Antes de entrarmos nos detalhes minuciosos das funções de Gerenciamento de Acesso e Identidade (IAM), ARNs de função, políticas de confiança e tópicos semelhantes, queremos fornecer um contexto sobre como o Site24x7 coleta contadores de desempenho para vários componentes de infraestrutura da AWS usando nossa integração do CloudWatch .
A história de fundo: acesso baseado em chave
O Site24x7 acessa a API do CloudWatch a cada cinco minutos, descobrindo automaticamente vários serviços suportados da AWS e coletando métricas e metadados de desempenho. As solicitações de API são autenticadas por chaves de acesso (chaves de acesso secretas e IDs de chave de acesso geradas durante a criação do usuário do IAM) e são autorizadas por permissões (modelos de política atribuídos ao usuário do IAM).
Embora a criação de usuários do IAM seja uma excelente maneira de habilitar o acesso à sua conta da AWS, não é infalível. O compartilhamento de credenciais de longo prazo sempre teve responsabilidades associadas a ela; um único deslize pode resultar no acesso de terceiros ao seu recurso da AWS. Aqui no Site24x7, levamos a segurança a sério. As chaves de acesso que você compartilha conosco são criptografadas em nosso banco de dados. Tenha certeza de que mitigamos – se não eliminamos – a chance de suas credenciais serem comprometidas do nosso lado. Apesar de tudo isso, achamos que, se houver algo que possamos fazer para ajudá-lo a conectar sua conta da AWS de uma maneira mais segura, devemos fazê-lo. Hoje fico feliz em dizer que esse empreendimento se concretizou.
Os clientes da AWS e os provedores de serviços gerenciados (MSPs) agora podem usar o Site24x7 para conectar com segurança a conta da AWS e as contas dos clientes usando funções do IAM entre contas.
Então, o que é tudo isso sobre as funções do IAM?
As funções do IAM entre contas permitem que uma entidade do IAM em uma conta da AWS acesse um ou mais recursos em execução em outro ambiente da AWS e execute ações de leitura / gravação. No caso do Site24x7, você pode criar uma função de conta cruzada entre a conta da AWS do Site24x7 e sua conta da AWS (de preferência aquela em que você está executando seus serviços de produção). As etapas a seguir mostrarão como habilitar o acesso baseado em função:
1. Primeiro, faça login na sua conta da AWS e navegue até o console do AWS IAM. No painel de navegação, selecione Funções e comece clicando em Criar Nova Função.
2. Forneça um nome de função apropriado e continue selecionando Função para acesso entre contas. Em seguida, selecione a opção Fornecer acesso entre sua conta da AWS e uma conta de terceiros da AWS.
3. Em seguida, crie uma política de confiança para a função. Digite o ID da conta da AWS do Site24x7 e seu ID externo (um ID exclusivo gerado no console do Site24x7).
Conforme discutido anteriormente, as solicitações de API geralmente são autenticadas usando IDs de chave de acesso e chaves de acesso secretas geradas durante a criação do usuário do IAM. No entanto, no caso de funções do IAM entre contas, o Site24x7 envia uma solicitação à API Assume Role para obter credenciais de segurança temporárias. Cada chamada da API Assume Role inclui o ID da conta e o ID externo, e a solicitação é validada apenas se os parâmetros corresponderem aos detalhes fornecidos acima.
Site24x7 gera GUIDs para IDs externos; também garantimos que duas contas não sejam atribuídas ao mesmo valor. Essencialmente, usando funções do IAM entre contas, você pode bloquear sua conta da AWS contra qualquer acesso não autorizado.
4. Após concluir o estabelecimento de confiança entre sua conta e a conta da AWS do Site24x7, você pode prosseguir e definir a política de acesso. Isso pode ser feito designando a política somente leitura padrão ou colando um JSON de política customizada. A política escolhida determinará o nível de acesso que o Site24x7 obtém e será incorporado à função que você criar.
5. Depois de criar a função, efetue login no Site24x7. Navegue para o formulário de monitor de adição da AWS e cole a função ARN.
6. Após o estabelecimento de uma função, você pode atualizar a política de confiança, editar permissões de política e revogar sessões ativas a seu critério.
Ao oferecer suporte ao acesso de função do IAM entre contas, esperamos aliviar qualquer pequena apreensão que você possa ter sobre a conexão da sua conta da AWS ao Site24x7. Então, faça login na sua conta Site24x7 agora! Siga as instruções no site para conectar sua conta da AWS e faça pleno uso de nossos recursos de monitoramento sem se preocupar com problemas de segurança. Feliz monitoramento!
Comece a usar as notas no Zoho CRM hoje e mantenha-se informado sobre as suas tarefas o tempo todo!
CSoftware / Figo Software seu Distribuidor e Revenda ManageEngine no Brasil
Fone (11) 4063 1007 – Vendas (11) 4063 9639
