Cloud IAM

Introdução

Este livro explicará como utilizar as funcionalidades do senhasegura Cloud.

Símbolos usados neste cookbook

Este livro usa os seguintes símbolos para destacar informações que devem ser levadas em consideração para o melhor uso de senhasegura :

info

Info - Informações úteis que podem tornar o uso da solução mais dinâmico.

caution

Caution - Ações e itens que não podem ser ignorados.

• commands : Dados que devem ser inseridos da mesma forma como descrito neste livro.

• URLs : Caminhos para acessar páginas da web.

• <KEYS> : Caminhos de teclado que serão usados para realizar ações.

O módulo

O módulo senhasegura Cloud permite a gestão de identidades e acessos a recursos e serviços dos provedores de Cloud.

Neste módulo, é possível gerenciar o Identity Access Management (IAM) e acesso às máquinas virtuais dos Cloud Service Providers (CSP).

O administrador pode gerir estes controles, definindo quem (identidade) tem que acessar (funções) a que recursos.

Grupos de acesso

Criar um grupo de acesso ajudará nas definições de permissão e fluxo de aprovações dos usuários.

Criar grupo de acesso

Para criar um grupo de acesso siga para o menu: Cloud ➔ Controle de acesso ➔ Grupos de acesso

1. Nas ações da página, clique na opção Novo grupo

2. No formulário inclua o nome do grupo e se ele estará ativo ou não

3. Na guia Configurações selecione as permissões:

   • Se os membros deste grupo poderão criar e editar outros usuários no Cloud IAM dos provedores. Selecione quais tipos de usuário podem ser criados e editados pelos membros do grupo.

   • Se poderão excluir outros usuários. Selecione quais tipos de usuário que podem ser excluídos pelos membros do grupo.

   • Se poderão criar e editar contas

   • Se poderão excluir contas

   • Se poderão criar credenciais

   • Se poderão excluir credenciais

4. Selecione um Template para criação de usuários, ou seja, caso esse grupo tenha permissão de criar usuários deverá criá-los seguindo o padrão estabelecido no template escolhido. Para saber mais sobre os templates, veja a sessão Templates de configuração neste manual.

5. Defina se este grupo necessitará de aprovação para realizar suas atividades. Para isso selecione ou não as caixa:

   • Requer justificativa: Para realizar suas atividades os membros deverão descrever o porque a querem realizar.

   • Requer aprovação: Necessita que a caixa anterior seja selecionada, e fará com que os membros realizem suas atividades após o envio de uma solicitação e aprovação, por outro usuário, desta.

     • Selecione quantas aprovações necessárias para que o usuário possa realizar sua atividade solicitada.

     • Selecione a quantidade de reprovações necessárias para cancelar a solicitação, ou seja, para que o usuário não tenha permissão para realizar a atividade.

     • Selecione se haverá aprovação em níveis, ou seja, após a aprovação de um membro inferior, um membro superior poderá aprovar ou não a solicitação.

     • Defina se será obrigatório especificar código de governança ao justificar.

     • E se sempre os gestores serão incluídos na lista de aprovadores do grupo.

6. Na guia Critério defina os critérios para exibição das informações do módulo para os membros do grupo de acesso.

   info

   Você pode inserir um * (asterisco) caso queira que os membros do grupo tenham acesso sem limitação.

7. Na guia Usuários insira os membros do grupo de acesso.

8. Na guia Aprovadores insira os usuários que serão aprovadores das requisições dos membros do grupo de acesso.

9. Para finalizar clique em Salvar.

Contas

Uma conta é utilizada para estabelecer a comunicação entre a senhasegura e o Provedor de Serviços em Nuvem para que os usuários suas credenciais e máquinas virtuais possam ser gerenciadas.

info

Recomenda-se a utilização de um usuário com privilégios administrativos em vez do usuário root.

Cadastrar conta

Para cadastrar uma conta, siga o menu Cloud ➔ Configurações ➔ Contas.

