Adicionar conta
Uma conta é utilizada para estabelecer a comunicação entre a senhasegura e o Provedor de Serviços em Nuvem para que os usuários suas credenciais e máquinas virtuais possam ser gerenciadas.
O módulo Cloud só irá pedir pelas permissões necessárias, evitando o excesso de privilégios.
Cadastrar conta
Para cadastrar uma conta, siga o menu Cloud IAM ➔ Configurações ➔ Contas.
Clique no botão de ações e selecione a opção Adicionar conta.
Na guia Configurações, preencha os seguintes campos
Preencha os campos descrição e tags, caso queira
Marque a caixa referente ao Provedor de Cloud a ser configurado e preencha os seguintes campos:
AWS:
Visualize o arquivo JSON para visualizar as permissões necessárias
Preencha o campo Access Key com o ID da chave de acesso da AWS
Preencha o campo Secret Access Key com a secret da chave de acesso da AWS
Preencha o campo Default Region com a região default da conta da AWS
Marque a caixa OpsWorks - Configuration management caso queira gerenciar as sessões e chaves SSH dos usuários do AWS OpsWorks
Google Cloud:
- Selecione o arquivo com a chave de acesso à conta da Google Cloud
Azure:
Preencha os campos de diretório (tenant) ID
Preencha o application client id e o client secret
Selecione um grupo de acesso
Para finalizar clique em Confirmar.
Criar chave de acesso da AWS
Para gerar uma chave de acesso da AWS para poder cadastrá-la no senhasegura Cloud, siga os passos abaixo:
Acesse sua conta AWS: https://console.aws.amazon.com/
Localize o serviço Identity and Access Management (IAM)
Na lateral esquerda, clique em Users
Clique no botão Add user
Preencha o campo User name e em Access type marque a opção Programmatic access e clique no botão Next: Permissions
Selecione a opção Attach existing policies directly e adicione a política AdministratorAccess
Clique no botão Next: Tags
Insira as tags (opcional) e clique no botão Next: Review
Por fim, clique no botão Create user
Copie os valores de Access key ID e Secret access key
Criar chave de acesso da Google Cloud
Para gerar uma chave de acesso da Google Cloud para poder cadastrá-la no senhasegura Cloud, acesse sua conta Google Cloud1
Criar uma Conta de serviço
Selecione um projeto existente ou crie um novo
No menu de navegação, selecione a opção IAM & Admin, Service Accounts
Clique no botão CREATE SERVICE ACCOUNT
Preencha os campos Service account name e clique no botão CREATE
Clique no botão DONE
Gerar Chave de acesso
No menu Service Accounts, clique sobre a conta de serviço que acabamos de criar
Clique no botão ADD KEY e selecione a opção Create new key
Selecione a opção JSON e clique no botão CREATE
Por fim, salve a chave em um lugar seguro
Habilitar APIs
No menu APIs & Services ➔ Library
Localize as APIs listadas abaixo e clique no botão ENABLE
Cloud Resource Manager API
Cloud Asset API
Identity and Access Management (IAM) API
Criar uma Role personalizada
Na seleção de projetos, selecione a Organização e clique no serviço Roles no menu lateral
Clique no botão CREATE ROLE e preencha os campos
Title com o nome da role que deseja criar
Clique no botão ADD PERMISSIONS e adicione as seguintes permissões:
Insira um arquivo json de credencial do Google Cloud que possua as seguintes permissões:
- iam.roles.list
- iam.serviceAccountKeys.create
- iam.serviceAccountKeys.delete
- iam.serviceAccountKeys.get
- iam.serviceAccountKeys.list
- iam.serviceAccounts.create
- iam.serviceAccounts.delete
- iam.serviceAccounts.get
- iam.serviceAccounts.list
- iam.serviceAccounts.update
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.setIamPolicy
Caso seu projeto possua uma organização as seguintes permissões também são necessárias:
- resourcemanager.organizations.get
- resourcemanager.organizations.getIamPolicy
- resourcemanager.organizations.setIamPolicy
- resourcemanager.projects.list
Por fim, clique no botão CREATE
Adicionar conta de serviço na Organização
Clique no serviço IAM no menu lateral
Clique no botão ADD no topo da página
Insira no campo New members o endereço da conta de serviço criada há pouco
No campo Select a role, selecione a role criada anteriormente
Clique no botão SAVE
Criar chave de acesso do Azure
Para gerar uma chave de acesso da Azure para poder cadastrá-la no senhasegura Cloud, acesse sua conta Azure2
Criar uma Conta de serviço
Acesse sua conta em https://portal.azure.com/
Localize o serviço Active Directory do Azure
No Menu localizado na lateral esquerda, clique em Registro de Aplicativo
Clicar em novo registro
Preencher os campos Nome, Tipo de conta com suporte e URI de redirecionamento.
Clicar em registrar
A partir disso, com sua aplicação criada.
No Azure selecione:
No Menu localizado na lateral esquerda, clique em Permissões de API
Selecione o Microsoft Graph
As Permissões requisitadas serão:
Directory role:
Global administrator
Tenant root group role:
Owner
API permissions:
Delegated:
- Directory.AccessAsUser.All
Application:
Application.ReadWrite.All
AppRoleAssignment.ReadWrite.All
Directory.Read.All
Directory.ReadWrite.All
Organization.ReadWrite.All
RoleManagement.ReadWrite.Directory
User.ManageIdentities.All
User.ReadWrite.All
Por fim, clique em adicionar permissões.
Relatório de auditoria do Cloud
Este relatório localizado em Cloud IAM ➔ Auditoria tem como principal objetivo proporcionar ao usuário administrador ou auditor do módulo Cloud a capacidade de acompanhar e auditar as operações principais realizadas, inclusive mudanças.
Operações do Cloud IAM
ID: É a identificação da operação
Operação: Referece a qual tipo de operação foi realizada no sistema
Entidade: A qual entidade a conta pertence
Nome da Entidade: O nome da entidade que a conta pertece
Conta: Qual conta esta associada a conta na Cloud
Provedor do Cloud: Qual tipo de Cloud esta sendo usada
Usuário: O nome do usuário que realizou a operação
Nome do usuário: O nome do usuário no sistema do senhasegura
IP: Endereço de rede usado para acessar o sistema do senhasegura
Data/Hora: Quando esta operação foi realizada
Ação: Visualizar detalhes da operação na Cloud