IAM Flashcards
Qual a diferença entre acessar um recurso AWS assumindo uma role e usando Resource Based Policies?
Assumir uma role sobrescreve suas permissões atuais
Quais tipos de role principals existem?
-AWS Service
-AWS Account
-Web Identity (Cognito, etc)
-SAML 2.0
-Custom
Qual o intervalo de tempo pro qual uma role assumida pelo STS pode se manter válida?
Entre 15 min e 12 horas (usar campo DurationSeconds para controlar isso)
Por onde se passa uma EC2 Instance Role para a instância EC2?
Pelo campo EC2 Metadata
Qual a diferença de privilégios de acesso entre policy de AdministratorAccess e PowerUserAccess?
AdministratorAccess possui acesso completo, enquanto Power user não possui acesso a IAM, Organizations e Account, com a exceção de IAM:CreateServiceLinkedRole, IAM:DestroyServiceLinkedRole , IAM: ListRoles, Account:ListRegions e Organizations:DescribeOrganization
Qual as relações numéricas de associação para os seguintes recursos:
-Policy -> Role
-Role -> User
-Policy -> User
-User -> Group
-Policy -> Group
-Group -> Group
- N…N
- 0…0
- N…N
- N…N
- N…N
- 0…0
Permission boundaries servem par restringir os acessos de recursos credenciais da AWS. Para quais dos seguintes recursos eles podem ser aplicados:
-Policy
-Role
-User
-Group
Roles e Users
Quais são as etapas que devem ser seguidas para que um recurso na conta A possa acessar um na conta B usando STS (Security Token Service) AssumeRole?
- Deve-se criar uma role na conta B com permissões de acesso para o recurso desejado e que tenha como principal confiado a conta A
- Deve-se adicionar a permissão de sts:AssumeRole à role do recurso na conta A de modo que o mesmo possa acessar a role criada em B.
Quais as APIs relevantes do STS?
-AssumeRole
-AssumeRoleWithSAML
-AssumeRoleWithWebIdentity
-GetSessionToken (MFA)
-GetFederationToken (Temporary AWS creds for federated user)
Verdadeiro ou Falso: É impossível configurar MFA para assumir uma role por STS
Falso
Verdadeiro ou Falso: Não é necessário a existência de usuários da AWS para acesso federado, visto que o responsável por esse controle é a organização federadora
Verdadeiro
Quais cuidados devem ser tomados quando configurando-se STS para entidades fora da “Zone of trust” (Third-parties)
É necessário configurar o STS com External ID, chave de acesso pré-configurada que visa impedir ataques de Confused Deputy (Ataque onde se autenticando dentro da conta de terceiro para se autenticar dentro da nossa)
Quais são as funcionalidades do Acess Analyser?
1- Detecção de acessos a nossa conta por indíviduos fora da Trusted Zone definida (Accounts e Organizations)
2- Validação de boas práticas de policies ( Policy Validation)
3- Criação de policy com base em 90 últimos dias de logs do CloudTrail (Policy Generation)
Qual a chamada de API do STS utilizada para revocar os acessos a roles ativos no momento?
AWSRevokeOlderSessions
O controle de acessos a um recurso pode ser feito através de uma PrincipalTag (necessário acesso STS:TagSession). Explique como funciona esse mecanismo.
Ao realizar sts:AssumeRole, o usuário pode passar uma session tag onde o campo x possui valor y. Essa tag é associada às credenciais e pode se configurar uma access policy de modo que um recurso só possa ser acessado se a tag associada ao principal for igual à definida na policy. Se a session tag for configurada como transitiva, ela também é passada para quaisquer roles assumidas usando essa role.
Quais são os tipos de identity federation possíveis na AWS?
-SAML 2.0
-SSO (Single Sign-On)
-Web identity federation with(outh) Cognito
-Custom Identity Broker
Quais são as etapas de um fluxo de federação usando SAML 2.0?
