e implemente mecanismos para garantir que os atributos de usuário que podem ser usados para controle de acesso (por exemplo, departamento ou localização) estejam corretos e atualizados. Use esses grupos e atributos, em vez de usuários individuais, para controlar o acesso. Com isso, você pode gerenciar o acesso centralmente. Basta alterar uma vez a associação ou os atributos do grupo de um usuário. Ou seja, não será preciso atualizar muitas políticas individuais quando as necessidades de acesso de um usuário mudarem.

 **Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Baixo 

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Se estiver usando o Centro de Identidade do AWS IAM (IAM Identity Center), configure grupos: o IAM Identity Center permite configurar grupos de usuários e atribuir aos grupos o nível desejado de permissão. 
  +  [AWS Single Sign-On: gerenciar identidades](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Saiba mais sobre o controle de acesso por atributo (ABAC): o ABAC é uma estratégia de autorização que define permissões com base em atributos. 
  +  [O que é ABAC para a AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Laboratório: Controle de acesso baseado em tags do IAM para o EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vídeos relacionados:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Exemplos relacionados:** 
+  [Laboratório: Controle de acesso baseado em tags do IAM para o EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

# SEC 3  Como você gerencia permissões para pessoas e máquinas?
<a name="w2aac19b7b7b7"></a>

 Gerencie permissões para controlar o acesso a identidades de pessoas e máquinas que precisam de acesso à AWS e à sua workload. As permissões controlam quem pode acessar o quê e em quais condições. 

**Topics**
+ [SEC03-BP01 Definir requisitos de acesso](sec_permissions_define.md)
+ [SEC03-BP02 Conceder acesso com privilégio mínimo](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Estabelecer processo de acesso de emergência](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Reduzir as permissões continuamente](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definir barreiras de proteção de permissões para sua organização](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Gerenciar o acesso com base no ciclo de vida](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analisar o acesso público e entre contas](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Compartilhar recursos com segurança](sec_permissions_share_securely.md)

# SEC03-BP01 Definir requisitos de acesso
<a name="sec_permissions_define"></a>

Cada componente ou recurso de sua workload precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente, escolher o tipo de identidade apropriado e o método de autenticação e autorização.

 **Antipadrões comuns:** 
+ Codificação rígida ou armazenamento de segredos em sua aplicação. 
+ Conceder permissões personalizadas a cada usuário. 
+ Uso de credenciais de longa duração. 

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Cada componente ou recurso de sua workload precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente, escolher o tipo de identidade apropriado e o método de autenticação e autorização.

O acesso regular a Contas da AWS na organização deve ser fornecido usando [acesso federado](https://aws.amazon.com/identity/federation/) ou um provedor de identidade centralizado. Você também deve centralizar o gerenciamento de identidades e garantir que haja uma prática estabelecida para integrar o acesso à AWS ao ciclo de vida de acesso dos funcionários. Por exemplo, quando um funcionário muda para um cargo com um nível de acesso diferente, sua associação ao grupo também deve mudar para refletir os novos requisitos de acesso.

 Ao definir os requisitos de acesso para identidades não humanas, determine quais aplicações e componentes precisam de acesso e como as permissões são concedidas. O uso de perfis do IAM criados com o modelo de acesso de privilégio mínimo é uma abordagem recomendada. [As políticas gerenciadas pela AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) fornecem políticas predefinidas do IAM que abordam a maioria dos casos de uso comuns.

Os serviços da AWS, como o [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) e [o AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), podem ajudar a desacoplar segredos da aplicação ou workload com segurança em casos em que não é possível usar perfis do IAM. No Secrets Manager, você pode estabelecer uma alternância automática de suas credenciais. É possível usar o Systems Manager para referenciar parâmetros em seus scripts, comandos, documentos do SSM, configurações e fluxos de trabalho de automação, usando o nome exclusivo que você especificou ao criar o parâmetro.

Você pode usar o AWS Identity and Access Management Roles Anywhere para obter [credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) para workloads executadas fora da AWS. As workloads podem usar as mesmas [políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que você usa com as aplicações da AWS para acessar os recursos da AWS. 