1. Clique no botão de ações e selecione a opção Adicionar conta.

2. Na guia Configurações, preencha os seguintes campos

3. Preencha os campos descrição e tags, caso queira

4. Marque a caixa referente ao Provedor de Cloud a ser configurado e preencha os seguintes campos:

   1. AWS:

      1. Preencha o campo Access Key com o ID da chave de acesso da AWS

      2. Preencha o campo Secret Access Key com a secret da chave de acesso da AWS

      3. Preencha o campo Default Region com a região default da conta da AWS

      4. Marque a caixa OpsWorks - Configuration management caso queira gerenciar as sessões e chaves SSH dos usuários do AWS OpsWorks

   2. Google Cloud:

      1. Selecione o arquivo com a chave de acesso à conta da Google Cloud

5. Para finalizar clique em Confirmar.

Criar chave de acesso da AWS

Para gerar uma chave de acesso da AWS para poder cadastrá-la no senhasegura Cloud, siga os passos abaixo:

1. Acesse sua conta AWS: https://console.aws.amazon.com/

2. Localize o serviço Identity and Access Management (IAM)

3. Na lateral esquerda, clique em Users

4. Clique no botão Add user

5. Preencha o campo User name e em Access type marque a opção Programmatic access e clique no botão Next: Permissions

6. Selecione a opção Attach existing policies directly e adicione a política AdministratorAccess

7. Clique no botão Next: Tags

8. Insira as tags (opcional) e clique no botão Next: Review

9. Por fim, clique no botão Create user

10. Copie os valores de Access key ID e Secret access key

Criar chave de acesso da Google Cloud

Para gerar uma chave de acesso da Google Cloud para poder cadastrá-la no senhasegura Cloud, acesse sua conta Google Cloud¹

1. Criar uma Conta de serviço

   1. Selecione um projeto existente ou crie um novo

   2. No menu de navegação, selecione a opção IAM & Admin, Service Accounts

   3. Clique no botão CREATE SERVICE ACCOUNT

   4. Preencha os campos Service account name e clique no botão CREATE

   5. Clique no botão DONE

2. Gerar Chave de acesso

   1. No menu Service Accounts, clique sobre a conta de serviço que acabamos de criar

   2. Clique no botão ADD KEY e selecione a opção Create new key

   3. Selecione a opção JSON e clique no botão CREATE

   4. Por fim, salve a chave em um lugar seguro

3. Habilitar APIs

   1. No menu APIs & Services ➔ Library

   2. Localize as APIs listadas abaixo e clique no botão ENABLE

      • Cloud Resource Manager API

      • Cloud Asset API

      • Identity and Access Management (IAM) API

4. Criar uma Role personalizada

   1. Na seleção de projetos, selecione a Organização e clique no serviço Roles no menu lateral

   2. Clique no botão CREATE ROLE e preencha os campos

      1. Title com o nome da role que deseja criar

      2. Clique no botão ADD PERMISSIONS e adicione as seguintes permissões:

         • iam.roles.list

         • iam.serviceAccountKeys.create

         • iam.serviceAccountKeys.delete

         • iam.serviceAccountKeys.get

         • iam.serviceAccountKeys.list

         • iam.serviceAccounts.create

         • iam.serviceAccounts.delete

         • iam.serviceAccounts.get

         • iam.serviceAccounts.list

         • resourcemanager.organizations.get

         • resourcemanager.organizations.getIamPolicy

         • resourcemanager.organizations.setIamPolicy

         • resourcemanager.projects.get

         • resourcemanager.projects.getIamPolicy

         • resourcemanager.projects.list

         • resourcemanager.projects.setIamPolicy

      3. Por fim, clique no botão CREATE

5. Adicionar conta de serviço na Organização

   1. Clique no serviço IAM no menu lateral

   2. Clique no botão ADD no topo da página

   3. Insira no campo New members o endereço da conta de serviço criada há pouco

   4. No campo Select a role, selecione a role criada anteriormente

   5. Clique no botão SAVE

Cloud IAM

Cloud Identity and Access Management (IAM) é uma ferramenta que ajuda os usuários a controlar o acesso a recursos e serviços em um Provedor de Serviços em Nuvem.

Aqui é possível provisionar usuários pessoais e contas de serviços nos provedores de Cloud de forma centralizada e controlada.

Templates de configuração

Templates podem ser utilizados para definir como os usuários senhasegura realizaram o provisionamento de usuários e contas de serviço nos provedores de Cloud sem infringir as regras da organização.

Criar template de configuração

Para isso vá até o menu: Cloud ➔ Cloud IAM ➔ Templates.

1. No relatório clique no botão de ação e escolha a opção Add Template

2. Insira o nome do template e selecione se ele estará ativo para o uso

3. No campo Mascara defina como o nome das contas de serviço deverão ser criados. Você pode inserir um prefixo e/ou sufixo e também, entre chaves, a quantidade de letras e números o nome das contas de serviço devem possuir, por exemplo: senhasegura-aaa-000. Neste exemplo o prefixo é "senhasegura-", ou seja todas as contas de serviço criadas deverão começar desta forma. Dentro das chaves foi definido que deve conter três letras, um hífen e três números, a quantidade dos caracteres dentro das chaves é definida no template, porém no momento do provisionamento os usuários poderão escolher quais letras e números serão usados, sempre seguindo o limite do template. Neste exemplo o usuário poderá incluir qualquer formação de três letras e três números.