1- Usuário requisita credenciais de Identity Provider
2-Identity Provider autentica usuário em Credential Store
3-Usuário recebe Security Assertion comprovando suas permissões
4-Usuário envia security assertion para STS para receber credencias temporárias
Qual a diferença principal entre o fluxo de federação usando SAML 2.0 e usando um Custom Identity Broker?
Usando SAML 2.0, o usuário é aquele que faz a requisição das credenciais da AWS após receber confirmação da Identity Store, enquanto no Custom Identity Broker é o próprio broker que gerencia as credenciais e as envia para o usuário
Se uma empresa necessitar de autenticação usando Active Directory, qual método de recomendação seria recomendado entre SAML 2.0 e Custom Identity Broker? Porque?
Recomenda-se o uso de SAML 2.0, visto que o mesmo possui compatibilidade com o Active Directory Federation System (ADFS) e recomenda-se o uso de um custom broker apaenas se seu identity provider é incompatível com SAML.
Quais as diferenças no fluxo de web identity federation com e sem Cognito (Cognito opera como Token Vending Machine)?
Em ambos os casos o usuário se autentica primeiro no Identity Provider, mas com o Cognito as credenciais obtidas com autenticação são enviadas primeiro para o Cognito para receber um Cognito Token que será enviado então para o STS para obter as credenciais temporárias, enquanto sem Cognito as credenciais do Identity Provider são enviadas direto para o STS através da API AssumeRoleWithWebIdentity
Quais são as vantagens do uso de Web Identity Federation com o Cognito em relação a sem o Cognito
-Criação de roles com menor quantidade de privilégios necessários
-Possibilidade do uso de MFA
-Possibilidade de usários anônimos
-Capacidade de sincronização de dados usando Cognito
Verdadeiro ou Falso: É possível restringir acesso a recursos da AWS com base em Web Identity Provider usado para autenticação
Verdadeiro
Complete os espaços vazios na seguinte frase:
In microsoft AD, ______ are organized in _______, with multiple of them being called a _______.
-Objects
-Trees
-Forest
Descreva os simplificadamente os 3 serviços de Microsoft AD da AWS
-AWS Managed Microsoft AD: Serviço de AD rodando na nuvem AWS (EC2, VPC). Consegue estabelecer confiança com AD On-Prem
-AWS AD Conector: Proxy de conexão para AD On-Prem. Não consegue estabelcer confiança com AD On-Prem
-AWS Simple AD: Sistema simples de AD (Samba 4) compatível com Microsoft AD rodando apenas na nuvem. Mais simple e barato.
Quais são alguns pontos positivos do AWS Managed Microsoft AD
- Compatibilidade com instâncias EC2 Windows para rodar aplicações convencionais do AD
-Multi-AZ (2 AZs) com possibilidade de múltiplas instâncias rodando em cada AZ por escalabilidade
-Integrações AWS
-Integração SSO
-Seamless Domain Join de EC2s e VPCs de múltiplas contas
-Replicação Multi-AZ automática do diretório
-Backup Automático
-Não precisa se conectar On-Prem, se necessário
Quais são as integrações AWS com AWS Managed Microsoft AD?
-RDS for SQL Server
-Amazon WorkSpaces
-Amazon Quicksight
-Amazon Connect
-Amazon WorkDocs
-Amazon Single-Sign On (Permite acesso a recursos de terceiros)
Qual o pre-réquisito para a conexão entre On-Prem AD e o AWS AD tanto para AWS Managed Microsoft AD como AWS AD Connect?
Direct Connect (DX) ou VPN entre On-Prem e AWS
Quais são os tipos de relação de confiança que podem ser estabelecidas entre um AD On-Prem e um AWS?
-One way: AWS -> On-Prem
-One way: On-Prem ->AWS
-Two way forest: AWS <-> On-Prem
Em quais situações a replicação do AD para a nuvem pode ser útil?