 Quando possível, prefira credenciais temporárias de curta duração em vez de credenciais estáticas de longa duração. Para cenários em que você precisa de usuários da IAM com acesso programático e credenciais de longa duração, use [as últimas informações usadas da chave de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) para alternar e remover chaves de acesso. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Centro de Identidade do AWS IAM](https://aws.amazon.com/iam/identity-center/) 
+  [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) 
+  [AWS Managed policies for IAM Identity Center (Políticas gerenciadas pela AWS para o IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 
+  [AWS IAM policy conditions (Condições de políticas do AWS IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [IAM use cases (Casos de uso do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html) 
+  [Remova credenciais desnecessárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Trabalhando com políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 
+  [How to control access to AWS resources based on Conta da AWS, OU, or organization (Como controlar o acesso aos recursos da AWS baseados em Conta da AWS, UO ou organização)](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/) 
+  [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager (Identificar, organizar e gerenciar segredos facilmente usando a pesquisa avançada no AWS Secrets Manager)](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 

 **Vídeos relacionados:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separação de tarefas, privilégio mínimo, delegação e CI/CD)](https://youtu.be/3H0i7VyTu70) 
+  [Streamlining identity and access management for innovation (Simplificação do gerenciamento de identidade e acesso para inovação)](https://www.youtube.com/watch?v=3qK0b1UkaE8) 

# SEC03-BP02 Conceder acesso com privilégio mínimo
<a name="sec_permissions_least_privileges"></a>

Conceda somente o acesso de que as identidades precisam, permitindo acesso a ações específicas em recursos específicos da AWS em condições específicas. Conte com grupos e atributos de identidade para definir permissões dinamicamente em grande escala, em vez de definir permissões para usuários individuais. Por exemplo, você pode permitir o acesso de um grupo de desenvolvedores para gerenciar apenas recursos de seu próprio projeto. Dessa forma, quando um desenvolvedor é removido do grupo, seu acesso é revogado em todos os lugares em que esse grupo foi usado para controle de acesso, sem precisar efetuar qualquer alteração nas políticas de acesso.

 **Antipadrões comuns:** 
+ Usar como padrão a concessão de permissões de administrador aos usuários. 
+ Usar a conta raiz para atividades diárias. 

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

Estabelecer um princípio de [privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garante que as identidades só tenham permissão para executar o conjunto mínimo de funções necessárias para realizar uma tarefa específica, enquanto equilibram usabilidade e eficiência. Operar com esse princípio limita o acesso não intencional e ajuda a garantir que você possa auditar quem tem acesso a quais recursos. Na AWS, as identidades não têm permissões por padrão, exceto para o usuário raiz. As credenciais do usuário raiz devem ser estritamente controladas e só podem ser usadas para algumas [tarefas específicas](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). 

Você usa políticas para conceder explicitamente permissões anexadas ao IAM ou a entidades de recursos, como um perfil do IAM usado por máquinas ou identidades federadas, ou recursos (por exemplo, buckets do S3). Ao criar e associar uma política, você pode especificar as ações de serviço, os recursos e as condições que devem ser verdadeiros para que a AWS permita o acesso. A AWS oferece suporte a uma variedade de condições para ajudar você a reduzir o acesso. Por exemplo, usando a chave de condição `PrincipalOrgID` [,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)o identificador do AWS Organizations é verificado para que o acesso possa ser concedido dentro do AWS Organization.

Você também pode controlar as solicitações feitas pelos serviços da AWS em seu nome, como o AWS CloudFormation criando uma função do AWS Lambda, usando a chave de condição `CalledVia` . Você deve colocar em camadas diferentes tipos de política para limitar efetivamente as permissões gerais em uma conta. Por exemplo, é possível permitir que suas equipes de aplicação criem suas próprias políticas do IAM, mas usar um [limite de permissões](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) para definir o máximo de permissões que elas podem conceder. 

Há vários recursos da AWS para ajudar a escalar o gerenciamento de permissões e aderir ao princípio do privilégio mínimo. [O controle de acesso baseado em atributos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) permite limitar as permissões com base na *[tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* de um recurso, visando tomar decisões de autorização de acordo com as tags aplicadas ao recurso e a chamada de uma entidade principal do IAM. Isso permite combinar sua política de permissões e marcação para obter um acesso refinado a recursos sem precisar de muitas políticas personalizadas.

Outra maneira de acelerar a criação de uma política de privilégio mínimo é basear sua política nas permissões do CloudTrail depois da execução de uma atividade. [O IAM Access Analyzer pode gerar automaticamente uma política do IAM baseada na atividade](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Também é possível usar o IAM Access Advisor no nível da organização ou da conta individual para [monitorar as últimas informações acessadas de uma política específica](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).