4. Ao selecionar um departamento no campo Departamento você definirá que ao usar este template os usuários que poderão ser provisionados devem estar associados a este departamento selecionado.

   info

   Esse campo não é obrigatório, porém restringe a lista de usuários disponíveis para o processo de provisionamento de usuários pessoais. Então se não desejar que certos usuários deem provisionamento àqueles fora de um departamento específico é aconselhável preencher este campo.

5. Para finalizar clique em Confirmar.

Usuários

Os usuários são considerados os de acesso pessoal ao console das contas dos provedores de clouds.

Criar usuário

Para criar um usuário, vá para o menu Cloud ➔ Cloud IAM ➔ Usuários.

1. Clique no botão de ações e selecione a opção Adicionar usuário.

2. No formulário selecione o usuário senhasegura que terá acesso às contas.

   caution

   Caso você esteja dentro de um grupo de acesso que tenha um template definido a lista de usuários pode estar exibindo apenas usuários do departamento selecionado no template.

3. Na aba Configurações, selecione em qual provedor deseja criar o usuário e preencha os demais campos:

   • Usuário responsável: indica qual usuário do senhasegura é responsável pelo usuário no provedor de cloud.

     caution

     Esta informação, também define qual usuário senhasegura poderá iniciar uma sessão em uma instância no módulo Virtual Machines utilizando este usuário da Cloud.

   • TTL (secundos): define o tempo de vida do usuário e suas credenciais. Este tempo é decrescente e começa ser válido a partir da sua criação e ao término o usuário será automaticamente excluído no provedor.

   • Descrição: Descrição detalhada do usuário

   • Tags: Tags usadas para facilitar a busca nos filtros e segregar o usuário nos grupos de acesso

4. Selecione a guia correspondente ao Provedor Cloud a ser configurado e preencha os seguintes campos:

   • AWS:

     • Contas: Selecione em quais contas este usuário deverá ser criado

     • Políticas: Selecione as políticas (grupo de permissões) que este usuário deverá possuir na conta. A AWS limita em até 10 políticas por usuários

     • Opsworks - Manage SSH Keys: Marque esta caixa caso queira que o usuário seja adicionado ao serviço AWS OpsWorks da AWS e o senhasegura gerencie a chave SSH dele

   • Google Cloud:

     • Organization roles: Selecione quais roles (grupos de permissões), contas e organizações o usuário deverá ser adicionado

     • Project roles: Selecione quais roles (grupos de permissões), contas e projetos o usuário deverá ser adicionado

5. Para finalizar, clique em Confirmar

Contas de serviço

Contas de serviço são consideradas os de acesso programático, ou seja, acesso de aplicações e máquinas às contas dos provedores de clouds.

Criar conta de serviço

Para criar uma conta de serviço, vá para o menu Cloud ➔ Cloud IAM ➔ Service accounts.

1. Clique no botão de ações e selecione a opção Add service account.

2. No formulário insira o nome da conta de serviço que terá acesso às contas dos provedores.

   caution

   Caso você seja membro de um grupo de acesso que tenha um template definido ao inserir o usuário ele deverá seguir a regra estabelecida no template.

3. Na aba Configurações, selecione em qual provedor deseja criar o usuário e preencha os demais campos:

   • Usuário responsável: indica qual usuário do senhasegura é responsável pela conta de serviço no provedor de cloud.

   • TTL (secundos): define o tempo de vida da conta de serviço e suas credenciais. Este tempo é decrescente e começa ser válido a partir da sua criação e ao término a conta de serviço será automaticamente excluída no provedor.

   • Description: Descrição detalhada da conta de serviço

   • Tags: Tags usadas para facilitar a busca nos filtros e segregar a conta de serviço nos grupos de acesso

4. Selecione a guia correspondente ao Provedor Cloud a ser configurado e preencha os seguintes campos:

   • AWS:

     • Contas: Selecione em quais contas esta conta de serviço deverá ser criada

     • Políticas: Selecione as políticas (grupo de permissões) que esta conta de serviço deverá possuir na conta. A AWS limita em até 10 políticas por conta de serviço

     • Opsworks - Manage SSH Keys: Marque esta caixa caso queira que a conta de serviço seja adicionada ao serviço AWS OpsWorks e o senhasegura gerencie a chave SSH dela

   • Google Cloud:

     • Organization roles: Selecione quais roles (grupos de permissões), contas e organizações a conta de serviço deverá ser adicionada

     • Project roles: Selecione quais roles (grupos de permissões), contas e projetos a conta de serviço deverá ser adicionada

5. Para finalizar, clique em Confirmar

Credenciais

As credenciais são as chaves de acesso que dão acesso aos serviços da conta no provedor de Cloud.

