Como configurar o seu ambiente da AWS

GUIA DE CONCEITOS BÁSICOS

Módulo 2: Proteger sua conta da AWS

Neste módulo, você aprenderá as práticas recomendadas para proteger sua conta da AWS.

Introdução

Ao configurar uma nova conta da AWS, você precisa proteger o usuário raiz e criar usuários adicionais do AWS IAM para fazer login nessa conta. O usuário raiz é uma conta especial que tem acesso total à conta e pode executar todas as ações, incluindo alterar os métodos de pagamento ou fechar a conta. Por causa disso, é recomendável protegê-lo com autenticação de dois fatores e configurar usuários adicionais do IAM para fazer login. Esse módulo abordará a proteção do usuário raiz e a configuração de usuários do IAM.

O que você aprenderá

  • Como proteger a conta do usuário raiz
  • Configurar usuários adicionais do IAM

 Tempo para a conclusão

5 minutos

 Requisitos do módulo

  • Um navegador

Implementação

Proteger o usuário raiz

Depois de fazer login na conta da AWS recém-criada, digite IAM na caixa de pesquisa na parte superior central da página e clique em IAM. Haverá um prompt em “Security alerts” (Alertas de segurança) para proteger o usuário raiz com autenticação multifator (MFA). Clique em Enable MFA (Habilitar MFA) e depois em Activate MFA (Ativar MFA) na próxima tela.

gsg_secure_step_1

Agora, você precisará escolher entre as opções de MFA disponíveis. Para ter uma visão geral das opções, leia o guia sobre autenticação multifator. Se não tiver certeza de qual opção escolher, escolha Virtual MFA device (Dispositivo Virtual MFA) e instale uma das aplicações disponíveis para o seu celular. Observe como a aplicação de autenticação que você escolheu lida com backups e restaurações, pois no futuro você poderá precisar configurá-la em um telefone diferente. Seu login de usuário raiz agora está protegido.

gsg_secure_step_2

Configurar usuários e funções adicionais

É considerado uma prática recomendada de segurança não usar sua conta raiz diariamente, mas sim criar usuários separados para funções específicas. Para configurar um usuário, você criará primeiro um grupo de usuários do IAM. Esse grupo terá um conjunto de permissões que se aplicará a qualquer usuário que fizer parte do grupo. Clique em User groups (Grupos de usuários) na navegação esquerda e depois em Create group (Criar grupo). Insira o nome do grupo, como “administradores” e role para baixo até Attach permissions policies (Anexar políticas de permissões). Procure por “AdministratorAccess”, marque a caixa ao lado da política com o nome “AdministratorAccess”, role para baixo e clique em Create Group (Criar grupo).

gsg_secure_step_3

Em seguida, criaremos um usuário do IAM clicando em Users (Usuários) na barra de navegação do lado esquerdo e clicando em Add user (Adicionar usuário). Depois de inserir um nome de usuário, você precisará selecionar o tipo de acesso da AWS. O acesso programático criará um ID de chave de acesso e um par secreto para uso com a AWS CLI, o CDK e outras aplicações, e o acesso ao Console de Gerenciamento da AWS permitirá que o usuário faça login no Console AWS para essa conta. Para este guia, selecione essas duas opções.

gsg_secure_step_4

Clique em Next (Avançar) para adicionar o usuário ao grupo que criamos, selecione-o na lista e clique em Next:Tags (Avançar: Etiquetas).

gsg_secure_step_4-1

Etiquetas são úteis para procurar recursos em todos os serviços ou para adicionar metadados como departamento. Para nosso caso de uso, clique em Next: Review (Avançar: Revisar) sem adicionar uma etiqueta. Agora, você pode revisar os valores definidos para o usuário que está criando antes de realmente criá-lo. Você notará que há uma política gerenciada adicional chamada “IAMUserChangePassword” adicionada abaixo da política de “administradores” que criamos: ela é adicionada a qualquer usuário em que a opção para forçar a alteração da senha foi selecionada, pois nem todas as políticas do IAM podem incluir as permissões necessárias.

gsg_secure_step_5

Clique em Create user (Criar usuário) para criar o usuário. Agora, você verá a tela de confirmação para o usuário, mas ainda NÃO clique no botão Close (Fechar). A senha gerada automaticamente e a chave de acesso secreta para acesso à API só podem ser acessadas nessa tela uma vez. Anote o ID da chave de acesso, a chave de acesso secreta e a senha: nós os usaremos no próximo módulo deste guia. Depois, clique em Close (Fechar).

gsg_secure_step_6

Últimas etapas

Antes de sairmos e começarmos a usar nosso novo usuário do IAM, temos mais duas etapas para concluir. A primeira é definir um alias para nossa conta, para facilitar a memorização do ID da conta de 12 dígitos. Para defini-lo, clique em Dashboard (Painel) na barra de navegação esquerda e depois em Create (Criar) na seção “AWS Account” (Conta da AWS) no painel direito. Agora, você pode definir um alias para a sua conta: ele precisa ser globalmente exclusivo em todas as contas da AWS. Portanto, sua primeira opção pode não estar disponível.

gsg_secure_step_8

Clique em Save (Salvar) para definir o valor e copie o URL gerado para uso posterior neste guia. Ele terá o formato https://<your-text>.signin.aws.amazon.com/console.

gsg_secure_step_7

A última etapa que precisa ser concluída é habilitar qualquer região que você precise usar. Isso apenas se aplica a regiões lançadas após 20 de março de 2019. No momento, elas são:

  • África (Cidade do Cabo)
  • Ásia-Pacífico (Hong Kong)
  • Europa (Milão)
  • Oriente Médio (Bahrein)
 
Siga as instruções aqui se precisar ativar qualquer uma dessas regiões.

Conclusão

Parabéns. Você aprendeu a proteger sua conta. Lembre-se de fazer logout e fazer login novamente com a nova conta de usuário que você criou acima.

Em seguida: Configurar a AWS CLI

Diga-nos como nos saímos.

Agradecemos por seus comentários
Ficamos satisfeitos por esta página ter ajudado você. Deseja compartilhar detalhes adicionais para nos ajudar a continuar melhorando?
Fechar
Agradecemos por seus comentários
Lamentamos que esta página não tenha ajudado você. Deseja compartilhar detalhes adicionais para nos ajudar a continuar melhorando?
Fechar