Estabeleça uma frequência para revisar esses detalhes e remover permissões desnecessárias. Você deve estabelecer uma barreira de proteção de permissões na organização da AWS para controlar o máximo de permissões na conta de qualquer membro. Serviços como o [AWS Control Tower têm controles preventivos, gerenciados e prescritivos](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) e permitem definir seus próprios controles. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Permissions boundaries for IAM entities (Limites de permissões para entidades do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 
+  [Techniques for writing least privilege IAM policies (Técnicas para escrever políticas do IAM de privilégio mínimo)](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/) 
+  [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity (IAM Access Analyzer facilita a implementação de permissões de privilégio mínimo gerando políticas do IAM baseadas na atividade de acesso)](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) 
+  [Refining Permissions using last accessed information (Refinar permissões usando as últimas informações acessadas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
+  [IAM policy types and when to use them (Tipos de política do IAM e quando usá-las)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 
+  [Testing IAM policies with the IAM policy simulator (Testar políticas do IAM com o simulador de política do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) 
+  [Guardrails in AWS Control Tower (Barreiras de proteção no AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 
+  [Zero Trust architectures: An AWS perspective (Arquiteturas de confiança zero: uma perspectiva da AWS)](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/) 
+  [How to implement the principle of least privilege with CloudFormation StackSets (Como implementar o princípio de privilégio mínimo com o CloudFormation StackSets)](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/) 

 **Vídeos relacionados:** 
+  [Next-generation permissions management (Gerenciamento de permissões de última geração)](https://www.youtube.com/watch?v=8vsD_aTtuTo) 
+  [Zero Trust: An AWS perspective (Confiança zero: uma perspectiva da AWS)](https://www.youtube.com/watch?v=1p5G1-4s1r0) 
+  [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (Como posso usar limites de permissões para limitar usuários e perfis do IAM para evitar a escalação de privilégios?)](https://www.youtube.com/watch?v=omwq3r7poek) 

 **Exemplos relacionados:** 
+  [Lab: IAM permissions boundaries delegating role creation (Laboratório: limites de permissões do IAM que delegam a criação de perfis)](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 

# SEC03-BP03 Estabelecer processo de acesso de emergência
<a name="sec_permissions_emergency_process"></a>

 Um processo que permite o acesso de emergência à sua workload no caso improvável de um problema no processo automatizado ou no pipeline. Isso ajudará você a confiar no acesso de privilégio mínimo e garantirá que os usuários possam obter o nível certo de acesso quando precisarem. Esse processo pode incluir uma combinação de recursos diferentes, por exemplo, um perfil de emergência entre contas da AWS para acesso ou um processo específico para os administradores seguirem para validar e aprovar uma solicitação de emergência. 

 **Antipadrões comuns:** 
+ Não ter um processo de emergência vigente para se recuperar de uma interrupção com sua configuração de identidade existente.
+ Conceder permissões elevadas de longa duração para fins de recuperação ou resolução de problemas.

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

 O estabelecimento de um acesso de emergência pode assumir diversos formatos para os quais você deve estar preparado. O primeiro é uma falha de seu provedor de identidades primário. Nesse caso, você deve utilizar um segundo método de acesso com as permissões necessárias para a recuperação. Esse método pode ser um provedor de identidade de backup ou um usuário do IAM. Esse segundo método deve ser [estritamente controlado, monitorado e notificado](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) caso seja usado. A identidade de acesso de emergência deve ser originada de uma conta específica para esse fim e só deve ter permissões para assumir um perfil especificamente projetado para recuperação. 

 Você também deverá se preparar para o acesso de emergência quando o acesso administrativo elevado temporário for necessário. Um cenário comum é limitar as permissões mutantes a um processo automatizado usado para implantar modificações. Se esse processo apresentar um problema, os usuários podem precisar solicitar permissões elevadas para restaurar a funcionalidade. Nesse caso, estabeleça um processo em que os usuários possam solicitar acesso elevado e os administradores possam validá-lo e aprová-lo. Os planos de implementação detalhando as orientações de práticas recomendadas para funções com acesso pré-provisionado e preparação para emergências, *break-glass*, são fornecidos como parte do [SEC10-BP05 Acesso pré-provisionado](sec_incident_response_pre_provision_access.md). 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [Monitor and Notify on AWS (Monitoramento e notificação na AWS)](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity) 
+ [Managing temporary elevated access (Gerenciamento do acesso elevado temporário)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 

 **Vídeo relacionado:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU) 

# SEC03-BP04 Reduzir as permissões continuamente
<a name="sec_permissions_continuous_reduction"></a>

 À medida que as equipes e as cargas de trabalho determinam o acesso de que precisam, remova as permissões que eles não usam mais e estabeleça processos de análise para obter permissões de privilégio mínimo. Monitore e reduza continuamente identidades e permissões não utilizadas. 