Criar credencial

Para criar uma credencial, vá para o menu Cloud ➔ Cloud IAM ➔ Credenciais.

1. Clique no botão de ações e selecione a opção Adicionar credencial.

2. No formulário preencha os seguintes campos:

   • Provider: Selecione o provedor onde a credencial deverá ser criada

   • Account: Selecione a conta

   • User/Service account: Selecione o usuário ou a conta de serviço para qual a credencial será criada

   • TTL (secundos): define o tempo de vida da credencial. Este tempo é decrescente e começa ser válido a partir da sua criação e ao término a credencial será automaticamente excluída no provedor.

   • Environment: Ambiente em qual a credencial será gerada

   • System: Sistema em qual a credencial será gerada

   • Descrição: Descrição detalhada da credencial

   • Tags: Tags usadas para facilitar a busca nos filtros e segregar a credencial nos grupos de acesso

3. Para finalizar, clique em Confirmar

Visualizar credencial

Para visualizar uma credencial, siga o menu Cloud ➔ Cloud IAM ➔ Credenciais.

1. No relatório, vá na linha da credencial que deseja visualizar e, na coluna ação, clique na opção Details

2. Para ver o segredo da credencial clique na opção Show/Hidden password

   caution

   Apenas as credenciais geradas pela senhasegura terão sua senha armazenada. As geradas diretamente no provedor só podem ser visualizadas uma única vez.

Perfis de provisionamento dinâmico

O senhasegura permite a criação de perfis com informações pré-definidas para provisionar contas de serviço e credenciais através de chamadas via API.

Neste caso as aplicações que solicitam criação de credenciais e contas de serviço irão obedecer as regras que foram determinadas no template, como a validade determinada (TTL).

Criar perfil de provisionamento dinâmico

Para adicionar um perfil, Acesse o relatório de perfis através do caminho: Cloud ➔ Cloud IAM ➔ Provisionamento dinâmico ➔ Profiles.

1. Nas ações da página, clique na opção Novo perfil;

2. Na página exibida, selecione para qual conta deseja criar o perfil;

3. No formulário preencha o campo Identifier que deve ser único. O sistema não irá aceitar um identificador com o um nome já existente;

4. Marque a caixa dos provedores que deseja criar o perfil. É possível selecionar mais de um provedor;

5. Para o provedor AWS, preencha os seguintes campos:

6. Selecione até 10 políticas. Este limite é definido pela própria AWS;

7. Defina o TTL (tempo de vida) padrão para excluir automaticamente as contas de serviço;

8. Para o provedor Google Cloud, preencha os seguintes campos:

9. Selecione em qual projeto a conta de serviço deverá ser criada;

10. Selecione quais papéis esta conta de serviço deverá receber a nível de Organização;

11. Selecione quais papéis esta conta de serviço deverá receber a nível de Projeto;

12. Defina o TTL (tempo de vida) padrão para excluir automaticamente as contas de serviço;

13. Por fim clique em Confirmar para finalizar;

Habilitar perfil de provisionamento dinâmico

1. Acesse DSM ➔ Aplicações ➔ Aplicações

2. No relatório procure pela aplicação que deseja habilitar o provisionamento e clique no botão de ação correspondente e escolha a opção Alterar.

3. Na aba Automatic provisioning, habilite o provisionamento automático de secrets

4. No campo Provisionamento dinâmico Cloud profile selecione o perfil que deverá ser utilizado. É possível selecionar mais de 1 perfil.

5. Para finalizar clique em Salvar

Virtual Machines

A integração com os provedores permite a gestão dos acessos à máquinas virtuais. Com o uso de serviços, como AWS OpsWorks da Amazon Web Services (AWS), é possível gerenciar as chaves SSH dos usuários e iniciar sessões gravadas às máquinas virtuais.

AWS OpsWorks

AWS OpsWorks é o serviço de gerenciamento de configurações da AWS que permite criar automações para configurar servidores e gerenciar as instâncias do serviço Amazon EC2.

