AWS Identity and Access Management (IAM)

Versão de integração: 5.0

Exemplos de utilização – com o Amazon Simple Storage Service (Amazon S3)

O João criou um contentor do Amazon S3 para a empresa denominado aws-s3-bucket.

  1. Criar utilizadores(o programador tem de poder criar os respetivos dados no contentor da empresa)
    1. Crie grupos (programadores como grupo)
  2. Criar políticas (o João tem de atribuir autorizações aos utilizadores/grupo)
  3. Anexar políticas (o João anexa uma política ao grupo que permite aos programadores ler, escrever e listar objetos no AWS S3)
  4. Adicionar/remover utilizadores do grupo (um dos programadores torna-se gestor e o acesso deve ser alterado)

Configure a integração do AWS Identity and Access Management (IAM) no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID da chave de acesso da AWS String N/A Sim ID da chave de acesso da AWS a usar na integração.
Chave secreta da AWS Palavra-passe N/A Sim Chave secreta da AWS a usar na integração.

Ações

Tchim-tchim

Descrição

Teste a conetividade ao AWS IAM com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido: imprima "Ligação estabelecida com êxito ao servidor AWS IAM com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se não for bem-sucedido: imprima "Failed to connect to the AWS IAM server! O erro é {0}".format(exception.stacktrace)

 Geral

Crie um utilizador

Descrição

Crie um novo utilizador do IAM para a sua conta da AWS. Pode adicionar vários utilizadores em simultâneo com valores separados por vírgulas. Tenha em atenção que não são aplicadas políticas nesta fase.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome de utilizador String N/A Sim Nome do utilizador a criar. Valores separados por vírgulas. Nota: o nome de utilizador não pode incluir espaços e tem de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-. Os nomes têm de ser exclusivos numa conta.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Resultado JSON
[{
   "Arn":"arn:aws:iam::582302349248:user/ziv",
   "CreateDate":"2020-12-03T12:12:20",
   "Path":"/",
   "UserId":"AIDAYPE7MW7AFMHK4WCHS",
   "UserName":"ziv"
}]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • se for bem-sucedido (poucos nomes de utilizador eram válidos): imprima "Os seguintes utilizadores foram adicionados com êxito ao IAM: <User names>"
  • If error - users already exists: Print "Could not add the following users to IAM: <Usernames>. Names must be unique within an account.
  • Se ocorrer um erro (alguns nomes de utilizador eram inválidos): imprima "Não foi possível adicionar os seguintes utilizadores ao IAM: <Usernames>. Os nomes de utilizador só podem conter carateres alfanuméricos e/ou o seguinte: +=,.@-.
  • Se ocorrer um erro (aumentar a limitação). Máximo de 5000 utilizadores por conta): imprima "Não foi possível adicionar os seguintes utilizadores ao IAM: <Usernames>. Atingiu o limite de utilizadores na sua conta da AWS.

Nota: se nada acontecer: todos os utilizadores são inválidos/existem/atingiram o limite → a ação deve falhar

A ação deve falhar e parar a execução de um guia interativo:

  • Se não for bem-sucedido (todos os nomes de utilizador eram inválidos, credenciais incorretas, sem ligação, outro erro): imprima "Erro ao executar a ação "Criar um utilizador". Motivo: {exception.stacktrace}

Nota: se todos os nomes de utilizador forem inválidos, imprima " "Erro ao executar a ação "Criar um utilizador". Motivo: {invalid usernames}: os nomes de utilizador só podem conter carateres alfanuméricos e/ou o seguinte: +=,.@-. {existing usernames}: os nomes têm de ser únicos numa conta.