Às vezes, quando equipes e projetos estão apenas começando, você pode optar por conceder amplo acesso (em um ambiente de desenvolvimento ou teste) para inspirar inovação e agilidade. Recomendamos avaliar o acesso continuamente e, particularmente em um ambiente de produção, restrinja o acesso apenas às permissões necessárias e obtenha privilégio mínimo. A AWS fornece recursos de análise de acesso para ajudar a identificar o acesso não utilizado. Para ajudar a identificar usuários, funções, permissões e credenciais não utilizados, a AWS analisa a atividade de acesso e fornece informações sobre a chave de acesso e a função usadas mais recentemente. Você pode usar o [timestamp de último acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identificar usuários e funções não utilizados](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)e removê-los. Além disso, você pode revisar as informações de último acesso a serviços e ações para identificar e [restringir permissões para usuários e funções específicos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Por exemplo, você pode usar as informações acessadas mais recentemente para identificar as ações específicas do Amazon Simple Storage Service(Amazon S3) exigidas pela função da aplicação e restringir o acesso apenas a essas ações. Esses recursos estão disponíveis no Console de gerenciamento da AWS e de maneira programática para permitir que você os incorpore aos fluxos de trabalho de infraestrutura e ferramentas automatizadas.

 **Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio 

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Configure o AWS Identify and Access Management (IAM) Access Analyzer: o AWS IAM Access Analyzer ajuda você a identificar os recursos na organização e nas contas, como buckets do Amazon Simple Storage Service (Amazon S3) ou funções do IAM, que são compartilhados com uma entidade externa. 
  + [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AttributeControle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Grant least privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [Remova credenciais desnecessárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Trabalhando com políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Vídeos relacionados:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separação de tarefas, privilégio mínimo, delegação e CI/CD)](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP05 Definir barreiras de proteção de permissões para sua organização
<a name="sec_permissions_define_guardrails"></a>

 Estabeleça controles comuns que restrinjam o acesso a todas as identidades na organização. Por exemplo, é possível restringir o acesso a Regiões da AWS específicas ou impedir que os operadores excluam recursos comuns, como um perfil do IAM usado pela equipe de segurança central. 

 **Antipadrões comuns:** 
+ Execução de workloads em sua conta de administrador organizacional. 
+ Execução de workloads de produção e não produção na mesma conta. 

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Com a expansão e o gerenciamento de workloads adicionais na AWS, você deve separá-las usando contas e gerenciá-las usando o AWS Organizations. Recomendamos que você estabeleça barreiras de proteção de permissões comuns que restrinjam o acesso a todas as identidades na sua organização. Por exemplo, você pode restringir o acesso a Regiões da AWS específicas ou impedir que a equipe exclua recursos comuns, como um perfil do IAM usado pela equipe de segurança central. 

 Você pode começar implementando exemplos de políticas de controle de serviço, como impedir que os usuários desabilitem os principais serviços. As SCPs usam a linguagem de políticas do IAM e permitem que você estabeleça controles aos quais todas as entidades principais (usuários e perfis) do IAM aderem. Você pode restringir o acesso a ações de serviço, recursos específicos e com base em condições específicas para atender às necessidades de controle de acesso de sua organização. Se necessário, você pode definir exceções para suas barreiras de proteção. Por exemplo, você pode restringir ações de serviço para todas as entidades do IAM na conta, exceto para um perfil de administrador específico. 

 Recomendamos evitar a execução de workloads em sua conta de gerenciamento. A conta de gerenciamento deve ser usada para gerir e implantar barreiras de proteção de segurança que afetarão as contas-membro. Alguns serviços da AWS permitem o uso de uma conta de administrador delegada. Quando disponível, você deve usar essa conta delegada em vez da conta de gerenciamento. Você deve limitar estritamente o acesso à conta de administrador organizacional. 

