IAM Flashcards

1
Q

Qual a diferença entre acessar um recurso AWS assumindo uma role e usando Resource Based Policies?

A

Assumir uma role sobrescreve suas permissões atuais

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Quais tipos de role principals existem?

A

-AWS Service
-AWS Account
-Web Identity (Cognito, etc)
-SAML 2.0
-Custom

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Qual o intervalo de tempo pro qual uma role assumida pelo STS pode se manter válida?

A

Entre 15 min e 12 horas (usar campo DurationSeconds para controlar isso)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Por onde se passa uma EC2 Instance Role para a instância EC2?

A

Pelo campo EC2 Metadata

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qual a diferença de privilégios de acesso entre policy de AdministratorAccess e PowerUserAccess?

A

AdministratorAccess possui acesso completo, enquanto Power user não possui acesso a IAM, Organizations e Account, com a exceção de IAM:CreateServiceLinkedRole, IAM:DestroyServiceLinkedRole , IAM: ListRoles, Account:ListRegions e Organizations:DescribeOrganization

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Qual as relações numéricas de associação para os seguintes recursos:
-Policy -> Role
-Role -> User
-Policy -> User
-User -> Group
-Policy -> Group
-Group -> Group

A
  • N…N
  • 0…0
  • N…N
  • N…N
  • N…N
  • 0…0
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Permission boundaries servem par restringir os acessos de recursos credenciais da AWS. Para quais dos seguintes recursos eles podem ser aplicados:
-Policy
-Role
-User
-Group

A

Roles e Users

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Quais são as etapas que devem ser seguidas para que um recurso na conta A possa acessar um na conta B usando STS (Security Token Service) AssumeRole?

A
  • Deve-se criar uma role na conta B com permissões de acesso para o recurso desejado e que tenha como principal confiado a conta A
  • Deve-se adicionar a permissão de sts:AssumeRole à role do recurso na conta A de modo que o mesmo possa acessar a role criada em B.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Quais as APIs relevantes do STS?

A

-AssumeRole
-AssumeRoleWithSAML
-AssumeRoleWithWebIdentity
-GetSessionToken (MFA)
-GetFederationToken (Temporary AWS creds for federated user)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Verdadeiro ou Falso: É impossível configurar MFA para assumir uma role por STS

A

Falso

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Verdadeiro ou Falso: Não é necessário a existência de usuários da AWS para acesso federado, visto que o responsável por esse controle é a organização federadora

A

Verdadeiro

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Quais cuidados devem ser tomados quando configurando-se STS para entidades fora da “Zone of trust” (Third-parties)

A

É necessário configurar o STS com External ID, chave de acesso pré-configurada que visa impedir ataques de Confused Deputy (Ataque onde se autenticando dentro da conta de terceiro para se autenticar dentro da nossa)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Quais são as funcionalidades do Acess Analyser?

A

1- Detecção de acessos a nossa conta por indíviduos fora da Trusted Zone definida (Accounts e Organizations)
2- Validação de boas práticas de policies ( Policy Validation)
3- Criação de policy com base em 90 últimos dias de logs do CloudTrail (Policy Generation)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Qual a chamada de API do STS utilizada para revocar os acessos a roles ativos no momento?

A

AWSRevokeOlderSessions

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

O controle de acessos a um recurso pode ser feito através de uma PrincipalTag (necessário acesso STS:TagSession). Explique como funciona esse mecanismo.

A

Ao realizar sts:AssumeRole, o usuário pode passar uma session tag onde o campo x possui valor y. Essa tag é associada às credenciais e pode se configurar uma access policy de modo que um recurso só possa ser acessado se a tag associada ao principal for igual à definida na policy. Se a session tag for configurada como transitiva, ela também é passada para quaisquer roles assumidas usando essa role.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Quais são os tipos de identity federation possíveis na AWS?

A

-SAML 2.0
-SSO (Single Sign-On)
-Web identity federation with(outh) Cognito
-Custom Identity Broker

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Quais são as etapas de um fluxo de federação usando SAML 2.0?

A

1- Usuário requisita credenciais de Identity Provider
2-Identity Provider autentica usuário em Credential Store
3-Usuário recebe Security Assertion comprovando suas permissões
4-Usuário envia security assertion para STS para receber credencias temporárias

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Qual a diferença principal entre o fluxo de federação usando SAML 2.0 e usando um Custom Identity Broker?