 Geral

Adicione um utilizador a um grupo

Descrição

Adiciona o utilizador especificado ao grupo do IAM especificado. Use grupos para aplicar as mesmas políticas de autorizações a vários utilizadores em simultâneo.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do grupo String N/A Sim O nome do grupo a atualizar. Nota: os nomes dos grupos não podem incluir espaços e têm de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-.
Nome de utilizador String N/A Sim O nome do utilizador a adicionar. Nota: os nomes de utilizador não podem incluir espaços e têm de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-. Valores separados por vírgulas.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • Se for bem-sucedido: imprima "Successfully added the user <User name> to the IAM group: <Group name>" (O utilizador <User name> foi adicionado com êxito ao grupo do IAM: <Group name>)
  • Se ocorrer um erro do tipo "O grupo não existe" ou "O utilizador não existe":
    O grupo não existe: imprima "Não foi possível adicionar <UserName> a <Group name>. Não foi possível encontrar o grupo <group name>.
     O utilizador não existe/ambos: imprima "Não foi possível adicionar <UserName> a <Group name>. Não foi possível encontrar o utilizador <user name>.
  • Se ocorrer um erro
    Limitação de utilizadores: um utilizador do IAM pode ser membro de 10 grupos
     Limitação de grupos: um grupo pode ter 5000 utilizadores
    Imprima "Não foi possível adicionar <UserName> a <Group name> porque tentou criar recursos além dos limites atuais da conta da AWS".

A ação deve falhar e parar a execução de um guia interativo:

  • Se não for bem-sucedido (credenciais incorretas, sem ligação, outro erro do SDK): imprima "Error executing action 'Add a User to a Group. Motivo: {exception.stacktrace}
 Geral

Remova um utilizador de um grupo

Descrição

Adiciona o utilizador especificado ao grupo do IAM especificado. Use grupos para aplicar as mesmas políticas de autorizações a vários utilizadores em simultâneo.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do grupo String N/A Sim O nome do grupo a atualizar. Nota: os nomes dos grupos não podem incluir espaços e têm de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-.
Nome de utilizador String N/A Sim O nome do utilizador a remover. Nota: os nomes de utilizador não podem incluir espaços e têm de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-. Valores separados por vírgulas.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • Se for bem-sucedido: imprimir "<User name> foi removido do grupo: <Group name>"
  • Se ocorrer um erro: o grupo não existe ou/e o utilizador não existe:
    o grupo não existe: imprima "Não foi possível remover <UserName> de <Group name>. Não é possível encontrar o grupo <group name>.
     o utilizador não existe/ambos: imprima "Não foi possível remover <UserName> de <Group name>. Não é possível encontrar o utilizador <user name>.
  • Se ocorrer um erro
    Limitação de utilizadores: o utilizador do IAM pode ser membro de 10 grupos
     Limitação de grupos: um grupo pode ter 5000 utilizadores
    Imprima "Não foi possível remover <UserName> de <Group name> porque tentou criar recursos além dos limites atuais da conta da AWS".

A ação deve falhar e parar a execução de um guia interativo:

  • Se não for bem-sucedido (credenciais incorretas, sem ligação, outro erro do SDK): imprima "Error executing action 'Remove a User from a Group. Motivo: {exception.stacktrace}
 Geral

Listar utilizadores

Descrição

Obtenha uma lista de todos os utilizadores no IAM.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Número máximo de utilizadores a devolver Número inteiro 50 Não Especifique quantos utilizadores devolver. O máximo é de 1000 utilizadores. A predefinição é 50.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Resultado JSON
[{
   "Arn":"arn:aws:iam::582302349248:user/ziv",
   "CreateDate":"2020-12-03T12:12:20",
   "Path":"/",
   "UserId":"AIDAYPE7MW7AFMHK4WCHS",
   "UserName":"ziv"
}]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido: imprima "Successfully listed available users in AWS IAM" (Listou com êxito os utilizadores disponíveis no AWS IAM)

Se não estiverem disponíveis dados: imprima "Não foram encontrados utilizadores no AWS IAM"


A ação deve falhar e parar a execução de um guia interativo:

if not successful (wrong credentials, no connection to server, other server error, if max>10000): print "Error executing action 'List Users'. Motivo: {exception.stacktrace}

 Geral
Tabela CSV

Title: Utilizadores do IAM

Colunas:

Nome de utilizador

ID do utilizador

ARN

Data de criação

 Geral

Listar grupos

Descrição

Obtenha uma lista de todos os grupos na IAM.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Número máximo de grupos a devolver Número inteiro 50 Não Especifique quantos grupos devolver. O máximo é de 1000 grupos. A predefinição é 50.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Resultado JSON
[{
   "Arn":"arn:aws:iam::582302349248:group/ZivGroup",
   "CreateDate":"2020-12-05 16:18:36+00:00",
   "Path":"/",
   "GroupId":"AGPAYPE7MW7AMKCWMJPMX",
   "GroupName":"ZivGroup"
}]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: imprima "Successfully listed available groups in AWS IAM" (Grupos disponíveis listados com êxito no AWS IAM)

Se não estiverem disponíveis dados: imprima "Não foram encontrados grupos no AWS IAM"


A ação deve falhar e parar a execução de um guia interativo:

Se não for bem-sucedido (credenciais incorretas, sem ligação ao servidor, outro erro do servidor, se "Max Groups"> 1000): imprima "Erro ao executar a ação "List Groups". Motivo: {exception.stacktrace}

 Geral
Tabela CSV

Title: Grupos da IAM

Colunas:

Nome do grupo

ID do grupo

ARN

Data de criação

 Geral

Crie uma política

Descrição

Crie uma política gerida pelo cliente de IAM para a sua conta da AWS. Esta ação cria uma versão da política com um identificador de versão v1 e define v1 como a versão predefinida da política.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da política String N/A Sim Nome da política a criar. O nome da política não pode incluir espaços e tem de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-. Os nomes das políticas têm de ser únicos numa conta.
Documento de política String N/A Sim O documento de política JSON que quer usar como conteúdo para a nova política.
Descrição String N/A Não Descrição da política.Normalmente, é usada para armazenar informações sobre as autorizações definidas na política. Por exemplo, "Concede acesso a tabelas DynamoDB de produção". A descrição da política é imutável. Depois de atribuir um valor, não é possível alterá-lo.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Resultado JSON
{
    "PolicyName": "S3-read-only-bucket",
    "PolicyId": "ANPAYPE7MW7AFKUDK3HD7",
    "Arn": "arn:aws:iam::582302349248:policy/S3-read-only-bucket",
    "Path": "/",
    "DefaultVersionId": "v1",
    "AttachmentCount": 0,
    "PermissionsBoundaryUsageCount": 0,
    "IsAttachable": true,
    "CreateDate": "2020-12-6T17:16:45",
    "UpdateDate": "2020-12-6T17:16:45"
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • Se for bem-sucedido: imprima "A política <Nome da política> foi criada com êxito"

A ação deve falhar e parar a execução de um manual de procedimentos:

  • Se ocorrer um erro – A política já existe: imprima "Não foi possível criar a política <policy name>. Os nomes das políticas têm de ser exclusivos numa conta.
  • If error - policy name was invalid: Print "Could not create <policy name> policy. Os nomes das políticas só podem conter carateres alfanuméricos e/ou o seguinte: +=,.@_-.
  • If error - Policy doc was malformed : Print "Could not create <policy name> policy. O documento de política estava formatado incorretamente.Motivo: {exception.stacktrace}

if not successful (LimitExceededException, wrong creds, no connection, other error): print "Error executing action 'Create a Policy'. Motivo: {exception.stacktrace}

 Geral

Crie um grupo

Descrição

Crie um novo grupo IAM para a sua conta da AWS. Para configurar um grupo, tem de o criar. Em seguida, conceda autorizações ao grupo com base no tipo de trabalho que espera que os utilizadores no grupo façam. Por último, adicione utilizadores ao grupo.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do grupo String N/A Sim Nome do grupo a criar. Valores separados por vírgulas. Nota: os nomes dos grupos não podem incluir espaços e têm de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-. Os nomes têm de ser exclusivos numa conta.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Resultado JSON
[{
   "Arn":"arn:aws:iam::582302349248:group/ZivGroup",
   "CreateDate":"2020-12-05 16:18:36+00:00",
   "Path":"/",
   "GroupId":"'AGPAYPE7MW7AMKCWMJPMX",
   "GroupName":"ZivGroup"
}]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • if successful (few/all group names were valid): print "Successfully added the following groups to IAM: <Group names>"
  • Se ocorrer um erro: o grupo já existe: imprima "Não foi possível adicionar os seguintes grupos ao IAM: <nomes dos grupos>. Os nomes têm de ser únicos numa conta.
  • Se ocorrer um erro (alguns nomes de grupos eram inválidos): imprima "Não foi possível adicionar os seguintes grupos ao IAM: <Nomes de grupos>. Os nomes de grupos só podem conter carateres alfanuméricos e/ou o seguinte: +=,.@_-.
  • Se erro (aumentar a limitação). Máximo de 500 grupos por conta): imprimir "Não foi possível adicionar os seguintes grupos ao IAM: <Nomes dos grupos>. Atingiu o limite de grupos na sua conta da AWS.


