fbpx

Entendendo a Segurança na AWS

segurancanaaws
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

Antes de entrarmos nos detalhes de como a AWS protege seus recursos, devemos falar sobre como a segurança na nuvem é um pouco diferente da segurança nos seus datacenters locais.

Quando você move dados e sistemas de computador para a nuvem, as responsabilidades de segurança são compartilhadas entre você e seu provedor de serviços em nuvem. Nesse caso, a AWS é responsável por proteger a infraestrutura subjacente que suporta a nuvem, e você é responsável por qualquer coisa que você colocar na nuvem ou conectar-se à nuvem.

Esse modelo de responsabilidade compartilhada pode reduzir sua carga operacional de várias maneiras e, em alguns casos, pode até melhorar sua postura de segurança padrão sem ação adicional de sua parte

 

Programa de conformidade da AWS

 

A conformidade da AWS permite que os clientes entendam os controles robustos em vigor na AWS para manter a segurança e a proteção de dados na nuvem.

Ao criar sistemas sobre a infraestrutura em nuvem da AWS, você compartilha responsabilidades de conformidade com a AWS. Ao vincular os recursos de serviço amigáveis ​​e focados em governança com os padrões de conformidade ou auditoria aplicáveis, os facilitadores de conformidade da AWS se baseiam em programas tradicionais, ajudando você a estabelecer e operar em um ambiente de controle de segurança da AWS.

A infraestrutura de TI fornecida pela AWS é projetada e gerenciada em alinhamento com as melhores práticas de segurança e uma variedade de padrões de segurança de TI, incluindo (no momento da redação deste documento):

  • Controle da organização de serviços (SOC) 1 / Declaração sobre normas para compromissos de atestado (SSAE) 16 / Normas internacionais para compromissos de garantia nº 3402 (ISAE) 3402 (anteriormente Declaração sobre normas de auditoria [SAS] 70)
  • SOC 2
  • SOC 3
  • Lei Federal de Gerenciamento de Segurança da Informação (FISMA)
  • Departamento de Defesa (DoD)
  • Processo de Certificação e Acreditação de Garantia da Informação (DIACAP)
  • Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP)
  • Guia de Requisitos de Segurança (SRG) do DoD Cloud Computing Níveis 2 e 4
  • Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) Nível 1
  • Organização Internacional de Normalização (ISO) 9001 e ISO 27001
  • Regulamentos sobre o tráfego internacional de armas (ITAR)
  • Padrão Federal de Processamento de Informações (FIPS) 140-2

 

Além disso, a flexibilidade e o controle fornecidos pela plataforma da AWS permitem que os clientes implantem soluções que atendem a vários padrões específicos do setor, incluindo:

  • Serviços de Informação da Justiça Criminal (CJIS)
  • Aliança de Segurança na Nuvem (CSA)
  • Lei de Privacidade e Direitos Educacionais da Família (FERPA)
  • Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA)
  • Associação de Cinema da América (MPAA)

A AWS fornece uma ampla gama de informações sobre seu ambiente de controle de TI para os clientes por meio de whitepapers, relatórios, certificações, acreditações e outros atestados de terceiros.

 

Segurança de infraestrutura global da AWS

 

A AWS opera a infraestrutura de nuvem global usada para provisionar uma variedade de recursos básicos de computação, como processamento e armazenamento. A infraestrutura global da AWS inclui as instalações, a rede, o hardware e o software operacional (por exemplo, host operacional, sistema e software de virtualização) que oferecem suporte ao provisionamento e uso desses recursos.

A infraestrutura global da AWS é projetada e gerenciada de acordo com as melhores práticas de segurança, bem como com uma variedade de padrões de conformidade de segurança. Como cliente da AWS, você pode ter certeza de que está construindo arquiteturas da Web sobre algumas das infraestruturas de computação mais seguras do mundo.

