Os serviços de identidade, diretório e acesso da AWS ajudam você a seguir as práticas recomendadas de segurança para que possa começar a usar a Nuvem AWS de forma rápida e segura. Com as políticas gerenciadas e o editor visual de apontar e clicar do AWS Identity and Access Management (IAM), você pode criar políticas do IAM de forma fácil, com base em funções de trabalho comuns, como administrador de banco de dados, cientista de dados e auditor. Você também pode ampliar essas políticas internas para atender aos seus requisitos de segurança específicos. Por exemplo, você pode copiar a política interna de administrador de banco de dados e reduzir o escopo das permissões para permitir acesso somente ao Amazon DynamoDB.

Com a AWS, você pode aproveitar uma funcionalidade mais avançada, pois suas necessidades se tornam mais avançadas ao longo do tempo. Você pode criar políticas de acesso específicas para cumprir exigências rigorosas de normas e conformidade. Você pode definir permissões para serviços e recursos da AWS a um nível de API e definir condições de quando e como essas permissões podem ser usadas. E por meio das integrações aos serviços de log e monitoramento da AWS, como AWS CloudTrail e AWS CloudWatch, você pode ter visibilidade sobre quem acessou o que em seus recursos da AWS.

Para ajudá-lo a dimensionar de forma segura à medida que você adiciona mais contas da AWS, os serviços de identidade, diretório e acesso da AWS permitem gerenciar o acesso e a governança em suas contas da AWS. Com o AWS Single Sign-On (SSO), você pode gerenciar o acesso a várias contas da AWS de forma central. E com o AWS Organizations, você pode criar grupos de contas e aplicar políticas de controle de serviço para gerenciar quais APIs de serviço da AWS são permitidas em suas contas da AWS. Por exemplo, você pode criar grupos separados de contas usadas para recursos de desenvolvimento e produção, e aplicar políticas de controle de serviço diferentes a cada grupo.

Com a AWS, você pode usar suas identidades corporativas existentes para gerenciar o acesso dos usuários aos seus recursos e aplicativos de negócios da AWS. O AWS Identity and Access Management (IAM) se integra ao seu Microsoft Active Directory (AD) local usando SAML 2.0 (Security Assertion Markup Language 2.0), o que permite usar o logon único (SSO) para acessar suas contas da AWS usando as credenciais do AD. Para ajudá-lo a aumentar o número de recursos na Nuvem AWS à medida que você adota novas contas da AWS, você pode usar o AWS Single Sign-On (SSO) para gerenciar de forma central o acesso de SSO a várias contas e aplicativos de negócios da AWS. Com o AWS Directory Service, você pode estender seu AD local para a Nuvem AWS usando confianças de floresta do AD ou conector do AD. Em seguida, você pode usar seus usuários e grupos existentes do AD para gerenciar o acesso às suas contas da AWS e às cargas de trabalho com reconhecimento do AD, comoAmazon RDS for SQL Server, Amazon EC2 for Windows Server, e Amazon WorkSpaces.

O Amazon Cognito permite usar várias opções de identidade externa para gerenciar o acesso aos seus próprios aplicativos. Você pode permitir que os usuários usem suas próprias identidades para registro e login no seu aplicativo usando provedores de identidade social, como Facebook e Amazon, ou usando seus provedores de identidade empresarial por meio da SAML. Você também pode usar grupos de usuários do Amazon Cognito para gerenciar seus usuários de aplicativo em um diretório dimensionável e nativo da nuvem.

Proteja o acesso aos seus recursos e aplicativos da AWS com a autenticação multifator (MFA). Com o AWS Identity and Access Management (IAM), você pode habilitar a MFA para o acesso às suas contas da AWS. Você também pode usar o AWS Directory Service for Microsoft Active Directory para habilitar a MFA baseada em RADIUS (Remote Authentication Dial-In User Service) para seus aplicativos com reconhecimento do AD. E com o Amazon Cognito, você pode adicionar a MFA aos seus próprios aplicativos.

Os serviços de identidade, diretório e acesso da AWS ajudam a gerenciar o acesso com segurança na Nuvem AWS. Usando o AWS Identity and Access Management (IAM), você pode definir políticas de acesso específicas para seus recursos da AWS. Por exemplo, você pode criar uma política que define as APIs de serviço da AWS específicas que um grupo de usuários do IAM tem permissão para usar e em que condições.

Com as funções do AWS IAM, você pode gerenciar o acesso aos seus recursos da AWS usando credenciais de curto prazo. As funções do IAM permitem conceder acesso a recursos em suas contas da AWS sem distribuir senhas ou chaves de API. Por exemplo, você pode atribuir uma função do IAM a uma função do AWS Lambda para que ele possa gravar logs no AWS CloudWatch por você. Ou você pode usar as funções do IAM para o Amazon EC2 para conceder aos aplicativos executados no EC2 as permissões para acessar um banco de dados do Amazon RDS.

A AWS oferece várias opções de serviços de diretório para oferecer suporte a diferentes tipos de aplicativos. Para os aplicativos que exigem o Microsoft AD, você pode usar o AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, e aproveitar o uso de um serviço do AD gerenciado. Se o AWS Managed Microsoft AD não atender aos seus requisitos, você poderá implantar seu próprio AD no Amazon EC2. Você também pode criar diretórios de usuários nativos da nuvem para seus próprios aplicativos usando grupos de usuários do Amazon Cognito. Ou, por meio do Amazon Cloud Directory, você pode criar diretórios dimensionáveis para gerenciar hierarquias sofisticadas de dados, como organogramas, catálogos de cursos e registros de dispositivos.