IAM Flashcards
Qual a diferença entre acessar um recurso AWS assumindo uma role e usando Resource Based Policies?
Assumir uma role sobrescreve suas permissões atuais
Quais tipos de role principals existem?
-AWS Service
-AWS Account
-Web Identity (Cognito, etc)
-SAML 2.0
-Custom
Qual o intervalo de tempo pro qual uma role assumida pelo STS pode se manter válida?
Entre 15 min e 12 horas (usar campo DurationSeconds para controlar isso)
Por onde se passa uma EC2 Instance Role para a instância EC2?
Pelo campo EC2 Metadata
Qual a diferença de privilégios de acesso entre policy de AdministratorAccess e PowerUserAccess?
AdministratorAccess possui acesso completo, enquanto Power user não possui acesso a IAM, Organizations e Account, com a exceção de IAM:CreateServiceLinkedRole, IAM:DestroyServiceLinkedRole , IAM: ListRoles, Account:ListRegions e Organizations:DescribeOrganization
Qual as relações numéricas de associação para os seguintes recursos:
-Policy -> Role
-Role -> User
-Policy -> User
-User -> Group
-Policy -> Group
-Group -> Group
- N…N
- 0…0
- N…N
- N…N
- N…N
- 0…0
Permission boundaries servem par restringir os acessos de recursos credenciais da AWS. Para quais dos seguintes recursos eles podem ser aplicados:
-Policy
-Role
-User
-Group
Roles e Users
Quais são as etapas que devem ser seguidas para que um recurso na conta A possa acessar um na conta B usando STS (Security Token Service) AssumeRole?
- Deve-se criar uma role na conta B com permissões de acesso para o recurso desejado e que tenha como principal confiado a conta A
- Deve-se adicionar a permissão de sts:AssumeRole à role do recurso na conta A de modo que o mesmo possa acessar a role criada em B.
Quais as APIs relevantes do STS?
-AssumeRole
-AssumeRoleWithSAML
-AssumeRoleWithWebIdentity
-GetSessionToken (MFA)
-GetFederationToken (Temporary AWS creds for federated user)
Verdadeiro ou Falso: É impossível configurar MFA para assumir uma role por STS
Falso
Verdadeiro ou Falso: Não é necessário a existência de usuários da AWS para acesso federado, visto que o responsável por esse controle é a organização federadora
Verdadeiro
Quais cuidados devem ser tomados quando configurando-se STS para entidades fora da “Zone of trust” (Third-parties)
É necessário configurar o STS com External ID, chave de acesso pré-configurada que visa impedir ataques de Confused Deputy (Ataque onde se autenticando dentro da conta de terceiro para se autenticar dentro da nossa)
Quais são as funcionalidades do Acess Analyser?
1- Detecção de acessos a nossa conta por indíviduos fora da Trusted Zone definida (Accounts e Organizations)
2- Validação de boas práticas de policies ( Policy Validation)
3- Criação de policy com base em 90 últimos dias de logs do CloudTrail (Policy Generation)
Qual a chamada de API do STS utilizada para revocar os acessos a roles ativos no momento?
AWSRevokeOlderSessions
O controle de acessos a um recurso pode ser feito através de uma PrincipalTag (necessário acesso STS:TagSession). Explique como funciona esse mecanismo.
Ao realizar sts:AssumeRole, o usuário pode passar uma session tag onde o campo x possui valor y. Essa tag é associada às credenciais e pode se configurar uma access policy de modo que um recurso só possa ser acessado se a tag associada ao principal for igual à definida na policy. Se a session tag for configurada como transitiva, ela também é passada para quaisquer roles assumidas usando essa role.
Quais são os tipos de identity federation possíveis na AWS?
-SAML 2.0
-SSO (Single Sign-On)
-Web identity federation with(outh) Cognito
-Custom Identity Broker
Quais são as etapas de um fluxo de federação usando SAML 2.0?
1- Usuário requisita credenciais de Identity Provider
2-Identity Provider autentica usuário em Credential Store
3-Usuário recebe Security Assertion comprovando suas permissões
4-Usuário envia security assertion para STS para receber credencias temporárias
Qual a diferença principal entre o fluxo de federação usando SAML 2.0 e usando um Custom Identity Broker?
Usando SAML 2.0, o usuário é aquele que faz a requisição das credenciais da AWS após receber confirmação da Identity Store, enquanto no Custom Identity Broker é o próprio broker que gerencia as credenciais e as envia para o usuário
Se uma empresa necessitar de autenticação usando Active Directory, qual método de recomendação seria recomendado entre SAML 2.0 e Custom Identity Broker? Porque?
Recomenda-se o uso de SAML 2.0, visto que o mesmo possui compatibilidade com o Active Directory Federation System (ADFS) e recomenda-se o uso de um custom broker apaenas se seu identity provider é incompatível com SAML.
Quais as diferenças no fluxo de web identity federation com e sem Cognito (Cognito opera como Token Vending Machine)?