A

Usando SAML 2.0, o usuário é aquele que faz a requisição das credenciais da AWS após receber confirmação da Identity Store, enquanto no Custom Identity Broker é o próprio broker que gerencia as credenciais e as envia para o usuário

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Se uma empresa necessitar de autenticação usando Active Directory, qual método de recomendação seria recomendado entre SAML 2.0 e Custom Identity Broker? Porque?

A

Recomenda-se o uso de SAML 2.0, visto que o mesmo possui compatibilidade com o Active Directory Federation System (ADFS) e recomenda-se o uso de um custom broker apaenas se seu identity provider é incompatível com SAML.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Quais as diferenças no fluxo de web identity federation com e sem Cognito (Cognito opera como Token Vending Machine)?

A

Em ambos os casos o usuário se autentica primeiro no Identity Provider, mas com o Cognito as credenciais obtidas com autenticação são enviadas primeiro para o Cognito para receber um Cognito Token que será enviado então para o STS para obter as credenciais temporárias, enquanto sem Cognito as credenciais do Identity Provider são enviadas direto para o STS através da API AssumeRoleWithWebIdentity

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Quais são as vantagens do uso de Web Identity Federation com o Cognito em relação a sem o Cognito

A

-Criação de roles com menor quantidade de privilégios necessários
-Possibilidade do uso de MFA
-Possibilidade de usários anônimos
-Capacidade de sincronização de dados usando Cognito

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Verdadeiro ou Falso: É possível restringir acesso a recursos da AWS com base em Web Identity Provider usado para autenticação

A

Verdadeiro

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Complete os espaços vazios na seguinte frase:
In microsoft AD, ______ are organized in _______, with multiple of them being called a _______.

A

-Objects
-Trees
-Forest

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Descreva os simplificadamente os 3 serviços de Microsoft AD da AWS

A

-AWS Managed Microsoft AD: Serviço de AD rodando na nuvem AWS (EC2, VPC). Consegue estabelecer confiança com AD On-Prem
-AWS AD Conector: Proxy de conexão para AD On-Prem. Não consegue estabelcer confiança com AD On-Prem
-AWS Simple AD: Sistema simples de AD (Samba 4) compatível com Microsoft AD rodando apenas na nuvem. Mais simple e barato.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

Quais são alguns pontos positivos do AWS Managed Microsoft AD

A
  • Compatibilidade com instâncias EC2 Windows para rodar aplicações convencionais do AD
    -Multi-AZ (2 AZs) com possibilidade de múltiplas instâncias rodando em cada AZ por escalabilidade
    -Integrações AWS
    -Integração SSO
    -Seamless Domain Join de EC2s e VPCs de múltiplas contas
    -Replicação Multi-AZ automática do diretório
    -Backup Automático
    -Não precisa se conectar On-Prem, se necessário
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

Quais são as integrações AWS com AWS Managed Microsoft AD?

A

-RDS for SQL Server
-Amazon WorkSpaces
-Amazon Quicksight
-Amazon Connect
-Amazon WorkDocs
-Amazon Single-Sign On (Permite acesso a recursos de terceiros)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

Qual o pre-réquisito para a conexão entre On-Prem AD e o AWS AD tanto para AWS Managed Microsoft AD como AWS AD Connect?

A

Direct Connect (DX) ou VPN entre On-Prem e AWS

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

Quais são os tipos de relação de confiança que podem ser estabelecidas entre um AD On-Prem e um AWS?

A

-One way: AWS -> On-Prem
-One way: On-Prem ->AWS
-Two way forest: AWS <-> On-Prem

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
29
Q

Em quais situações a replicação do AD para a nuvem pode ser útil?

A

Caso o Direct Connect (DX) ou a VPN da conexão fiquem fora de ar, pois fornece uma latência menor nesse casos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
30
Q

Quais são algumas das limitações do AD Connect?