 

Segurança Física e Ambiental

Os data centers da AWS são avançados, usando abordagens inovadoras de arquitetura e engenharia. A Amazon tem muitos anos de experiência no design, construção e operação de data centers em larga escala. Essa experiência foi aplicada à plataforma e infraestrutura da AWS.

Os datacenters da AWS estão alojados em instalações não-descritas. O acesso físico é estritamente controlado tanto no perímetro quanto nos pontos de entrada da construção pela equipe de segurança profissional, usando videovigilância, sistemas de detecção de intrusão e outros meios eletrônicos.

A equipe autorizada deve passar pela autenticação de dois fatores no mínimo duas vezes para acessar os andares do datacenter. Todos os visitantes e contratados são obrigados a apresentar identificação e são assinados e acompanhados continuamente por pessoal autorizado.

A AWS fornece apenas acesso e informações ao datacenter a funcionários e contratados que possuem uma necessidade legítima dos negócios por esses privilégios. Quando um funcionário não tem mais uma necessidade comercial desses privilégios, seu acesso é imediatamente revogado, mesmo se continuar sendo funcionário da Amazon ou da AWS. Todo o acesso físico aos datacenters pelos funcionários da AWS é registrado e auditado rotineiramente.

 

Detecção e Supressão de Incêndio

Os datacenters da AWS possuem equipamentos automáticos de detecção e supressão de incêndio para reduzir riscos. O sistema de detecção de incêndio utiliza sensores de detecção de fumaça em todos os ambientes de data center, espaços de infraestrutura mecânica e elétrica, salas de resfriadores e salas de equipamentos de gerador.

Essas áreas são protegidas por sistemas de tubulação úmida, pré-ação com bloqueio duplo ou aspersores gasosos.

 

Energia

Os sistemas de energia elétrica do datacenter da AWS foram projetados para serem totalmente redundantes e mantidos sem impacto nas operações, 24 horas por dia e 7 dias por semana. As unidades de fonte de alimentação ininterrupta (UPS) fornecem energia de backup no caso de uma falha elétrica para cargas críticas e essenciais nas instalações. Os datacenters da AWS usam geradores para fornecer energia de backup para toda a instalação.

 

Clima e Temperatura

O controle climático é necessário para manter uma temperatura operacional constante para servidores e outros hardwares, o que evita o superaquecimento e reduz a possibilidade de interrupções no serviço.

Os data centers da AWS são criados para manter as condições atmosféricas em níveis ideais. O pessoal e os sistemas monitoram e controlam a temperatura e a umidade em níveis adequados.

 

Gerenciamento

A AWS monitora sistemas e equipamentos elétricos, mecânicos e de suporte à vida, para que quaisquer problemas sejam identificados imediatamente. A equipe da AWS realiza manutenção preventiva para manter a operacionalidade contínua dos equipamentos.

 

Desativação do dispositivo de armazenamento

Quando um dispositivo de armazenamento atinge o fim de sua vida útil, os procedimentos da AWS incluem um processo de descomissionamento desenvolvido para impedir que os dados do cliente sejam expostos a pessoas não autorizadas.

 

Gestão de Continuidade de Negócios

A infraestrutura da Amazon tem um alto nível de disponibilidade e fornece aos clientes os recursos para implantar uma arquitetura de TI resiliente. A AWS projetou seus sistemas para tolerar falhas de sistema ou hardware com impacto mínimo no cliente.

 

Continuidade de negócios do data center

O gerenciamento da AWS está sob a direção do Amazon Infrastructure Group.

 

Disponibilidade

Os datacenters são construídos em clusters em várias regiões globais. Todos os data centers estão online e atendem aos clientes; nenhum data center está “frio”. Em caso de falha, processos automatizados afastam o tráfego de dados da área afetada.

Os aplicativos principais são implantados em uma configuração N + 1, para que, no caso de uma falha no data center, haja capacidade suficiente para permitir que o tráfego seja balanceado por carga nos sites restantes.

A AWS oferece a seus clientes a flexibilidade de colocar instâncias e armazenar dados em várias regiões geográficas e também em várias zonas de disponibilidade em cada região.

