Cloud IAM
Introdução
Este livro explicará como utilizar as funcionalidades do senhasegura Cloud.
Símbolos usados neste cookbook
Este livro usa os seguintes símbolos para destacar informações que devem ser levadas em consideração para o melhor uso de senhasegura :
Info - Informações úteis que podem tornar o uso da solução mais dinâmico.
Caution - Ações e itens que não podem ser ignorados.
commands: Dados que devem ser inseridos da mesma forma como descrito neste livro.- URLs : Caminhos para acessar páginas da web.
<KEYS>: Caminhos de teclado que serão usados para realizar ações.
O módulo
O módulo senhasegura Cloud permite a gestão de identidades e acessos a recursos e serviços dos provedores de Cloud.
Neste módulo, é possível gerenciar o Identity Access Management (IAM) e acesso às máquinas virtuais dos Cloud Service Providers (CSP).
O administrador pode gerir estes controles, definindo quem (identidade) tem que acessar (funções) a que recursos.
Grupos de acesso
Criar um grupo de acesso ajudará nas definições de permissão e fluxo de aprovações dos usuários.
Criar grupo de acesso
Para criar um grupo de acesso siga para o menu: Cloud ➔ Controle de acesso ➔ Grupos de acesso
Nas ações da página, clique na opção Novo grupo
No formulário inclua o nome do grupo e se ele estará ativo ou não
Na guia Configurações selecione as permissões:
Se os membros deste grupo poderão criar e editar outros usuários no Cloud IAM dos provedores. Selecione quais tipos de usuário podem ser criados e editados pelos membros do grupo.
Se poderão excluir outros usuários. Selecione quais tipos de usuário que podem ser excluídos pelos membros do grupo.
Se poderão criar e editar contas
Se poderão excluir contas
Se poderão criar credenciais
Se poderão excluir credenciais
Selecione um Template para criação de usuários, ou seja, caso esse grupo tenha permissão de criar usuários deverá criá-los seguindo o padrão estabelecido no template escolhido. Para saber mais sobre os templates, veja a sessão Templates de configuração neste manual.
Defina se este grupo necessitará de aprovação para realizar suas atividades. Para isso selecione ou não as caixa:
Requer justificativa: Para realizar suas atividades os membros deverão descrever o porque a querem realizar.
Requer aprovação: Necessita que a caixa anterior seja selecionada, e fará com que os membros realizem suas atividades após o envio de uma solicitação e aprovação, por outro usuário, desta.
Selecione quantas aprovações necessárias para que o usuário possa realizar sua atividade solicitada.
Selecione a quantidade de reprovações necessárias para cancelar a solicitação, ou seja, para que o usuário não tenha permissão para realizar a atividade.
Selecione se haverá aprovação em níveis, ou seja, após a aprovação de um membro inferior, um membro superior poderá aprovar ou não a solicitação.
Defina se será obrigatório especificar código de governança ao justificar.
E se sempre os gestores serão incluídos na lista de aprovadores do grupo.
Na guia Critério defina os critérios para exibição das informações do módulo para os membros do grupo de acesso.
infoVocê pode inserir um * (asterisco) caso queira que os membros do grupo tenham acesso sem limitação.
Na guia Usuários insira os membros do grupo de acesso.
Na guia Aprovadores insira os usuários que serão aprovadores das requisições dos membros do grupo de acesso.
Para finalizar clique em Salvar.
Contas
Uma conta é utilizada para estabelecer a comunicação entre a senhasegura e o Provedor de Serviços em Nuvem para que os usuários suas credenciais e máquinas virtuais possam ser gerenciadas.
Recomenda-se a utilização de um usuário com privilégios administrativos em vez do usuário root.
Cadastrar conta
Para cadastrar uma conta, siga o menu Cloud ➔ Configurações ➔ Contas.
Clique no botão de ações e selecione a opção Adicionar conta.
Na guia Configurações, preencha os seguintes campos
Preencha os campos descrição e tags, caso queira
Marque a caixa referente ao Provedor de Cloud a ser configurado e preencha os seguintes campos:
AWS:
Preencha o campo Access Key com o ID da chave de acesso da AWS
Preencha o campo Secret Access Key com a secret da chave de acesso da AWS
Preencha o campo Default Region com a região default da conta da AWS
Marque a caixa OpsWorks - Configuration management caso queira gerenciar as sessões e chaves SSH dos usuários do AWS OpsWorks
Google Cloud:
- Selecione o arquivo com a chave de acesso à conta da Google Cloud
Azure:
Preencha os campos de diretório (tenant) ID
Preencha o application client id e o client secret
Selecione um grupo de acesso
Para finalizar clique em Confirmar.
