Criando usuários, grupos e habilitando o MFA na AWS

Você pode criar um ou mais usuários de IAM em sua conta AWS. Você pode criar um usuário IAM quando alguém se juntar à sua equipe ou quando você criar um novo aplicativo que precisa fazer chamadas de API para a AWS.

Para configurar um grupo de usuários, você precisa criar o grupo. Em seguida, conceda ao grupo permissões com base no tipo de trabalho que você espera que os usuários no grupo façam. Por fim, adicione os usuários ao grupo.

Criar usuários e grupos

01 – Faça login no Console de Gerenciamento AWS.
02 – Na tela AWS Management Console pesquise por IAM.
03 – Na tela Identity and Access Management (IAM) em Access management clique em user groups.
04 – Na tela User groups clique em Create group.
05 – Na tela Create user group em User group name digite um nome para o grupo em Attach permissions policies pesquise por AmazonEC2FullAccess em seguida clique em adicionar, vamos adicionar a permissão AmazonEC2FullAccess para todos os usuários que faram parte do grupo G_Infra, em seguida clique em Create group.
06 – Como podemos observar o grupo G_Infra foi criado.
07 – Ainda na tela Identity and Access Management (IAM) em Access management clique em Users.
08 – Na tela Users clique em Add users.
09 – Na tela Add user em User name digite um nome para o usuário, podemos selecionar dois tipos de acesso para o usuário Programmatic access e AWS Management Console access, selecione AWS Management Console access, para a opção Console password* deixe selecionada a opção Autogenerated password, em Require password reset deixe selecionada a opção User must create a new password at next sign-in em seguida clique em Next: Permissions.
  • Programmatic Access: O usuário do IAM pode precisar fazer chamadas de API, usar o CLI AWS ou usar as ferramentas para Windows PowerShell. Nesse caso, crie uma chave de acesso (ID de acesso e uma chave de acesso secreta) para esse usuário.
  • AWS Management Console access: Se o usuário precisar acessar o Console de Gerenciamento AWS, crie uma senha para o usuário. Desativar o acesso do console para um usuário impede que ele entre no console de gerenciamento da AWS usando seu nome de usuário e senha. Ele não altera suas permissões ou impede que eles acessem o console usando uma função assumida.

Como uma prática recomendada, crie apenas as credenciais que o usuário precisa. Por exemplo, para um usuárioque requer acesso apenas através do Console de Gerenciamento AWS, não crie chaves de acesso.

10 – Na tela Set permissions para a opção Add user to group selecione o grupo G_Infra e clique em Next: Tags.
11 – Na tela Add tags adicione uma tag para ajudar na identificação e organização do recurso, em seguida clique em Next: Review.
12 – Na tela Review verifique todas as informações inseridas e clique em Create user.
13 – Na tela Add user como podemos observar o usuário foi criado, na opção Passsword clique em Show, copie a senha para enviar ao usuário, também podemos enviar um e-mail com as instruções de login para o usuário, clique em Close.

Habiliar MFA

Você pode usar um telefone ou outro dispositivo como um dispositivo de autenticação multifatorial virtual (MFA). Para isso, instale um aplicativo móvel compatível com RFC 6238, um algoritmo TOTP baseado em padrões (senha única baseada no tempo). Esses aplicativos geram um código de autenticação de seis dígitos. Como eles podem ser executados em dispositivos móveis não seguro, o MFA virtual pode não fornecer o mesmo nível de segurança que dispositivos U2F ou dispositivos MFA de hardware. Recomendamos que você use um dispositivo MFA virtual enquanto aguarda a aprovação da compra de hardware ou enquanto espera que seu hardware chegue.

A maioria dos aplicativos MFA virtuais suporta criar vários dispositivos virtuais, permitindo que você use o mesmo aplicativo para várias contas ou usuários AWS. No entanto, você pode habilitar apenas um dispositivo MFA por usuário.

Temos três opções para o Manage MFA device:

No link abaixo temos uma lista com os aplicativos compatíveis para utilizar o MFA

IAM – Multi-factor Authentication (amazon.com)

14 – Em Identity and Access Management (IAM) na tela Users selecione o usuário adm.jadson.
15 – Após selecionar o usuário adm.jadson clique em Security credentials.
16 – Na tela Security credentials em Assigned MFA device clique em Manage.
17 – Na tela Manage MFA device selecione Virtual MFA device e clique em Continue.
18 – Vamos utilizar o aplicativo Microsoft Authenticator, abra o aplicativo adicione uma nova conta e escaneie o QR code.
19 – Após adicionar a conta da AWS no aplicativo Microsoft Authenticator, ainda na tela Set up virtual MFA device digite o código de 6 dígitos que está mostrando em seu aplicativo nas opções MFA code 1 e MFA code 2, como temos a opção MFA code 1 e MFA code 2 adicione o código no MFA code 1 aguarde 30 segundos e adicione o novo código gerado no aplicativo Microsoft Authenticator na opção MFA code 2.
20 – Como podemos obsservar o MFA foi configurado para o usuário, clique em Close.

21 – Na Console de Gerenciamento AWS clique no nome do usuário e copie o Account ID, vamos precisar dessa informação para autenticar no Console de Gerenciamento AWS  com o usuário adm.jadson

Testando o acesso do usuário adm.jadson

22 – Faça login no Console de Gerenciamento AWS.
23 – Na tela de login do Console de Gerenciamento AWS selecione IAM user digite o Account ID e clique em Next.
24 – Na tela Sign in as IAM user o Account ID já está preenchido já que passamos na etapa anterior, em IAM user name digite o nome do usuário “adm.jadson” em seguida digite o Password e clique em Sign in.
25 – Na tela Multi-factor Authentication adicione o código na conta aws no aplicativo Microsoft authenticator em seguida clique em Submit.
26 – Será necessário alterar a senha padrão, crie uma nova senha e clique em Confirm password change.
27 – Como podemos observar autenticamos no AWS Manaement Console com o usuário adm.jadson.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

2 Replies to “Criando usuários, grupos e habilitando o MFA na AWS”

Deixe um comentário

O seu endereço de e-mail não será publicado.