Seguranca em primeiro lugar porque seguranca e muito importante! Quando voce cria uma conta Amazon Web Services, essa conta e chamada de root. A conta de nivel root tem acesso total a todos os recursos em execucao no ambiente de nuvem e eu recomendo totalmente nao usar sua conta root para gerenciar os recursos.

O que voce deve fazer para manter sua Conta AWS segura?

  1. Configure Multi Factor Authentication para a conta root

    Talvez voce ja tenha ouvido falar de Autenticacao em 2 Passos ou Autenticacao de 2 Fatores anteriormente. No ecossistema Amazon, chamamos essa camada extra de seguranca de MFA. O usuario root desta conta nao tem Multi-factor authentication (MFA) habilitada. Habilite MFA para melhorar a seguranca desta conta.

  2. Defina a politica de senha

    Uma politica de senha e um conjunto de regras que define requisitos de complexidade e periodos obrigatorios de rotacao para as senhas dos seus usuarios IAM.

    Voce pode definir:
    - Aplicar comprimento minimo da senha
    - Exigir pelo menos uma letra maiuscula do alfabeto latino (A-Z)
    - Exigir pelo menos uma letra minuscula do alfabeto latino (a-z)
    - Exigir pelo menos um numero
    - Exigir pelo menos um caractere nao alfanumerico (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')
    - Habilitar expiracao de senha
    - Expiracao de senha requer redefinicao pelo administrador
    - Permitir que usuarios alterem sua propria senha
    - Impedir reutilizacao de senha

  3. Desative Regiao(oes) se nao precisar

    Em Account Settings, cada regiao especifica e executada na Amazon Web Services. Por exemplo, se voce esta planejando executar seus servicos na regiao de Londres (eu-west-2), na verdade voce nao precisa de outras regioes e deve definitivamente desativar as outras. Voce nao pode desativar as regioes Global Endpoint e US East (N. Virginia). Todos os servicos de autenticacao da Amazon Web Services (como logins e outras autenticacoes de servico) rodam no Global Endpoint, alguns servicos rodam apenas na regiao North Virginia (us-east-1). Essa e a razao pela qual voce nao pode desativa-los.

  4. Criar Politica

    Uma politica define as permissoes AWS que voce pode atribuir a um usuario, grupo ou role. Voce pode criar e editar uma politica no editor visual e/ou usando JSON.

    Voce pode definir acoes especificas para servicos e recursos especificos na pagina criar politica.

  5. Criar IAM Role

    IAM roles sao uma maneira segura de conceder permissoes a entidades que voce confia. Exemplos de entidades incluem:
    - Usuario IAM em outra conta
    - Codigo de aplicacao rodando em uma instancia EC2 que precisa executar acoes em recursos AWS
    - Um servico AWS que precisa atuar em recursos na sua conta para fornecer seus recursos
    - Usuarios de um diretorio corporativo que usam federacao de identidade com SAML
    - IAM roles emitem chaves validas por curtas duracoes, tornando-as uma maneira mais segura de conceder acesso.

  6. Separe seus departamentos com User Groups

    Um usuario IAM e uma entidade que voce cria na AWS para representar a pessoa ou aplicacao que o usa para interagir com a AWS. Um usuario pode pertencer a ate 10 grupos. Voce pode anexar ate 10 politicas a este grupo de usuarios. Todos os usuarios neste grupo terao permissoes definidas nas politicas selecionadas.

  7. Aplique as melhores praticas


    Conceder acesso de menor privilegio: Estabelecer um principio de menor privilegio garante que as identidades sejam autorizadas apenas a executar o conjunto mais minimo de funcoes necessarias para cumprir uma tarefa especifica, equilibrando usabilidade e eficiencia.

    Use AWS Organizations: Gerencie e governe centralizadamente seu ambiente a medida que voce escala seus recursos AWS. Crie facilmente novas contas AWS, agrupe contas para organizar seus fluxos de trabalho e aplique politicas a contas ou grupos para governanca.

    Habilite Identity federation: Gerencie usuarios e acesso em varios servicos a partir de sua fonte de identidade preferida. Usando AWS Single Sign-On, gerencie centralizadamente o acesso a varias contas AWS e fornecendo aos usuarios acesso de single sign-on a todas as suas contas atribuidas a partir de um unico lugar.

    Habilite MFA: Para seguranca extra, recomendamos que voce exija multi-factor authentication (MFA) para todos os usuarios.

    Rotacione credenciais regularmente: Altere suas proprias senhas e chaves de acesso regularmente e certifique-se de que todos os usuarios na sua conta tambem o facam.

    Habilite IAM Access Analyzer: Habilite o IAM Access Analyzer para analisar acesso publico, entre contas e entre organizacoes.

    Saiba mais sobre todas as melhores praticas de seguranca.

Espero que este artigo ajude voce a usar sua conta Amazon Web Service de forma segura!