Criar chave de acesso da AWS
Para gerar uma chave de acesso da AWS para poder cadastrá-la no senhasegura Cloud, siga os passos abaixo:
Acesse sua conta AWS: https://console.aws.amazon.com/
Localize o serviço Identity and Access Management (IAM)
Na lateral esquerda, clique em Users
Clique no botão Add user
Preencha o campo User name e em Access type marque a opção Programmatic access e clique no botão Next: Permissions
Selecione a opção Attach existing policies directly e adicione a política AdministratorAccess
Clique no botão Next: Tags
Insira as tags (opcional) e clique no botão Next: Review
Por fim, clique no botão Create user
Copie os valores de Access key ID e Secret access key
Criar chave de acesso da Google Cloud
Para gerar uma chave de acesso da Google Cloud para poder cadastrá-la no senhasegura Cloud, acesse sua conta Google Cloud1
Criar uma Conta de serviço
Selecione um projeto existente ou crie um novo
No menu de navegação, selecione a opção IAM & Admin, Service Accounts
Clique no botão CREATE SERVICE ACCOUNT
Preencha os campos Service account name e clique no botão CREATE
Clique no botão DONE
Gerar Chave de acesso
No menu Service Accounts, clique sobre a conta de serviço que acabamos de criar
Clique no botão ADD KEY e selecione a opção Create new key
Selecione a opção JSON e clique no botão CREATE
Por fim, salve a chave em um lugar seguro
Habilitar APIs
No menu APIs & Services ➔ Library
Localize as APIs listadas abaixo e clique no botão ENABLE
Cloud Resource Manager API
Cloud Asset API
Identity and Access Management (IAM) API
Criar uma Role personalizada
Na seleção de projetos, selecione a Organização e clique no serviço Roles no menu lateral
Clique no botão CREATE ROLE e preencha os campos
Title com o nome da role que deseja criar
Clique no botão ADD PERMISSIONS e adicione as seguintes permissões:
iam.roles.list
iam.serviceAccountKeys.create
iam.serviceAccountKeys.delete
iam.serviceAccountKeys.get
iam.serviceAccountKeys.list
iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.organizations.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.setIamPolicy
Por fim, clique no botão CREATE
Adicionar conta de serviço na Organização
Clique no serviço IAM no menu lateral
Clique no botão ADD no topo da página
Insira no campo New members o endereço da conta de serviço criada há pouco
No campo Select a role, selecione a role criada anteriormente
Clique no botão SAVE
Criar chave de acesso do Azure
Para gerar uma chave de acesso da Azure para poder cadastrá-la no senhasegura Cloud, acesse sua conta Azure2
Criar uma Conta de serviço
Acesse sua conta em https://portal.azure.com/
Localize o serviço Active Directory do Azure
No Menu localizado na lateral esquerda, clique em Registro de Aplicativo
Clicar em novo registro
Preencher os campos Nome, Tipo de conta com suporte e URI de redirecionamento.
Clicar em registrar
A partir disso, com sua aplicação criada.
No Azure selecione:
No Menu localizado na lateral esquerda, clique em Permissões de API
Selecione o Microsoft Graph
As Permissões requisitadas serão:
Directory role:
Global administrator
Tenant root group role:
Owner
API permissions:
Delegated:
- Directory.AccessAsUser.All
Application:
Application.ReadWrite.All
AppRoleAssignment.ReadWrite.All
Directory.Read.All
Directory.ReadWrite.All
Organization.ReadWrite.All
RoleManagement.ReadWrite.Directory
User.ManageIdentities.All
User.ReadWrite.All
Por fim, clique em adicionar permissões.
Cloud IAM
Cloud Identity and Access Management (IAM) é uma ferramenta que ajuda os usuários a controlar o acesso a recursos e serviços em um Provedor de Serviços em Nuvem.
Aqui é possível provisionar usuários pessoais e contas de serviços nos provedores de Cloud de forma centralizada e controlada.
Templates de configuração
Templates podem ser utilizados para definir como os usuários senhasegura realizaram o provisionamento de usuários e contas de serviço nos provedores de Cloud sem infringir as regras da organização.
Criar template de configuração
Para isso vá até o menu: Cloud ➔ Cloud IAM ➔ Templates.