Em ambos os casos o usuário se autentica primeiro no Identity Provider, mas com o Cognito as credenciais obtidas com autenticação são enviadas primeiro para o Cognito para receber um Cognito Token que será enviado então para o STS para obter as credenciais temporárias, enquanto sem Cognito as credenciais do Identity Provider são enviadas direto para o STS através da API AssumeRoleWithWebIdentity
Quais são as vantagens do uso de Web Identity Federation com o Cognito em relação a sem o Cognito
-Criação de roles com menor quantidade de privilégios necessários
-Possibilidade do uso de MFA
-Possibilidade de usários anônimos
-Capacidade de sincronização de dados usando Cognito
Verdadeiro ou Falso: É possível restringir acesso a recursos da AWS com base em Web Identity Provider usado para autenticação
Verdadeiro
Complete os espaços vazios na seguinte frase:
In microsoft AD, ______ are organized in _______, with multiple of them being called a _______.
-Objects
-Trees
-Forest
Descreva os simplificadamente os 3 serviços de Microsoft AD da AWS
-AWS Managed Microsoft AD: Serviço de AD rodando na nuvem AWS (EC2, VPC). Consegue estabelecer confiança com AD On-Prem
-AWS AD Conector: Proxy de conexão para AD On-Prem. Não consegue estabelcer confiança com AD On-Prem
-AWS Simple AD: Sistema simples de AD (Samba 4) compatível com Microsoft AD rodando apenas na nuvem. Mais simple e barato.
Quais são alguns pontos positivos do AWS Managed Microsoft AD
- Compatibilidade com instâncias EC2 Windows para rodar aplicações convencionais do AD
-Multi-AZ (2 AZs) com possibilidade de múltiplas instâncias rodando em cada AZ por escalabilidade
-Integrações AWS
-Integração SSO
-Seamless Domain Join de EC2s e VPCs de múltiplas contas
-Replicação Multi-AZ automática do diretório
-Backup Automático
-Não precisa se conectar On-Prem, se necessário
Quais são as integrações AWS com AWS Managed Microsoft AD?
-RDS for SQL Server
-Amazon WorkSpaces
-Amazon Quicksight
-Amazon Connect
-Amazon WorkDocs
-Amazon Single-Sign On (Permite acesso a recursos de terceiros)
Qual o pre-réquisito para a conexão entre On-Prem AD e o AWS AD tanto para AWS Managed Microsoft AD como AWS AD Connect?
Direct Connect (DX) ou VPN entre On-Prem e AWS
Quais são os tipos de relação de confiança que podem ser estabelecidas entre um AD On-Prem e um AWS?
-One way: AWS -> On-Prem
-One way: On-Prem ->AWS
-Two way forest: AWS <-> On-Prem
Em quais situações a replicação do AD para a nuvem pode ser útil?
Caso o Direct Connect (DX) ou a VPN da conexão fiquem fora de ar, pois fornece uma latência menor nesse casos
Quais são algumas das limitações do AD Connect?
-Não usa Cache
-Não consegue estabelecer confiança com On-Prem
-Gerenciamento de usuários só no On-Prem
-Sem seamless joining, sem integração com SQL Server, sem compartilhamento de diretório
Quais são algumas características do Simple AD
-Menor volume de acessos (500s usuários -> pequeno, 5000 -> grande)
-Sem relação de confiança
-Existente apenas na nuvem
-Baseada em Samba 4 (compatível com Microsoft AD)
-baixo custo, baixa escala,
LDAP compatibility
-Gestão de usuários e grupos, compatibilidade com instancias EC2
Verdadeiro ou falso: Em uma Organizational Unit (OU), todas as contas de sub-OUs podem ser manipuladas por contas de níveis acima
Verdadeiro?
Qual o processo para mover uma conta de uma organização para outra?
1- A conta deve ser removida da organização original
2- A organização nova deve convidar a conta a entrar na nova organização
3- A conta deve aceitar o convite
Como se dá o mecanismo de controle de contas pela management account da OU?
Controle se dá através da OrganizationAccountAccessRole. Essa role existe dentro da member account e garante à management account acesso de administrador a todos os recursos dessa conta, e pode ser acessada por usuários da management account (se permitido) através da AssumeRole API. Essa role é criada automaticamente se o member user for criado dentro da organização, mas deve ser criada manualmente se ele for convidado
Quais são alguns tipos de separação de conta comuns que podem ser aplicados em sua criação para organizações multi-account?
- Contas para cada departamento
- Contas para dev / hml / prd
- Contas para cada cost center
- Contas baseadas em restrições regulatórias, usando SCPs
- Contas para melhor separação de recursos
- Para ter limites de serviços separados para cada conta
- Contas isoladas para logging
Quais são algumas estratégias comuns para organizações multi-account?
- Uso de padrões de tagging para propósitos de billing
- Multi-account vs One account multi-VPC
- Enable CloudTrail in all accounts, send logging trails to S3 on central account
- Send CloudWatch Logs to central logging account
- Create an account dedicated to security