O uso de uma estratégia de várias contas permite ter maior flexibilidade na aplicação de barreiras de proteção às suas workloads. O AWS Security Reference Architecture dá orientações prescritivas sobre como projetar a estrutura da conta. Os serviços da AWS, como o AWS Control Tower, fornece recursos para gerenciar centralmente os controles de prevenção e detecção em sua organização. Defina um objetivo claro para cada conta ou UO em sua organização e limite os controles de acordo com esse objetivo. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [AWS Organizations](https://aws.amazon.com/organizations/) 
+ [Service control policies (SCPs) (Políticas de controle de serviços (SCPs))](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 
+ [Get more out of service control policies in a multi-account environment (Aproveite ao máximo as políticas de controle de serviços em um ambiente de várias contas)](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/) 
+ [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 

 **Vídeos relacionados:** 
+ [Enforce Preventive Guardrails using Service Control Policies (Aplique barreiras de proteção preventivas usando políticas de controle de serviços)](https://www.youtube.com/watch?v=mEO05mmbSms) 
+  [Building governance at scale with AWS Control Tower (Criação de governança em escala com o AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk) 
+  [AWS Identity and Access Management deep dive (Análise aprofundada do AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI) 

# SEC03-BP06 Gerenciar o acesso com base no ciclo de vida
<a name="sec_permissions_lifecycle"></a>

 Integre controles de acesso ao ciclo de vida do operador e da aplicação e ao seu provedor de federação centralizado. Por exemplo, remova o acesso do usuário que sair da organização ou mudar de funções. 

À medida que você gerencia cargas de trabalho usando contas separadas, haverá casos em que você precisará compartilhar recursos entre essas contas. Recomendamos que você compartilhe recursos usando o [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Esse serviço permite que você compartilhe, com facilidade e segurança, os recursos da AWS dentro da AWS Organizations e das unidades organizacionais. Usando o AWS RAM, o acesso a recursos compartilhados é concedido ou revogado automaticamente à medida que as contas são movidas para dentro e para fora da organização ou da unidade organizacional com a qual são compartilhadas. Isso ajuda a garantir que os recursos sejam compartilhados apenas com as contas que você determinar.

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo 

## Orientação de implementação
<a name="implementation-guidance"></a>

 Ciclo de vida de acesso de usuário: implemente uma política de ciclo de vida de acesso para novos usuários, alterações de função de trabalho e usuários que saem, para que apenas os usuários atuais tenham acesso. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AttributeControle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Grant least privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
+  [Remova credenciais desnecessárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Trabalhando com políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Vídeos relacionados:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separação de tarefas, privilégio mínimo, delegação e CI/CD)](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP07 Analisar o acesso público e entre contas
<a name="sec_permissions_analyze_cross_account"></a>

Monitore continuamente as descobertas que destacam o acesso público e entre contas. Reduza o acesso público e o acesso entre contas somente aos recursos que exigem esse tipo de acesso. 

 **Antipadrões comuns:** 
+  Não seguir um processo para gerir o acesso público e entre contas aos recursos. 

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** Baixo 

## Orientação para implementação
<a name="implementation-guidance"></a>

Na AWS, você pode conceder acesso a recursos em outra conta. Você concede acesso direto entre contas usando políticas anexadas a recursos (por exemplo, [políticas de bucket do Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) ou permitindo que uma identidade assuma um perfil do IAM em outra conta. Ao usar políticas de recursos, verifique o acesso concedido a identidades em sua organização e se você tem a intenção de tornar os recursos públicos. Defina um processo para aprovar todos os recursos que devem ser acessíveis publicamente. 

 [O IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) usa [segurança comprovada](https://aws.amazon.com/security/provable-security/) para identificar todos os caminhos de acesso a um recurso de fora de sua conta. Ele revisa as políticas de recursos continuamente e relata descobertas de acesso público e entre contas para facilitar a análise de acesso potencialmente amplo. Considere a configuração do IAM Access Analyzer com o AWS Organizations para verificar se você tem visibilidade em todas as suas contas. O IAM Access Analyzer também permite [visualizar as descobertas do Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)antes de implantar as permissões do recurso. Isso permite validar que as alterações de política concedam apenas o acesso público e entre contas pretendido aos seus recursos. Ao projetar o acesso de várias contas, é possível usar [políticas de confiança para controlar em quais casos um perfil pode ser assumido](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Por exemplo, você pode limitar que um perfil seja assumido por determinado intervalo de IPs de origem. 