Caso o Direct Connect (DX) ou a VPN da conexão fiquem fora de ar, pois fornece uma latência menor nesse casos
Quais são algumas das limitações do AD Connect?
-Não usa Cache
-Não consegue estabelecer confiança com On-Prem
-Gerenciamento de usuários só no On-Prem
-Sem seamless joining, sem integração com SQL Server, sem compartilhamento de diretório
Quais são algumas características do Simple AD
-Menor volume de acessos (500s usuários -> pequeno, 5000 -> grande)
-Sem relação de confiança
-Existente apenas na nuvem
-Baseada em Samba 4 (compatível com Microsoft AD)
-baixo custo, baixa escala,
LDAP compatibility
-Gestão de usuários e grupos, compatibilidade com instancias EC2
Verdadeiro ou falso: Em uma Organizational Unit (OU), todas as contas de sub-OUs podem ser manipuladas por contas de níveis acima
Verdadeiro?
Qual o processo para mover uma conta de uma organização para outra?
1- A conta deve ser removida da organização original
2- A organização nova deve convidar a conta a entrar na nova organização
3- A conta deve aceitar o convite
Como se dá o mecanismo de controle de contas pela management account da OU?
Controle se dá através da OrganizationAccountAccessRole. Essa role existe dentro da member account e garante à management account acesso de administrador a todos os recursos dessa conta, e pode ser acessada por usuários da management account (se permitido) através da AssumeRole API. Essa role é criada automaticamente se o member user for criado dentro da organização, mas deve ser criada manualmente se ele for convidado
Quais são alguns tipos de separação de conta comuns que podem ser aplicados em sua criação para organizações multi-account?
- Contas para cada departamento
- Contas para dev / hml / prd
- Contas para cada cost center
- Contas baseadas em restrições regulatórias, usando SCPs
- Contas para melhor separação de recursos
- Para ter limites de serviços separados para cada conta
- Contas isoladas para logging
Quais são algumas estratégias comuns para organizações multi-account?
- Uso de padrões de tagging para propósitos de billing
- Multi-account vs One account multi-VPC
- Enable CloudTrail in all accounts, send logging trails to S3 on central account
- Send CloudWatch Logs to central logging account
- Create an account dedicated to security
Como funciona o consolidated billing para AWS organizations?
Quando a consolidated billing é ativada, o billing de todas as contadas é centralizado em um método de pagamento apenas, permitindo que vc se aproveite de desconto de uso para o volume agregado de todas as contas, como disconto por volume de uso para EC2, S3, etc
Quais são as diferenças entre as features do Consolidated Billing feature mode para o All Features (Default)?
- O All Features possui acesso a SCPs
- Contas convidadas para dentro do all features tem que aprovar o all features
- Abilidade de aplicar um SCP impedindo membros de sair da organização
- Uma vez que o All Features é habilitado é impossível voltar para apenas o Consolidated Billing
Como funcionam os descontos de Reserved Instances para contas com consolidated billing?
Todas as contas da organização podem receber descontos de saving plans pelos usos de outras contas da organização. A conta de management da organização pode desligar esse benefício (RI e Saving Plans discount sharing) para qualquer conta específica. Para dividir um desconto entre contas diferentes, ambas as contas devem concordar.
In how many OUs can a account be?
Only one, but that one OU can be inside other OUs
SCPs apply to all roles and user and roles on the OU with a few execeptions. What are these exceptions?
-The SCPs is not applied to the Management Account
-The SCPs do not affect Service Linked Roles
Why are Service Linked Roles not affected by SCPs?
Because Service Linked Roles allow other AWS services to integrate with AWS Organizations
True or False: An SCP’s default action is Allow, meaning any actions not explicitly denied on it are allowed
False
What are some common use cases for SCPs?
- Restrict Access to certain services
- Enforce PCI compliance by explicitly disabling services
When using aws:TagKeys to restrict resource creation based on tags using IAM, what are the 2 strategies you can use?
