Como criar uma conta de Amazon Web Services para um usuário com permissões mínimas
Artigos técnicos ID:
KB82936
Última modificação: 13/10/2021
Ambiente
McAfee Cloud Workload Security (CWS) 5.x para Amazon Web Services (AWS)
Resumo
Para que o CWS se comunique com a nuvem do AWS, você deve registrar uma conta AWS com o ePolicy Orchestrator. Os usuários do AWS devem ter, pelo menos, permissões somente leitura configuradas para o serviço Web do Amazon elástico na nuvem (EC2).
OBSERVAÇÃO: O CWS oferece três níveis de permissões para o registro de uma conta de AWS. Você pode configurar sua conta de AWS de acordo com o seu requisito. Para criar uma conta de usuário AWS para um usuário com permissões mínimas, siga as etapas deste artigo.
Solução
Para criar uma conta de usuário do AWS:
- Criar um usuário:
- Entre no console de gerenciamento do AWS.
- Carregar o Gerenciamento de acesso e identidades (IAM) dashboard.
- Sob o Aos seção, clique em Criar usuário.
- Digite um nome de usuário.
- Selecione a opção Gerar uma chave de acesso para cada usuárioe, em seguida, clique em Criar.
- Clique Credenciais de downloade, em seguida, salve o arquivo. csv arquivo. Essas credenciais contêm a chave de acesso e a chave secreta.
- Feche a janela.
- Criar uma política:
- No painel de navegação, clique em Políticas, Criar nova política.
- Sob o Criar política seção, clique em Criar sua própria política.
- Digite um nome e uma descrição.
- Copie e cole uma ou mais das políticas a seguir, com base em seus requisitos:
EC2-política somente leitura (descoberta/visibilidade) -
Esse conjunto de regras permite que apenas uma permissão de usuário com privilégios limitados Descubra os ativos do EC2 e leia firewall regras.
{
"Versão": "2012-10-17",
"Instrução": [
{
"Efeito": "permitir",
"Ação": "EC2: Descreva *",
"Resource": "*"
}
]
}
Política de correção -Este conjunto de regras permite que um usuário remediar grupos de segurança.
{
"Versão": "2012-10-17",
"Instrução": [
{
"Sid": "",
"Efeito": "permitir",
"Ação": [
"EC2: AuthorizeSecurityGroupEgress",
"EC2: AuthorizeSecurityGroupIngress",
"EC2: createsecurity",
"EC2: DeleteSecurityGroup",
"EC2: ModifyInstanceAttribute",
"EC2: ModifyNetworkInterfaceAttribute",
"EC2: RevokeSecurityGroupEgress",
"EC2: RevokeSecurityGroupIngress",
"EC2: createtags"
],
"Resource": [
"*"
]
}
]
}
Política de descoberta de tráfego de rede -Este conjunto de regras permite que um usuário ative os logs de fluxo de tráfego de rede nos níveis do VPC. Com essa política, o CWS pode descobrir logs de tráfego de rede.
{
"Versão": "2012-10-17",
"Instrução": [
{
"Sid": "",
"Efeito": "permitir",
"Ação": [
"logs: CreateLogGroup",
"logs: DeleteLogGroup",
"logs: DescribeLogGroups",
"logs: DescribeLogStreams",
"logs: FilterLogEvents",
"logs: GetLogEvents",
"logs: CreateLogStream",
"logs: PutLogEvents",
"iam: GetUser",
"EC2: CreateFlowLogs",
"EC2: DeleteFlowLogs"
],
"Resource": [
"*"
]
}
]
}
Política de GuardDuty de Amazon -Esta política permite que o CWS descubra eventos de GuardDuty do Amazon (CWS 5.0.1 e versões posteriores).
{
"Version": "2012-10-17",
"Statement": [
"Sid": "DiscoverGuardGuty",
"Effect": "Allow",
"Action": [
"guardduty:GetThreatIntelSet",
"guardduty:GetIPSet",
"guardduty:ListIPSets",
"guardduty:GetFindings",
"guardduty:ListThreatIntelSets",
"guardduty:GetThreatIntelSet",
"guardduty:GetMasterAccount",
"guardduty:GetIPSet",
"guardduty:ListFindings",
"guardduty:GetMembers",
"guardduty:GetFindingsStatistics",
"guardduty:GetDetector",
"guardduty:ListMembers",
"guardduty:ListDetectors",
"guardduty:GetInvitationsCount",
"guardduty:ListInvitations"
Política de desligamento da carga de trabalho -Este conjunto de regras permite que você desligue a carga de trabalho selecionada como medida de remediação (CWS 5.0.1 e versões posteriores).
{
"Version": "2012-10-17",
"Statement": [
{ "Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:StopInstances",
"Resource": "*"
}
- Criar uma IAM função com registros de fluxo para sua conta de AWS:
OBSERVAÇÃO: Para acessar os registros de fluxo em suas redes virtuais, você deve criar uma função IAM com políticas de registro de fluxo. Em seguida, você poderá exibir os logs de fluxo de tráfego de suas redes virtuais no CWS.
- Entre no console de gerenciamento do AWS.
- Para carregar o dashboard IAM, selecione IAM.
- Digite o nome McafeeFlowLogger para sua função e, em seguida, clique em Próximas.
OBSERVAÇÃO: O nome da função deve ser McafeeFlowLoggere diferencia maiúsculas e minúsculas.
- Na página Selecionar tipo de função ao lado de Amazon EC2, clique em Selecionados.
- Na página anexar política, clique em Próxima etapa.
- Na página revisar, anote o ARN para sua função e, em seguida, clique em Criar função.
- Digite um nome para a sua função.
- Em permissões, expanda a seção políticas in-line e, em seguida, clique em Clique aqui.
- Selecione política personalizada e, em seguida, clique em Selecione.
- Copie essa política e cole-a na janela documento de política. Digite um nome para a política no campo nome da política e clique em Aplicar política.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
- Essa política ativa o registro de fluxo do VPC no nível do VPC, para a conta do AWS:
- Selecione a opção Editar relação de confiança.
- Exclua qualquer documento de política existente.
- Copie e cole esta política e clique em Atualizar política de confiança.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
- Atribuir a política a um usuário:
O Chave de acesso de segredo é gerado quando você cria o Chave de acesso. Use a tecla de acesso e a chave de acesso secreta ao registrar sua conta na nuvem usando o CWS no ePO.
- Sob o Aos , selecione o usuário e, em seguida, clique em Anexar política.
- Na página Resumo, clique em Adicionar permissões e selecione Anexar as políticas existentes diretamente.
- Selecione a política que você criou e, em seguida, anexe a política.
- Volte para a página Resumo e clique no botão Credenciais de segurança na.
- Clique Criar acesso essenciais.
OBSERVAÇÃO: Para obter mais informações sobre AWS políticas, permissões, funções e acesso cruzado à conta, consulte o Cloud Workload Security guia de instalação.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