 Você também pode usar o [AWS Config para relatar e corrigir recursos](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) com uma configuração acidental de acesso público por meio de verificações de políticas do AWS Config. Serviços como o [AWS Control Tower](https://aws.amazon.com/controltower) e o [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplificam as barreiras de proteção e as verificações de implantação em uma AWS Organizations para identificar e corrigir recursos publicamente expostos. Por exemplo, o AWS Control Tower tem uma barreira de proteção gerenciada que pode detectar se algum [snapshot do Amazon EBS pode ser restaurado por todas as contas da AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Using AWS Identity and Access Management Access Analyzer (Uso do AWS Identity and Access Management Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Guardrails in AWS Control Tower (Barreiras de proteção no AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Foundational Security Best Practices standard (Norma de práticas de segurança básicas da AWS)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [AWS Config Managed Rules (Regras gerenciadas do AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [AWS Trusted Advisor check reference (Referência de verificação do AWS Trusted Advisor)](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Vídeos relacionados:** 
+ [Best Practices for securing your multi-account environment (Práticas recomendadas para proteger seu ambiente de várias contas)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Análise aprofundada do IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)

# SEC03-BP08 Compartilhar recursos com segurança
<a name="sec_permissions_share_securely"></a>

 Controle o consumo de recursos compartilhados entre contas ou no AWS Organizations. Monitore recursos compartilhados e revise o acesso a recursos compartilhados. 

 **Antipadrões comuns:** 
+  Uso da política de confiança padrão do IAM ao conceder acesso entre contas de terceiros. 

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** Baixo 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Como você gerencia as workloads usando várias contas da AWS, pode ser necessário compartilhar recursos entre contas. Isso será frequentemente um compartilhamento entre contas em uma AWS Organizations. Vários serviços da AWS, como o [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), o [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)e o [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) têm recursos entre contas integrados à Organizations. Você pode usar o [AWS Resource Access Manager](https://aws.amazon.com/ram/) para compartilhar outros recursos comuns, como [sub-redes de VPC ou anexos do gateway de trânsito](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), o [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)ou [pipelines do Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Se você quiser garantir que sua conta compartilhe recursos somente com sua Organizations, recomendamos o uso de [Service control policies (SCPs) (Políticas de controle de serviços (SCPs))](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) para impedir o acesso a entidades principais externas.

 Ao compartilhar recursos, você deve implantar medidas para se proteger contra acessos indesejados. Recomendamos combinar controles baseados em identidade e controles de rede para [criar um perímetro de dados para sua organização](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Esses controles devem impor limites estritos sobre quais recursos podem ser compartilhados e impedir o compartilhamento ou a exposição de recursos que não devem ser permitidos. Por exemplo, como parte de seu perímetro de dados, você pode usar políticas de endpoint da VPC e a condição `aws:PrincipalOrgId` para garantir que as identidades acessem os buckets do Amazon S3 pertencentes à sua organização. 

 Em alguns casos, você pode compartilhar recursos fora de sua Organizations ou conceder a terceiros acesso à sua conta. Por exemplo, um parceiro pode fornecer uma solução de monitoramento que precise acessar recursos em sua conta. Nesses casos, você deve criar um perfil entre contas do IAM somente com os privilégios necessários para a parte externa. Você deve também criar uma política de confiança usando a [condição de ID externo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Ao usar um ID externo, você deve gerar um ID exclusivo para cada parte externa. O ID exclusivo não deve ser fornecido nem controlado por essa parte. Se ela não precisar mais de acesso ao seu ambiente, remova o perfil. Você também deve evitar o fornecimento de credenciais do IAM de longa duração para terceiros em todos os casos. Esteja ciente de outros serviços da AWS que sejam compatíveis nativamente com o compartilhamento. Por exemplo, o AWS Well-Architected Tool permite [compartilhar uma workload](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) com outras contas da AWS. 

 Ao usar um serviço como o Amazon S3, é recomendável [desabilitar as ACLs para seu bucket do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) e usar políticas do IAM para definir o controle de acesso. [Para restringir o acesso a uma origem do Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) pelo [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migre da identidade do acesso de origem (OAI) para um controle de acesso de origem (OAC), que é compatível com recursos adicionais, incluindo a criptografia do lado do servidor com o [AWS KMS](https://aws.amazon.com/kms/).

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [Bucket owner granting cross-account permission to objects it does not own (Proprietário do bucket concede permissão entre contas a objetos que não possui)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM (Como usar políticas de confiança com o IAM)](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS (Como criar um perímetro de dados na AWS)](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources (Como usar um ID externo ao conceder acesso aos seus recursos da AWS para terceiros)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)

 **Vídeos relacionados:** 
+ [Granular Access with AWS Resource Access Manager (Acesso granular com o AWS Resource Access Manager)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Como proteger seu perímetro de dados com endpoints da VPC)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Como estabelecer um perímetro de dados na AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)