Cada zona de disponibilidade é projetada como uma zona de falha independente.

Isso significa que as zonas de disponibilidade são fisicamente separadas dentro de uma região metropolitana típica e localizadas em planícies de inundação de menor risco (a categorização específica das zonas de inundação varia de acordo com a região). Além de possuir instalações discretas de geração de no-break e backup no local, elas são alimentadas por diferentes grades de utilidades independentes para reduzir ainda mais os pontos únicos de falha. As zonas de disponibilidade são todas redundantemente conectadas a vários provedores de transporte de nível 1

Você deve arquitetar o uso da AWS para tirar proveito de várias regiões e zonas de disponibilidade. A distribuição de aplicativos em várias zonas de disponibilidade oferece a capacidade de permanecer resiliente diante da maioria dos modos de falha, incluindo desastres naturais ou falhas no sistema.

 

Resposta a Incidentes

A equipe de gerenciamento de incidentes da Amazon emprega procedimentos de diagnóstico padrão do setor para direcionar a resolução durante eventos com impacto nos negócios.

Os operadores da equipe oferecem cobertura 24 × 7 × 365 para detectar incidentes e gerenciar o impacto e a resolução.

 

Comunicação

A AWS implementou vários métodos de comunicação interna em nível global para ajudar os funcionários a entender suas funções e responsabilidades individuais e comunicar eventos significativos em tempo hábil.

Esses métodos incluem programas de orientação e treinamento para funcionários recém-contratados, reuniões regulares de gerenciamento para atualizações sobre o desempenho dos negócios e outros assuntos e meios eletrônicos, como videoconferência, mensagens de correio eletrônico e postagem de informações pela intranet da Amazon.

A AWS também implementou vários métodos de comunicação externa para apoiar sua base de clientes e a comunidade.

Existem mecanismos para permitir que a equipe de suporte ao cliente seja notificada sobre problemas operacionais que afetam a experiência do cliente. Um painel de integridade do serviço está disponível e é mantido pela equipe de suporte ao cliente para alertar os clientes sobre quaisquer problemas que possam ter amplo impacto.

O Centro de segurança da AWS está disponível para fornecer detalhes de segurança e conformidade sobre a AWS. Os clientes também podem se inscrever nas ofertas de suporte da AWS, que incluem comunicação direta com a equipe de suporte ao cliente e alertas proativos para quaisquer problemas que impactem o cliente.

 

Segurança de rede

A rede da AWS foi arquitetada para permitir que você selecione o nível de segurança e resiliência apropriado para sua carga de trabalho. Para permitir a criação de arquiteturas da Web geograficamente dispersas e tolerantes a falhas com recursos de nuvem, a AWS implementou uma infraestrutura de rede de classe mundial que é cuidadosamente monitorada e gerenciada.

 

Arquitetura de rede segura

Dispositivos de rede, incluindo firewall e outros dispositivos de limite, existem para monitorar e controlar as comunicações nos limites externos da rede e nos principais limites internos da rede. Esses dispositivos de limite empregam conjuntos de regras, listas de controle de acesso (ACLs) e configurações para impor o fluxo de informações a serviços específicos do sistema de informações.

As ACLs ou políticas de fluxo de tráfego são estabelecidas em cada interface gerenciada, que gerencia e aplica o fluxo de tráfego. As políticas da ACL são aprovadas pelo Amazon Information Security. Essas políticas são enviadas automaticamente para garantir que essas interfaces gerenciadas apliquem as ACLs mais atualizadas.

 

Pontos de acesso seguros

A AWS colocou estrategicamente um número limitado de pontos de acesso na nuvem para permitir um monitoramento mais abrangente das comunicações de entrada e saída e do tráfego da rede.

Esses pontos de acesso do cliente são chamados de endpoint API (Application Programming Interface) e permitem acesso HTTP seguro (HTTPS), o que permite estabelecer uma sessão de comunicação segura com suas instâncias de armazenamento ou computação na AWS.