Usuários

O relatório de usuários exibe todos os usuários gerenciados pelo Cloud IAM do senhasegura que estão ativos no serviço AWS OpsWorks .

Estes usuários possuem chaves SSH gerenciadas pelo senhasegura para poderem acessar as instâncias das Stacks que possuírem acesso.

Rotacionar chave SSH do usuário

É possível rotacionar as chaves SSH dos usuários de duas formas:

1. Automaticamente, através de uma política de senha, que pode ser definida no módulo de PAM do senhasegura . Consulte o manual do módulo de PAM para entender como criar uma política de senha.

2. Manualmente, através do relatório de usuários do AWS OpsWorks do módulo de Cloud. Para solicitar manualmente o rotacionamento da chave SSH do usuário no serviço AWS OpsWorks , siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Usuários

3. No relatório procure pelo usuário que deseja rotacionar a chave SSH e clique no botão de ação correspondente e escolha a opção Rotate SSH key.

   caution

   O tempo de sincronização da nova chave com as instâncias das Stacks depende do AWS OpsWorks e não do senhasegura e enquanto ela não é sincronizada com as instâncias o usuário poderá não conseguir acessá-las.

Visualizar chave SSH do usuário

Para visualizar a chave SSH atual do usuário no serviço AWS OpsWorks , siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Usuários.

No relatório procure pelo usuário que deseja visualizar a chave SSH e clique no botão de ação correspondente e escolha a opção View SSH key.

info

O usuário senhasegura , responsável pelo usuário AWS OpsWorks , será notificado quando outro usuário senhasegura utilizar ou visualizar a chave.

Visualizar Stacks do usuário

Para visualizar as Stacks que o usuário possui acesso e quais suas permissões nelas no serviço AWS OpsWorks , siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Usuários.

No relatório procure pelo usuário que deseja visualizar as Stacks e permissões e clique no botão de ação correspondente e escolha a opção Details.

Stacks

OpsWorks Stacks permite definir escalabilidade automática dos servidores de acordo com programações predefinidas ou em resposta a alterações nos níveis de tráfego. Além disso, ele usa ganchos de ciclo de vida para orquestrar alterações conforme a escala do ambiente aumenta.

Com elas é possível implantar e configurar instâncias do Amazon EC2 em cada layer ou conectar outros recursos como bancos de dados do Amazon RDS.

Para visualizar as Stacks, siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Stacks.

Instâncias

As instâncias são máquinas virtuais do serviço Amazon EC2 que fazem parte das Stacks do AWS OpsWorks .

Quando dentro de uma Stack, elas possuem a mesma configuração. Além disso, as chaves SSH dos usuários são replicadas em todas as instâncias da Stack que ele possuir acesso.

Para visualizar as instâncias, siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Instâncias.

Acesso remoto

O senhasegura que os usuários realizem sessões SSH nas instâncias das Stacks de forma monitorada.

Os acessos são realizados utilizando a chave SSH do usuário escolhido no relatório e este acesso é gravado em vídeo e pode possuir seus comandos auditados, dependendo da regra definida.

info

Os vídeos da sessão podem ser visualizados através do módulo PAM: PAM ➔ Controle de acesso ➔ Sessões remotas Consulte o Manual Proxy para mais detalhes.

Acessar instância

Para realizar um acesso à uma instância, siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Acesso remoto.

No relatório procure pelo usuário e instância que deseja iniciar a sessão e clique no ícone Iniciar sessão

caution

Serão exibidas apenas as instâncias de usuários que o usuário senhasegura for responsável ou de acordo com as regras do grupo de acesso que ele faz parte.

Dashboard

O módulo Cloud do senhasegura possui uma seção de dashboards para visualização de dados como: Contas por provedor, Chaves de acesso por provedor, Usuários por conta e outros.

Para acessar todos os gráficos e boards deste módulo siga através do menu: Cloud ➔ Dashboards ➔ Cloud IAM. Nesta seção você irá encontrar:

• Provedores cadastrados no sistema

• Contas cadastradas neste módulo

• Chaves de acesso cadastradas neste módulo

• Usuários em mais de uma cloud no sistema

• Usuários que estão em mais de uma secret do módulo DSM

• Chaves em mais de uma secret do módulo DSM

• Percentual de contas por provedor

• Percentual de usuários por provedor

• Percentual de chaves de acesso por provedor

• Percentual de usuários por conta

• Percentual de chaves de acesso por conta

• Número de usuários e chaves de acesso criados por dia

---

1. https://console.cloud.google.com/

   ↩