No relatório clique no botão de ação e escolha a opção Add Template
Insira o nome do template e selecione se ele estará ativo para o uso
No campo Mascara defina como o nome das contas de serviço deverão ser criados. Você pode inserir um prefixo e/ou sufixo e também, entre chaves, a quantidade de letras e números o nome das contas de serviço devem possuir, por exemplo:
senhasegura-aaa-000. Neste exemplo o prefixo é "senhasegura-", ou seja todas as contas de serviço criadas deverão começar desta forma. Dentro das chaves foi definido que deve conter três letras, um hífen e três números, a quantidade dos caracteres dentro das chaves é definida no template, porém no momento do provisionamento os usuários poderão escolher quais letras e números serão usados, sempre seguindo o limite do template. Neste exemplo o usuário poderá incluir qualquer formação de três letras e três números.Ao selecionar um departamento no campo Departamento você definirá que ao usar este template os usuários que poderão ser provisionados devem estar associados a este departamento selecionado.
infoEsse campo não é obrigatório, porém restringe a lista de usuários disponíveis para o processo de provisionamento de usuários pessoais. Então se não desejar que certos usuários deem provisionamento àqueles fora de um departamento específico é aconselhável preencher este campo.
Para finalizar clique em Confirmar.
Usuários
Os usuários são considerados os de acesso pessoal ao console das contas dos provedores de clouds.
O sincronismo dos usuários e contas de serviço não removerão permissões/roles adicionadas à eles diretamente na Cloud. Neste caso, serão sincronizadas as permissões trazendo as novas para o senhasegura. Se a permissão foi inativada/removida dentro do senhasegura, então ela será removida na cloud.
Criar usuário
Para criar um usuário, vá para o menu Cloud ➔ Cloud IAM ➔ Usuários.
Clique no botão de ações e selecione a opção Adicionar usuário.
No formulário selecione o usuário senhasegura que terá acesso às contas.
cautionCaso você esteja dentro de um grupo de acesso que tenha um template definido a lista de usuários pode estar exibindo apenas usuários do departamento selecionado no template.
Na aba Configurações, selecione em qual provedor deseja criar o usuário e preencha os demais campos:
Usuário responsável: indica qual usuário do senhasegura é responsável pelo usuário no provedor de cloud.
cautionEsta informação, também define qual usuário senhasegura poderá iniciar uma sessão em uma instância no módulo Virtual Machines utilizando este usuário da Cloud.
TTL (secundos): define o tempo de vida do usuário e suas credenciais. Este tempo é decrescente e começa ser válido a partir da sua criação e ao término o usuário será automaticamente excluído no provedor.
Descrição: Descrição detalhada do usuário
Tags: Tags usadas para facilitar a busca nos filtros e segregar o usuário nos grupos de acesso
Selecione a guia correspondente ao Provedor Cloud a ser configurado e preencha os seguintes campos:
AWS:
Contas: Selecione em quais contas este usuário deverá ser criado.
Políticas: Selecione as políticas (grupo de permissões) que este usuário deverá possuir na conta. A AWS limita em até 10 políticas por usuário.
Opsworks - Manage SSH Keys: Marque esta caixa caso queira que este usuário seja adicionado ao serviço AWS OpsWorks e o senhasegura gerencie a chave SSH dela.
Google Cloud:
Papéis de organização: Selecione quais roles (grupos de permissões), contas e organizações o usuário deverá ser adicionado.
Papéis de projeto: Selecione quais roles (grupos de permissões), contas e projetos o usuário deverá ser adicionado.
Azure:
Tipo de criação: Selecione qual tipo de usuário que deseja criar. As opções são: Criar usuário ou Convidar usuário.
Funções: Selecione quais funções (grupos de permissões) o usuário deverá ser adicionado.
Grupos: Selecione em quais grupos o usuário deverá ser adicionado.
Contas de serviço
Contas de serviço são consideradas os de acesso programático, ou seja, acesso de aplicações e máquinas às contas dos provedores de clouds.
Criar conta de serviço
Para criar uma conta de serviço, vá para o menu Cloud ➔ Cloud IAM ➔ Service accounts.
Clique no botão de ações e selecione a opção Add service account.
No formulário insira o nome da conta de serviço que terá acesso às contas dos provedores.
cautionCaso você seja membro de um grupo de acesso que tenha um template definido ao inserir o usuário ele deverá seguir a regra estabelecida no template.
Na aba Configurações, selecione em qual provedor deseja criar o usuário e preencha os demais campos:
Usuário responsável: indica qual usuário do senhasegura é responsável pela conta de serviço no provedor de cloud.