Para oferecer suporte a clientes com requisitos criptográficos do Federal Information Processing Standard (FIPS), os balanceadores de carga que terminam com Secure Sockets Layer (SSL) no AWS GovCloud (US) são compatíveis com FIPS 140-2.

Além disso, a AWS implementou dispositivos de rede dedicados ao gerenciamento de comunicações de interface com os ISPs (Internet Service Providers). A AWS emprega uma conexão redundante com mais de um serviço de comunicação em cada extremidade da rede da AWS voltada para a Internet. Essas conexões possuem dispositivos de rede dedicados.

 

Proteção de transmissão

Você pode conectar-se a um ponto de acesso da AWS via HTTP ou HTTPS usando SSL, um protocolo criptográfico desenvolvido para proteger contra interceptação, adulteração e falsificação de mensagens.

 

Monitoramento e proteção de rede

A rede da AWS fornece proteção significativa contra problemas de segurança de rede tradicionais e você pode implementar mais proteção. A seguir estão alguns exemplos:

 

Ataques de negação de serviço distribuída (DDoS)

Os endpoint da API da AWS são hospedados em uma grande infraestrutura de classe mundial em escala da Internet, que se beneficia da mesma experiência em engenharia que transformou a Amazon no maior varejista on-line do mundo.

Técnicas proprietárias de mitigação de DDoS são usadas. Além disso, as redes da AWS têm hospedagem múltipla em vários fornecedores para alcançar a diversidade de acesso à Internet.

 

Ataques intermediários (MITM)

Todas as APIs da AWS estão disponíveis por endpoint protegidos por SSL que fornecem autenticação de servidor.

As AMIs do Amazon Elastic Compute Cloud (Amazon EC2) geram automaticamente novos certificados de host Secure Shell (SSH) na primeira inicialização e os registram no console da instância. Você pode usar as APIs seguras para chamar o console e acessar os certificados de host antes de efetuar login na instância pela primeira vez. A AWS incentiva você a usar SSL para todas as suas interações.

 

 

Falsificação de IP

As instâncias do Amazon EC2 não podem enviar tráfego de rede falsificado. A infraestrutura de firewall controlada por host e controlada pela AWS não permitirá que uma instância envie tráfego com um endereço IP ou MAC (Machine Access Control) de origem diferente do seu.

 

Verificação de porta

Verificações de porta não autorizadas por clientes do Amazon EC2 são uma violação da Política de uso aceitável da AWS. As violações da Política de uso aceitável da AWS são levadas a sério e todas as violações relatadas são investigadas.

Os clientes podem denunciar suspeitas de abuso por meio dos contatos disponíveis no site da AWS. Quando a varredura de porta não autorizada é detectada pela AWS, ela é parada e bloqueada. As verificações de porta das instâncias do Amazon EC2 geralmente são ineficazes porque, por padrão, todas as portas de entrada nas instâncias do Amazon EC2 são fechadas e são abertas apenas pelo cliente.

O gerenciamento rigoroso de grupos de segurança pode reduzir ainda mais a ameaça de varreduras portuárias. Se você configurar o grupo de segurança para permitir o tráfego de qualquer origem para uma porta específica, essa porta específica ficará vulnerável a uma verificação de porta. Nesses casos, você deve usar as medidas de segurança apropriadas para proteger os serviços de escuta que possam ser essenciais para seus serviços de aplicativos sejam descobertos por uma verificação de porta não autorizada.

Por exemplo, um servidor Web deve claramente ter a porta 80 (HTTP) aberta ao mundo, e o administrador deste servidor é responsável pela segurança do software do servidor HTTP, como o Apache. Você pode solicitar permissão para realizar verificações de vulnerabilidade, conforme necessário, para atender aos seus requisitos de conformidade específicos.

Essas verificações devem ser limitadas às suas próprias instâncias e não devem violar a Política de uso aceitável da AWS. A aprovação avançada para esses tipos de verificações pode ser iniciada enviando uma solicitação pelo site da AWS.