A

-Não usa Cache
-Não consegue estabelecer confiança com On-Prem
-Gerenciamento de usuários só no On-Prem
-Sem seamless joining, sem integração com SQL Server, sem compartilhamento de diretório

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
31
Q

Quais são algumas características do Simple AD

A

-Menor volume de acessos (500s usuários -> pequeno, 5000 -> grande)
-Sem relação de confiança
-Existente apenas na nuvem
-Baseada em Samba 4 (compatível com Microsoft AD)
-baixo custo, baixa escala,
LDAP compatibility
-Gestão de usuários e grupos, compatibilidade com instancias EC2

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
32
Q

Verdadeiro ou falso: Em uma Organizational Unit (OU), todas as contas de sub-OUs podem ser manipuladas por contas de níveis acima

A

Verdadeiro?

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
33
Q

Qual o processo para mover uma conta de uma organização para outra?

A

1- A conta deve ser removida da organização original
2- A organização nova deve convidar a conta a entrar na nova organização
3- A conta deve aceitar o convite

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
34
Q

Como se dá o mecanismo de controle de contas pela management account da OU?

A

Controle se dá através da OrganizationAccountAccessRole. Essa role existe dentro da member account e garante à management account acesso de administrador a todos os recursos dessa conta, e pode ser acessada por usuários da management account (se permitido) através da AssumeRole API. Essa role é criada automaticamente se o member user for criado dentro da organização, mas deve ser criada manualmente se ele for convidado

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
35
Q

Quais são alguns tipos de separação de conta comuns que podem ser aplicados em sua criação para organizações multi-account?

A
  • Contas para cada departamento
  • Contas para dev / hml / prd
  • Contas para cada cost center
  • Contas baseadas em restrições regulatórias, usando SCPs
  • Contas para melhor separação de recursos
  • Para ter limites de serviços separados para cada conta
  • Contas isoladas para logging
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
36
Q

Quais são algumas estratégias comuns para organizações multi-account?

A
  • Uso de padrões de tagging para propósitos de billing
  • Multi-account vs One account multi-VPC
  • Enable CloudTrail in all accounts, send logging trails to S3 on central account
  • Send CloudWatch Logs to central logging account
  • Create an account dedicated to security
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
37
Q

Como funciona o consolidated billing para AWS organizations?

A

Quando a consolidated billing é ativada, o billing de todas as contadas é centralizado em um método de pagamento apenas, permitindo que vc se aproveite de desconto de uso para o volume agregado de todas as contas, como disconto por volume de uso para EC2, S3, etc

38
Q

Quais são as diferenças entre as features do Consolidated Billing feature mode para o All Features (Default)?

A
  • O All Features possui acesso a SCPs
  • Contas convidadas para dentro do all features tem que aprovar o all features
  • Abilidade de aplicar um SCP impedindo membros de sair da organização
  • Uma vez que o All Features é habilitado é impossível voltar para apenas o Consolidated Billing
39
Q

Como funcionam os descontos de Reserved Instances para contas com consolidated billing?

A

Todas as contas da organização podem receber descontos de saving plans pelos usos de outras contas da organização. A conta de management da organização pode desligar esse benefício (RI e Saving Plans discount sharing) para qualquer conta específica. Para dividir um desconto entre contas diferentes, ambas as contas devem concordar.

40
Q

In how many OUs can a account be?

A

Only one, but that one OU can be inside other OUs

41
Q

SCPs apply to all roles and user and roles on the OU with a few execeptions. What are these exceptions?

A

-The SCPs is not applied to the Management Account
-The SCPs do not affect Service Linked Roles

42
Q

Why are Service Linked Roles not affected by SCPs?

A

Because Service Linked Roles allow other AWS services to integrate with AWS Organizations

43
Q

True or False: An SCP’s default action is Allow, meaning any actions not explicitly denied on it are allowed

A

False

44
Q

What are some common use cases for SCPs?

A
  • Restrict Access to certain services
  • Enforce PCI compliance by explicitly disabling services
45
Q

When using aws:TagKeys to restrict resource creation based on tags using IAM, what are the 2 strategies you can use?

A
  • ForAnyValue: Allows the creation of the resource if any of its tags are the tags requested;
  • ForAllValues: Allows the creation of the resource if all requested tags are among the tags of the created resource
46
Q

What are common strategies when using SCPs?