- ForAnyValue: Allows the creation of the resource if any of its tags are the tags requested;
- ForAllValues: Allows the creation of the resource if all requested tags are among the tags of the created resource
What are common strategies when using SCPs?
- Using SCPs to restirct resource creation based on the resource’s tags;
- Using SCPs to deny actions based on Regions
What are Tag Policies and what are some of its use cases
Tag Policies are a policy that you apply to resources accross an organization that define Tag keys and their allowed value. They are useful with AWS Cost Allocation Tags and
Attribute-based Access Control and preventing any non-compliant tagging operations on
specified services and resources
True or False: By default, AWS uses your content to improve it’s AI related services, something that can be opted out of by you OU, Organization Root or member account. This opting out can be for all AI services or specific ones.
True
What are Backup Policies?
They are JSON documents that define how and when to backup your aws resources using AWS Backup. Immutable backup plans appear only in member accounts.
What is the new name for AWS Single Sign-On?
AWS Identity Center
What can AWS Identity Center be used to sign-in to?
-AWS Accounts inside organizations
-Business Cloud Applications (Salesforce, Box, Microsoft 365, etc)
-SAML 2.0 enabled applications
-EC2 Windows Instances
What credential stores can be used with AWS Identity Center?
-The Identity Center’s Built-in identity store
-Third party identity stores such as AD, One Login, Okta, etc
Complete the following phrase:
_______________ are a collection of one or more IAM Policies assigned to users and groups to define IAM access
Permission sets
What is ABAC?
ABAC means Attribute Based Access Control, and it happens by definition user permissions based on user attributes stored on the IAM Identity Center’s identity store (Use of tags on resource and principal)
True or False: AWS Control Tower runs on top of AWS Organizations, therefore it is necessary for the user to create an organization before enabling control tower
False, Control Tower creates an AWS Organization for you
What are some benefits of AWS Control Tower?
- Automates the setup of your environment in a few clicks
- Automates policy management using Guardrails
- Helps detect policy violations and remediate them
- Helps monitor compliance through interactive dashboard
What is AWS Control Tower’s Account Factory’s features?
- Allows you to automate account provisionings and deployments
- Enables you to create pre-approved baselines and configuration options for new AWS Accounts in your organization (Default VPC Configurations, Subnets, Regions, etc…)
- Uses AWS Service Catalog to provision new Accounts
What are the 2 types of Control Tower Guardrails and some of examples of each?
- Preventitive Guardrails, which use SCPs to prevent violations. Ex: Disallow creation of Access Keys for the Root User
- Detective Guardrails, which use AWS Config to detect violations. Ex: Detect whether MFA for the root user is enabled)
What are the 3 levels of Control Tower Guardrails and some of examples of each?
- Mandatory Guardrails, which are automatically enabled and enforced by the Control Tower (Mandatory). Ex: Disallow public Read access to the Log Archive account
- Strongly Recommended Guardrails, which are based on AWS best practices (Optional). Ex: Enable encryption for EBS volumes attached to EC2 instances
- Elective Guardrails, which are commonly used by enterprises (Optional). Ex: Disallow delete actions without MFA in S3 buckets
What is AWS Resource Access Manager (RAM)?
AWS RAM is a service that allow you to share AWS resources between accounts, inside or outside the same organization, to avoid resource duplication
What are the restrictions of sharing VPC subnets using AWS Resource Access Manager?
- Both accounts must belong to the same organization
- Cannot share Security Groups or Default VPCs
- Both accouncts can create resources inside the VPC
- Neither Account can see, modify or delete resources that belong to other accounts
What resources can be shared using AWS Resource Access Manager?
- VPC subnets
- AWS Transit Gateway
- Route 53 (Resolver rules, DNS Firewall rule group)
- License manager configurations
- AuroraDB Clusters
- ACM Private Certificate Authority
- Code Build Project
- EC2 (Dedicated Host, Capacity Reservation)
- AWS Glue (Catalog, Table, Database)
- AWS Network Firewall Policies
- AWS Resource Groups
- Systems Manager Incident Manager (Contacts, Response Plans)
- AWS Outposts (Outpost, Site)
What are the use cases fo sharing a VPC using AWS Resource Access Manager?