TTL (secundos): define o tempo de vida da conta de serviço e suas credenciais. Este tempo é decrescente e começa ser válido a partir da sua criação e ao término a conta de serviço será automaticamente excluída no provedor.
Description: Descrição detalhada da conta de serviço
Tags: Tags usadas para facilitar a busca nos filtros e segregar a conta de serviço nos grupos de acesso
Selecione a guia correspondente ao Provedor Cloud a ser configurado e preencha os seguintes campos:
AWS:
Contas: Selecione em quais contas esta conta de serviço deverá ser criada
Políticas: Selecione as políticas (grupo de permissões) que esta conta de serviço deverá possuir na conta. A AWS limita em até 10 políticas por conta de serviço
Opsworks - Manage SSH Keys: Marque esta caixa caso queira que a conta de serviço seja adicionada ao serviço AWS OpsWorks e o senhasegura gerencie a chave SSH dela.
Google Cloud:
Papéis de organização: Selecione quais roles (grupos de permissões), contas e organizações a conta de serviço deverá ser adicionada
Papéis de projeto: Selecione quais roles (grupos de permissões), contas e projetos a conta de serviço deverá ser adicionada.
Azure:
Tipos de contas suportadas: Especifique quem pode usar a conta de serviço.
URI de redirecionamento: Um URI de redirecionamento é a localização para a qual a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.
Permissões de API: Selecione quais permissões a conta de serviço deverá possuir.
Para finalizar, clique em Confirmar.
Visualizar credencial
Para visualizar uma credencial, siga o menu Cloud ➔ Cloud IAM ➔ Credenciais.
No relatório, vá na linha da credencial que deseja visualizar e, na coluna ação, clique na opção Details
Para ver o segredo da credencial clique na opção Show/Hidden password
cautionApenas as credenciais geradas pela senhasegura terão sua senha armazenada. As geradas diretamente no provedor só podem ser visualizadas uma única vez.
Perfis de provisionamento dinâmico
O senhasegura permite a criação de perfis com informações pré-definidas para provisionar contas de serviço e credenciais através de chamadas via API.
Neste caso as aplicações que solicitam criação de credenciais e contas de serviço irão obedecer as regras que foram determinadas no template, como a validade determinada (TTL).
Criar perfil de provisionamento dinâmico
Para adicionar um perfil, Acesse o relatório de perfis através do caminho: Cloud ➔ Cloud IAM ➔ Provisionamento dinâmico ➔ Profiles.
Nas ações da página, clique na opção Novo perfil;
Na página exibida, selecione para qual conta deseja criar o perfil;
No formulário preencha o campo Identifier que deve ser único. O sistema não irá aceitar um identificador com o um nome já existente;
Marque a caixa dos provedores que deseja criar o perfil. É possível selecionar mais de um provedor;
Para o provedor AWS, preencha os seguintes campos:
Selecione até 10 políticas. Este limite é definido pela própria AWS;
Defina o TTL (tempo de vida) padrão para excluir automaticamente as contas de serviço;
Para o provedor Google Cloud, preencha os seguintes campos:
Selecione em qual projeto a conta de serviço deverá ser criada;
Selecione quais papéis esta conta de serviço deverá receber a nível de Organização;
Selecione quais papéis esta conta de serviço deverá receber a nível de Projeto;
Defina o TTL (tempo de vida) padrão para excluir automaticamente as contas de serviço;
Por fim clique em Confirmar para finalizar;
Habilitar perfil de provisionamento dinâmico
Acesse DSM ➔ Aplicações ➔ Aplicações
No relatório procure pela aplicação que deseja habilitar o provisionamento e clique no botão de ação correspondente e escolha a opção Alterar.
Na aba Automatic provisioning, habilite o provisionamento automático de secrets
No campo Provisionamento dinâmico Cloud profile selecione o perfil que deverá ser utilizado. É possível selecionar mais de 1 perfil.
Para finalizar clique em Salvar
Virtual Machines
A integração com os provedores permite a gestão dos acessos à máquinas virtuais. Com o uso de serviços, como AWS OpsWorks da Amazon Web Services (AWS), é possível gerenciar as chaves SSH dos usuários e iniciar sessões gravadas às máquinas virtuais.
AWS OpsWorks
AWS OpsWorks é o serviço de gerenciamento de configurações da AWS que permite criar automações para configurar servidores e gerenciar as instâncias do serviço Amazon EC2.