Detecção de pacotes

Embora você possa colocar suas interfaces no modo promíscuo, o hipervisor não fornecerá nenhum tráfego para eles que não lhes seja endereçado. Mesmo duas instâncias virtuais pertencentes ao mesmo cliente localizadas no mesmo host físico não podem escutar o tráfego um do outro. Embora o Amazon EC2 forneça ampla proteção contra um cliente que, inadvertidamente ou maliciosamente, tente visualizar os dados de outro cliente, como prática padrão, você deve criptografar o tráfego confidencial.

 

Recursos de segurança da conta da AWS

A AWS fornece uma variedade de ferramentas e recursos que você pode usar para manter sua conta e recursos da AWS protegidos contra uso não autorizado. Isso inclui credenciais para controle de acesso, endpoint HTTPS para transmissão de dados criptografados, a criação de contas de usuário separadas do AWS Identity and Access Management (IAM) e o registro de atividades do usuário para monitoramento de segurança. Você pode tirar proveito de todas essas ferramentas de segurança, independentemente dos serviços da AWS selecionados.

 

Credenciais da AWS

Para ajudar a garantir que apenas usuários e processos autorizados acessem sua conta e recursos da AWS, a AWS usa vários tipos de credenciais para autenticação. Isso inclui senhas, chaves criptográficas, assinaturas digitais e certificados. A AWS também oferece a opção de exigir a autenticação multifator (MFA) para efetuar login na sua conta da AWS ou contas de usuário do IAM.

Por motivos de segurança, se suas credenciais foram perdidas ou esquecidas, você não pode recuperá-las ou fazer o download novamente. No entanto, você pode criar novas credenciais e, em seguida, desabilitar ou excluir o conjunto antigo de credenciais. De fato, a AWS recomenda que você altere (gire) suas chaves de acesso e certificados regularmente.

Para ajudá-lo a fazer isso sem afetar potencialmente a disponibilidade do seu aplicativo, a AWS oferece suporte a várias chaves e certificados de acesso simultâneo.

Com esse recurso, você pode alternar chaves e certificados para dentro e fora de operação regularmente, sem tempo de inatividade para o seu aplicativo. Isso pode ajudar a reduzir o risco de chaves ou certificados de acesso perdidos ou comprometidos.

A API do AWS IAM permite que você gire as chaves de acesso da sua conta da AWS e também das contas de usuário do IAM.

 

Senhas

As senhas são necessárias para acessar sua conta da AWS, contas de usuário individuais do IAM, fóruns de discussão da AWS e o Centro de suporte da AWS.

Você especifica a senha quando cria a conta e pode alterá-la a qualquer momento, acessando a página Credenciais de segurança.

As senhas da AWS podem ter até 128 caracteres e conter caracteres especiais, permitindo a criação de senhas muito fortes.

Você pode definir uma política de senha para suas contas de usuário do IAM para garantir que senhas fortes sejam usadas e que sejam alteradas com frequência. Uma política de senha é um conjunto de regras que definem o tipo de senha que um usuário do IAM pode definir.

 

Autenticação multifator da AWS (AWS MFA)

O AWS MFA é uma camada adicional de segurança para acessar os serviços da AWS Cloud. Ao ativar esse recurso opcional, você precisará fornecer um código de uso único de seis dígitos, além das credenciais padrão de nome de usuário e senha, antes que o acesso seja concedido às configurações da sua conta da AWS ou aos serviços e recursos da AWS Cloud.

Você obtém esse código de uso único de um dispositivo de autenticação que você mantém em sua posse física. Esse é o MFA porque mais de um fator de autenticação é verificado antes do acesso ser concedido: uma senha (algo que você sabe) e o código preciso do seu dispositivo de autenticação (algo que você possui).