A
  • Using SCPs to restirct resource creation based on the resource’s tags;
  • Using SCPs to deny actions based on Regions
47
Q

What are Tag Policies and what are some of its use cases

A

Tag Policies are a policy that you apply to resources accross an organization that define Tag keys and their allowed value. They are useful with AWS Cost Allocation Tags and
Attribute-based Access Control and preventing any non-compliant tagging operations on
specified services and resources

48
Q

True or False: By default, AWS uses your content to improve it’s AI related services, something that can be opted out of by you OU, Organization Root or member account. This opting out can be for all AI services or specific ones.

A

True

49
Q

What are Backup Policies?

A

They are JSON documents that define how and when to backup your aws resources using AWS Backup. Immutable backup plans appear only in member accounts.

50
Q

What is the new name for AWS Single Sign-On?

A

AWS Identity Center

51
Q

What can AWS Identity Center be used to sign-in to?

A

-AWS Accounts inside organizations
-Business Cloud Applications (Salesforce, Box, Microsoft 365, etc)
-SAML 2.0 enabled applications
-EC2 Windows Instances

52
Q

What credential stores can be used with AWS Identity Center?

A

-The Identity Center’s Built-in identity store
-Third party identity stores such as AD, One Login, Okta, etc

53
Q

Complete the following phrase:
_______________ are a collection of one or more IAM Policies assigned to users and groups to define IAM access

A

Permission sets

54
Q

What is ABAC?

A

ABAC means Attribute Based Access Control, and it happens by definition user permissions based on user attributes stored on the IAM Identity Center’s identity store (Use of tags on resource and principal)

55
Q

True or False: AWS Control Tower runs on top of AWS Organizations, therefore it is necessary for the user to create an organization before enabling control tower

A

False, Control Tower creates an AWS Organization for you

56
Q

What are some benefits of AWS Control Tower?

A
  • Automates the setup of your environment in a few clicks
  • Automates policy management using Guardrails
  • Helps detect policy violations and remediate them
  • Helps monitor compliance through interactive dashboard
57
Q

What is AWS Control Tower’s Account Factory’s features?

A
  • Allows you to automate account provisionings and deployments
  • Enables you to create pre-approved baselines and configuration options for new AWS Accounts in your organization (Default VPC Configurations, Subnets, Regions, etc…)
  • Uses AWS Service Catalog to provision new Accounts
58
Q

What are the 2 types of Control Tower Guardrails and some of examples of each?

A
  • Preventitive Guardrails, which use SCPs to prevent violations. Ex: Disallow creation of Access Keys for the Root User
  • Detective Guardrails, which use AWS Config to detect violations. Ex: Detect whether MFA for the root user is enabled)
59
Q

What are the 3 levels of Control Tower Guardrails and some of examples of each?

A
  • Mandatory Guardrails, which are automatically enabled and enforced by the Control Tower (Mandatory). Ex: Disallow public Read access to the Log Archive account
  • Strongly Recommended Guardrails, which are based on AWS best practices (Optional). Ex: Enable encryption for EBS volumes attached to EC2 instances
  • Elective Guardrails, which are commonly used by enterprises (Optional). Ex: Disallow delete actions without MFA in S3 buckets
60
Q

What is AWS Resource Access Manager (RAM)?

A

AWS RAM is a service that allow you to share AWS resources between accounts, inside or outside the same organization, to avoid resource duplication

61
Q

What are the restrictions of sharing VPC subnets using AWS Resource Access Manager?

A
  • Both accounts must belong to the same organization
  • Cannot share Security Groups or Default VPCs
  • Both accouncts can create resources inside the VPC
  • Neither Account can see, modify or delete resources that belong to other accounts
62
Q

What resources can be shared using AWS Resource Access Manager?

A
  • VPC subnets
  • AWS Transit Gateway
  • Route 53 (Resolver rules, DNS Firewall rule group)
  • License manager configurations
  • AuroraDB Clusters
  • ACM Private Certificate Authority
  • Code Build Project
  • EC2 (Dedicated Host, Capacity Reservation)
  • AWS Glue (Catalog, Table, Database)
  • AWS Network Firewall Policies
  • AWS Resource Groups
  • Systems Manager Incident Manager (Contacts, Response Plans)
  • AWS Outposts (Outpost, Site)
63
Q

What are the use cases fo sharing a VPC using AWS Resource Access Manager?