Usuários
O relatório de usuários exibe todos os usuários gerenciados pelo Cloud IAM do senhasegura que estão ativos no serviço AWS OpsWorks .
Estes usuários possuem chaves SSH gerenciadas pelo senhasegura para poderem acessar as instâncias das Stacks que possuírem acesso.
Rotacionar chave SSH do usuário
É possível rotacionar as chaves SSH dos usuários de duas formas:
Automaticamente, através de uma política de senha, que pode ser definida no módulo de PAM do senhasegura . Consulte o manual do módulo de PAM para entender como criar uma política de senha.
Manualmente, através do relatório de usuários do AWS OpsWorks do módulo de Cloud. Para solicitar manualmente o rotacionamento da chave SSH do usuário no serviço AWS OpsWorks , siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Usuários
No relatório procure pelo usuário que deseja rotacionar a chave SSH e clique no botão de ação correspondente e escolha a opção Rotate SSH key.
cautionO tempo de sincronização da nova chave com as instâncias das Stacks depende do AWS OpsWorks e não do senhasegura e enquanto ela não é sincronizada com as instâncias o usuário poderá não conseguir acessá-las.
Visualizar chave SSH do usuário
Para visualizar a chave SSH atual do usuário no serviço AWS OpsWorks , siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Usuários.
No relatório procure pelo usuário que deseja visualizar a chave SSH e clique no botão de ação correspondente e escolha a opção View SSH key.
O usuário senhasegura , responsável pelo usuário AWS OpsWorks , será notificado quando outro usuário senhasegura utilizar ou visualizar a chave.
Visualizar Stacks do usuário
Para visualizar as Stacks que o usuário possui acesso e quais suas permissões nelas no serviço AWS OpsWorks , siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Usuários.
No relatório procure pelo usuário que deseja visualizar as Stacks e permissões e clique no botão de ação correspondente e escolha a opção Details.
Stacks
OpsWorks Stacks permite definir escalabilidade automática dos servidores de acordo com programações predefinidas ou em resposta a alterações nos níveis de tráfego. Além disso, ele usa ganchos de ciclo de vida para orquestrar alterações conforme a escala do ambiente aumenta.
Com elas é possível implantar e configurar instâncias do Amazon EC2 em cada layer ou conectar outros recursos como bancos de dados do Amazon RDS.
Para visualizar as Stacks, siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Stacks.
Instâncias
As instâncias são máquinas virtuais do serviço Amazon EC2 que fazem parte das Stacks do AWS OpsWorks .
Quando dentro de uma Stack, elas possuem a mesma configuração. Além disso, as chaves SSH dos usuários são replicadas em todas as instâncias da Stack que ele possuir acesso.
Para visualizar as instâncias, siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Instâncias.
Acesso remoto
O senhasegura que os usuários realizem sessões SSH nas instâncias das Stacks de forma monitorada.
Os acessos são realizados utilizando a chave SSH do usuário escolhido no relatório e este acesso é gravado em vídeo e pode possuir seus comandos auditados, dependendo da regra definida.
Os vídeos da sessão podem ser visualizados através do módulo PAM: PAM ➔ Controle de acesso ➔ Sessões remotas Consulte o Manual Proxy para mais detalhes.
Acessar instância
Para realizar um acesso à uma instância, siga o menu Cloud ➔ Virtual Machines ➔ AWS ➔ OpsWorks ➔ Acesso remoto.
No relatório procure pelo usuário e instância que deseja iniciar a sessão e clique no ícone Iniciar sessão
Serão exibidas apenas as instâncias de usuários que o usuário senhasegura for responsável ou de acordo com as regras do grupo de acesso que ele faz parte.
Dashboard
O módulo Cloud do senhasegura possui uma seção de dashboards para visualização de dados como: Contas por provedor, Chaves de acesso por provedor, Usuários por conta e outros.
Para acessar todos os gráficos e boards deste módulo siga através do menu: Cloud ➔ Dashboards ➔ Cloud IAM. Nesta seção você irá encontrar:
Provedores cadastrados no sistema
Contas cadastradas neste módulo
Chaves de acesso cadastradas neste módulo
Usuários em mais de uma cloud no sistema
Usuários que estão em mais de uma secret do módulo DSM
Chaves em mais de uma secret do módulo DSM
Percentual de contas por provedor
Percentual de usuários por provedor
Percentual de chaves de acesso por provedor
Percentual de usuários por conta
Percentual de chaves de acesso por conta
Número de usuários e chaves de acesso criados por dia