Você pode ativar os dispositivos MFA para sua conta da AWS e para os usuários que você criou na sua conta da AWS com o AWS IAM. Além disso, você pode adicionar proteção MFA para acesso nas contas da AWS, pois quando você deseja permitir que um usuário criado em uma conta da AWS use uma função do IAM para acessar recursos em outra conta da AWS.

Você pode exigir que o usuário use o MFA antes de assumir a função como uma camada adicional de segurança.

O AWS MFA suporta o uso de tokens de hardware e dispositivos MFA virtuais. Os dispositivos virtuais MFA usam os mesmos protocolos que os dispositivos físicos MFA, mas podem ser executados em qualquer dispositivo de hardware móvel, incluindo um telefone inteligente.

Um dispositivo MFA virtual usa um aplicativo de software que gera códigos de autenticação de seis dígitos que são compatíveis com o padrão TOTP (Time-Based One-Time Password), conforme descrito na RFC 6238.

A maioria dos aplicativos MFA virtuais permite hospedar mais de um dispositivo MFA virtual, o que os torna mais convenientes que os dispositivos MFA de hardware. No entanto, você deve estar ciente de que, como um MFA virtual pode ser executado em um dispositivo menos seguro, como um telefone inteligente, um MFA virtual pode não fornecer o mesmo nível de segurança que um dispositivo MFA de hardware.

Você também pode aplicar a autenticação MFA para as APIs de serviço da AWS Cloud para fornecer uma camada extra de proteção contra ações poderosas ou privilegiadas, como encerrar instâncias do Amazon EC2 ou ler dados confidenciais armazenados no Amazon S3. Você faz isso adicionando um requisito de MFA a uma política de acesso do IAM.

 

Você pode anexar essas políticas de acesso a usuários, grupos do IAM ou recursos do IAM que suportam ACLs como buckets do Amazon S3, filas do Amazon Simple Queue Service (Amazon SQS) e tópicos do Amazon Simple Notification Service (Amazon SNS).

 

Chaves de Acesso

As chaves de acesso são criadas pelo AWS IAM e entregues como um par: o ID da chave de acesso (AKI) e a chave de acesso secreta (SAK). A AWS exige que todas as solicitações de API sejam assinadas pela SAK; ou seja, eles devem incluir uma assinatura digital que a AWS possa usar para verificar a identidade do solicitante.

Você calcula a assinatura digital usando uma função de hash criptográfico. Se você usar qualquer um dos SDKs da AWS para gerar solicitações, o cálculo da assinatura digital será feito para você.

O processo de assinatura não apenas ajuda a proteger a integridade da mensagem, impedindo a violação da solicitação enquanto ela está em trânsito, mas também ajuda a proteger contra possíveis ataques de reprodução.

Uma solicitação deve chegar à AWS dentro de 15 minutos do carimbo de data / hora na solicitação. Caso contrário, a AWS nega a solicitação.

A versão mais recente do processo de cálculo de assinatura digital no momento da redação deste documento é a versão 4 da assinatura, que calcula a assinatura usando o protocolo HMAC – Hashed Message Authentication Mode (HMAC) – Algoritmo de hash seguro (SHA) -256. A versão 4 fornece uma medida adicional de proteção em relação às versões anteriores, exigindo que você assine a mensagem usando uma chave derivada da sua SAK em vez de usar a própria SAK. Além disso, você obtém a chave de assinatura com base no escopo da credencial, o que facilita o isolamento criptográfico da chave de assinatura.

Como as chaves de acesso podem ser mal utilizadas se caírem em mãos erradas, a AWS recomenda que você as salve em um local seguro e não as incorpore ao seu código. Para clientes com grandes frotas de instâncias do Amazon EC2 com escala elástica, o uso de funções do IAM pode ser uma maneira mais segura e conveniente de gerenciar a distribuição de chaves de acesso.

As funções do IAM fornecem credenciais temporárias, que não apenas são carregadas automaticamente na instância de destino, mas também são rotacionadas automaticamente várias vezes ao dia.

O Amazon EC2 usa um perfil de instância como um contêiner para uma função do IAM.