A
  • Application with a high-degree of interconnectivity
  • Applications within the same trust boundaries
64
Q

What kind of CIDR lists exist on the Resource Access Manager Managed Prefix List?

A
  • Customer-Managed Prefix list, a set o CIDRs defined and managed by you, which can be shared with other AWS accounts and organizations and can be modified to update many security groups at once
  • AWS-Managed Prefix List, a set of CIDRs for AWS services that can’t be created, modified, shared or deleted
65
Q

What is the Resource Access Manager
Route 53 Outbound Resolver?

A

It’s a functionality that helps you scale forwarding rules to your DNS if you have multiple accounts and VPC

66
Q

Verdadeiro ou Falso: Quando se tratando de permissões na AWS, o Principal é aquele que realiza a ação sendo permitida

A

Verdadeiro

67
Q

Explain the AWS:CalledVia condition on policies

A

When a resource is called by another resource, a list of resoureces responsible for the call is passed. For instance, if I called Cloudformation which called DynamoDB which called KMS, the KMS request would have CalledVia: [Cloudformation, DynamoDB]

68
Q

When writing permission, what negative clauses can you add? (NotX)

A

NotPrincipal, NotResource and NotAction

69
Q

Quando se assume uma role usando STS:AssumeRole, como pode-se reduzir as permissões da role sendo assumida manualmente?

A

Ao assumir a role, é possível passar um parâmetro com uma SessionPolicy, que contém uma policy que é adicionada às permissões sendo recebidas

70
Q

True or False: One of the advantages o ABAC is that its easy to scale, since after creating a new resource you don’t need to update any role, only create the correct tags on the resource with the correct values

A

True

71
Q

True or False: To configure AWS Identity Center, you must have AWS Organizations enabled

A

True

72
Q

What are the type of CloudTrail events?

A

-Management Events: Events that perform operations on your aws resources.
-Data Events: Events containing high volume like Lambda invocations or S3 object activity
-CloudTrail Insight Events: Detects unusual events on your account detected by analysing baseline activity.

73
Q

What does creating a CloudTrail trail do?

A

It continuously delivers CloudTrail events to S3 or CloudWatch.

74
Q

True or False: A CloudTrail trail monitors only the resources on a single Region

A

False, it can monitor either a single region or all of them (default)

75
Q

By default, what event types does CloudTrail log?

A

Only management events, but the other types can also be configured

76
Q

How long are CloudTrail logs stored for?

A

90 days

77
Q

True or False: While using AWS Identity Center, you can have users from multiple identity sources at the same time (ex: User from SSO and users from Microsoft AD)

A

False, you can only have users from a single indentity provider

78
Q

What are the types of Identity Pools on Cognito?

A

-User Pools
-Identity Pools

79
Q

What are Cognito User Pools?

A

They are a feature of Cognito that allows users to sign-in to apps on AWS

80
Q

What are Cognito Identity Pools?

A

They are a feature of Cognito that grants federated access to AWS Resources to users

81
Q

True or False: Cognito Identity Pools can be integrated with User Pools as an Identity Provider (User Pools provides the identities)

A

True

82
Q

What are some features of Cognito User Pools?

A

-User/Password Authentication
-Password Reset
-MFA
-Email & Phone Number verification
-Federated Identities (Users from Google, Facebook, etc…)

83
Q

True or False: Congito User Pools can be integrated with API Gateway and NLBs

A

False, they cannot be integrated with NLBs, only ALBs

84
Q

True or False: When authenticating through Identity Pools, users are granted IAM Users

A

False, they are granted IAM Roles

85
Q

True or False: SCPs can only be applied at the OU level

A

False, they can also be applied at the account level

86
Q

Which AWS Service can you use to check which tags are not compliant with and Organization Tag Policy?

A

EventBridge

87
Q

True or False: Organizations Tag Policies generate a report that lists all tagged/non-compliant resoureces

A

True

88
Q

At what levels can Organizations Backup Policies be applied?

A

Root level, OU level and Account level

89
Q

True or False: Tag policies do not affect untagged resources

A

True

90
Q

True or False: Tag policies pevent the creation of non-compliant resources by default

A

False, the policy must be enforced for the resource creation to be prevented