Zero Trust: Controle de acesso de acordo com o contexto

Controle de acesso em camadas usando várias políticas, aproveitando o contexto

O controle de acesso é recomendado para aplicativos críticos com várias camadas para garantir que não haja erros de configuração que deixem os recursos expostos, para limitar o acesso somente de onde esperamos que o acesso deva alcançar e somente aos destinos mínimos exigidos.

A AWS armazena informações na sessão que são úteis para uso nas condições do IAM, para que você possa conceder acesso nas circunstâncias certas.

Critérios como se a solicitação (API Call) vem de um intervalo de IPs ou se está sendo chamada de uma conta pertencente à sua organização, são condições que você pode anexar às políticas do IAM.

Attribute Based Access Controls (ABAC)

Para outras aplicações que você precisa gerenciar em escala, uma boa prática é usar Attribute Based Access Controls (ABAC). Se eles usam AWS IAM Identity Center (sucessor do AWS Single Sign-On) (serviço gratuito) pode tirar proveito de seu suporte a tags de sessão para mover atributos de seu diretório para a AWS e usar esses atributos para determinar o acesso a vários recursos.

O AWS IAM Identity Center (sucessor do AWS Single Sign-On) pode usar seu próprio repositório de usuários, permite que você se integre a diretórios como o Microsoft Active Directory ou provedores de identidade externos, como: Okta, Ping Identity, OneLogin e Azure AD.

AWS Blogs (Inglês)

Attribute-Based Access Control with AWS IAM Identity Center (sucessor do AWS Single Sign-On)

Webinar: Gerenciamento de acesso em 4D (espanhol)

Definição de preço

O serviço AWS IAM e AWS IAM Identity Center (sucessor do AWS Single Sign-On) são gratuitos e a configuração de políticas de recursos (como políticas de bucket) é gratuita.