Quando você cria uma função do IAM usando o AWS Management Console, o console cria um perfil de instância automaticamente e atribui o mesmo nome à função à qual corresponde. Se você usar a AWS CLI, API ou um AWS SDK para criar uma função, crie o perfil da função e da instância como ações separadas e poderá atribuir nomes diferentes a eles.

Para iniciar uma instância com uma função do IAM, especifique o nome do seu perfil de instância. Ao iniciar uma instância usando o console do Amazon EC2, você pode selecionar uma função a ser associada à instância; no entanto, a lista exibida é na verdade uma lista de nomes de perfis de instância.

 

Pares de chaves

O Amazon EC2 suporta chaves SSA RSA 2048 para obter o primeiro acesso a uma instância do Amazon EC2. Em uma instância do Linux, o acesso é concedido mostrando a posse da chave privada SSH. Em uma instância do Windows, o acesso é concedido mostrando a posse da chave privada SSH para descriptografar a senha do administrador.

A chave pública está incorporada à sua instância e você usa a chave privada para entrar com segurança sem uma senha. Depois de criar suas próprias AMIs, você pode escolher outros mecanismos para efetuar logon em suas novas instâncias com segurança.

Você pode ter um par de chaves gerado automaticamente para você ao iniciar a instância ou fazer upload de seu próprio. Salve a chave privada em um local seguro no seu sistema e registre o local onde a salvou.

No Amazon CloudFront, você usa pares de chaves para criar URLs assinados para conteúdo privado, como quando você deseja distribuir conteúdo restrito pelo qual alguém pagou. Você cria pares de chaves do Amazon CloudFront usando a página Credenciais de segurança. Os pares de chaves do Amazon CloudFront podem ser criados apenas pela conta raiz e não podem ser criados pelos usuários do IAM.

 

Certificados X.509

Os certificados X.509 são usados ​​para assinar solicitações baseadas em SOAP. Os certificados X.509 contêm uma chave pública associada a uma chave privada. Ao criar uma solicitação, você cria uma assinatura digital com sua chave privada e a inclui na solicitação, juntamente com seu certificado.

A AWS verifica se você é o remetente descriptografando a assinatura com a chave pública que está no seu certificado. A AWS também verifica se o certificado que você enviou corresponde ao certificado que você enviou para a AWS.

Para sua conta da AWS, você pode fazer com que a AWS crie um certificado X.509 e uma chave privada que você possa baixar ou fazer upload de seu próprio certificado usando a página Credenciais de segurança.

Para usuários do IAM, você deve criar o certificado X.509 (certificado de assinatura) usando software de terceiros. Ao contrário das credenciais da conta raiz, a AWS não pode criar um certificado X.509 para usuários do IAM.

Depois de criar o certificado, você o anexa a um usuário do IAM usando o IAM. Além das solicitações SOAP, os certificados X.509 são usados ​​como certificados de servidor SSL / Transport Layer Security (TLS) para clientes que desejam usar HTTPS para criptografar suas transmissões.

 

Para usá-los para HTTPS, você pode usar uma ferramenta de código aberto como o OpenSSL para criar uma chave privada exclusiva. Você precisará da chave privada para criar a Solicitação de Assinatura de Certificado (CSR) enviada a uma Autoridade de Certificação (CA) para obter o certificado do servidor.

Você usará a CLI da AWS para fazer upload do certificado, chave privada e cadeia de certificados no IAM.

Você também precisará de um certificado X.509 para criar uma AMI do Linux personalizada para instâncias do Amazon EC2. O certificado é necessário apenas para criar uma AMI suportada por instância (em oposição a uma AMI suportada pelo Amazon Elastic Block Store [Amazon EBS]). Você pode fazer com que a AWS crie um certificado X.509 e uma chave privada que você possa baixar ou fazer upload de seu próprio certificado usando a página Credenciais de segurança.

Comentários do Facebook

Conteúdos relacionados