- Application with a high-degree of interconnectivity
- Applications within the same trust boundaries
What kind of CIDR lists exist on the Resource Access Manager Managed Prefix List?
- Customer-Managed Prefix list, a set o CIDRs defined and managed by you, which can be shared with other AWS accounts and organizations and can be modified to update many security groups at once
- AWS-Managed Prefix List, a set of CIDRs for AWS services that can’t be created, modified, shared or deleted
What is the Resource Access Manager
Route 53 Outbound Resolver?
It’s a functionality that helps you scale forwarding rules to your DNS if you have multiple accounts and VPC
Verdadeiro ou Falso: Quando se tratando de permissões na AWS, o Principal é aquele que realiza a ação sendo permitida
Verdadeiro
Explain the AWS:CalledVia condition on policies
When a resource is called by another resource, a list of resoureces responsible for the call is passed. For instance, if I called Cloudformation which called DynamoDB which called KMS, the KMS request would have CalledVia: [Cloudformation, DynamoDB]
When writing permission, what negative clauses can you add? (NotX)
NotPrincipal, NotResource and NotAction
Quando se assume uma role usando STS:AssumeRole, como pode-se reduzir as permissões da role sendo assumida manualmente?
Ao assumir a role, é possível passar um parâmetro com uma SessionPolicy, que contém uma policy que é adicionada às permissões sendo recebidas
True or False: One of the advantages o ABAC is that its easy to scale, since after creating a new resource you don’t need to update any role, only create the correct tags on the resource with the correct values
True
True or False: To configure AWS Identity Center, you must have AWS Organizations enabled
True
What are the type of CloudTrail events?
-Management Events: Events that perform operations on your aws resources.
-Data Events: Events containing high volume like Lambda invocations or S3 object activity
-CloudTrail Insight Events: Detects unusual events on your account detected by analysing baseline activity.
What does creating a CloudTrail trail do?
It continuously delivers CloudTrail events to S3 or CloudWatch.
True or False: A CloudTrail trail monitors only the resources on a single Region
False, it can monitor either a single region or all of them (default)
By default, what event types does CloudTrail log?
Only management events, but the other types can also be configured
How long are CloudTrail logs stored for?
90 days
True or False: While using AWS Identity Center, you can have users from multiple identity sources at the same time (ex: User from SSO and users from Microsoft AD)
False, you can only have users from a single indentity provider
What are the types of Identity Pools on Cognito?
-User Pools
-Identity Pools
What are Cognito User Pools?
They are a feature of Cognito that allows users to sign-in to apps on AWS
What are Cognito Identity Pools?
They are a feature of Cognito that grants federated access to AWS Resources to users
True or False: Cognito Identity Pools can be integrated with User Pools as an Identity Provider (User Pools provides the identities)
True
What are some features of Cognito User Pools?
-User/Password Authentication
-Password Reset
-MFA
-Email & Phone Number verification
-Federated Identities (Users from Google, Facebook, etc…)
True or False: Congito User Pools can be integrated with API Gateway and NLBs
False, they cannot be integrated with NLBs, only ALBs
True or False: When authenticating through Identity Pools, users are granted IAM Users
False, they are granted IAM Roles
True or False: SCPs can only be applied at the OU level
False, they can also be applied at the account level
Which AWS Service can you use to check which tags are not compliant with and Organization Tag Policy?
EventBridge
True or False: Organizations Tag Policies generate a report that lists all tagged/non-compliant resoureces
True
At what levels can Organizations Backup Policies be applied?
Root level, OU level and Account level
True or False: Tag policies do not affect untagged resources
True
True or False: Tag policies pevent the creation of non-compliant resources by default
False, the policy must be enforced for the resource creation to be prevented
