AWS: Aplicando permissões com IAM Roles

AWS: IAM Roles

Neste artigo falaremos sobre roles do IAM da AWS, que são funções com permissões de acesso dentro da AWS.

 

Roles do IAM

Uma role do IAM é uma identidade que você pode criar em sua conta com permissões específicas. As roles são parecidas com um usuário do IAM, porque é uma identidade com políticas de permissão que determinam os acessos dentro da sua AWS, mas a role não é associada exclusivamente a um usuário, pode ser destinada para qualquer usuário, aplicativo ou serviço que precise ter acesso aos recursos da conta. Por exemplo suas instâncias EC2 necessitam acessar arquivos em um bucket S3, para isso atribuímos uma role permitindo esse acesso. As roles do IAM emitem chaves que são válidas por um curto período, o que faz delas uma maneira mais segura de conceder acesso.

 

Criando uma role para serviço da AWS

Neste passo a passo vamos criar um role(função) para permitir o acesso de uma instância EC2 para um bucket S3.

1) Você deve acessar o painel de IAM e selecionar a opção Roles, no menu da esquerda. Conforme imagem abaixo.

 

2) Selecionar a opção Create role, conforme imagem abaixo.

3) Neste passo você deve selecionar o tipo de entidade confiável, que pode ser um serviço da AWS, outra conta da AWS, um outro identificador WEB ou Federação do SAML.

  • Serviço da AWS – Nesta opção você cria uma role para um serviço acessar algum recurso dentro da sua AWS, selecionando esta opção aparecerão os serviços que podem ser utilizados pela role.

  • Outra conta da AWS – Através desta opção, você pode conceder acesso a recursos da sua AWS a outra conta. Informando o ID dessa outra conta e pode definir se exigirá ID externo ou MFA.

  • Identidade da WEB – Nesta opção é possível permitir acesso através de outros identificadores web, por default essas quatro opções já vem definidas, mas você pode configurar outro provedor, para prosseguir por esta opção é necessário selecionar o provedor, informar o ID desses provedores e também é possível adicionar uma condição para acesso.

 

  • Federação do SAML – Nesta opção é possível atribuir acesso através das credenciais de um diretório corporativo, criando o provedor e atribuindo nessa opção, passando atributo e o valor desse atributo, podendo também criar uma condição.

4) Neste passo a passo seguiremos criando a role para o serviço EC2 da AWS, neste passo devemos atribuir a permissão dessa role, conforme imagem abaixo.

5) Neste passo você pode inserir uma tag para a role. É um passo opcional.

6) No último passo é você pode definir o nome da função, descrição e revisar os dados.

7) Após finalizado todos os passos a role é criada e exibida conforme imagem abaixo.

 

8) Para verificar se a role realmente esta configurada da forma correta, vamos acessar uma instância com a role atribuída e passar os comandos para listar os buckets e os objetos de determinado bucket.

  • Nas imagens abaixo são os buckets da conta e os arquivos dentro de um bucket.

  • A seguir executaremos os comandos aws s3 ls e aws s3api list-objects --bucket bucket-test1-ec2tos3, o primeiro retornará os buckets que estão criados na conta e o segundo os objetos dentro de um bucket, conforme imagens.

 

 

 

 

 

Neste artigo mostramos o que é uma role do IAM da AWS e também como criar uma nova role dando permissões de leitura a instâncias EC2 para os buckets S3. Nos próximos artigos continuaremos trazendo conteúdos sobre serviços da AWS.

Deixe uma resposta