A ação deve falhar e parar a execução de um guia interativo:

  • Se não for bem-sucedido (todos os nomes eram inválidos, as credenciais estavam incorretas, não havia ligação ou ocorreu outro erro): imprima "Erro ao executar a ação "Criar um grupo". Motivo: {exception.stacktrace}
 Geral

Indicar políticas

Descrição

Liste todas as políticas geridas que estão disponíveis na sua conta da AWS, incluindo as suas próprias políticas geridas definidas pelo cliente e todas as políticas geridas pela AWS. Pode filtrar a lista de políticas devolvidas através dos parâmetros opcionais Only Attached, Scope e Policy Usage. Por exemplo, para listar apenas as políticas geridas pelo cliente na sua conta da AWS, defina o âmbito como Local. Para listar apenas as políticas geridas pela AWS, defina o âmbito como AWS.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Apenas anexado Booleano Não Não Quando esta opção está selecionada, os resultados são filtrados para apresentar apenas as políticas anexadas a um utilizador, um grupo ou uma função do IAM. Quando está desmarcada, são devolvidas todas as políticas.
Âmbito

DDL
(All, AWS, Local)

 Tudo Não O âmbito a usar para filtrar os resultados. Para listar apenas as políticas geridas pela AWS, defina o âmbito como AWS. Para listar apenas as políticas geridas pelo cliente na sua conta da AWS, defina o âmbito como Local. Por predefinição, são devolvidas todas as políticas.
Número máximo de políticas a devolver Número inteiro 100 Não Especifique quantas políticas devolver. A predefinição é 100. O máximo é 1000.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Resultado JSON
[{
'PolicyName': 'string',
'PolicyId': 'string',
'Arn': 'string',
'Path': 'string',
'DefaultVersionId': 'string',
'AttachmentCount': 123,
'PermissionsBoundaryUsageCount': 123,
'IsAttachable': True|False,
'Description': 'string',
'CreateDate': "2020-12-6T17:16:45",
'UpdateDate':"2020-12-6T17:16:45"
}]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • Se for bem-sucedido: imprima "Successfully listed available policies in AWS IAM" (Foram listadas com êxito as políticas disponíveis no AWS IAM)
  • Se o valor de "Max Policies" for inferior às políticas correspondentes com base no filtro: imprima "Successfully listed available policies in AWS IAM. Tenha em atenção que existem políticas adicionais que correspondem ao filtro fornecido."
  • Se não existirem dados: imprima "No Policies were found in AWS IAM" (Não foram encontradas políticas no AWS IAM)


A ação deve falhar e parar a execução de um guia interativo:

  • Se não for bem-sucedido (credenciais incorretas, sem ligação ao servidor, outro erro do servidor, max>1000): imprima "Erro ao executar a ação 'List Policies. Motivo: {exception.stacktrace}
 Geral
Tabela CSV

Title: Políticas IAM

Colunas:

Nome da política

ID da política

Criar data

Data da actualização

 Geral

Anexe uma política

Descrição

Anexe a política gerida especificada a uma identidade (utilizador, grupo, função).

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Tipo de identidade

DDL
(User, Group, Role)

 Grupo Sim Tipo de identidade do IAM.
Nome da identidade String N/A Sim O nome (nome agradável, não ARN) da identidade à qual anexar a política. Os nomes de identidades não podem incluir espaços e têm de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-.
Nome da política String N/A Sim O nome (nome amigável, não ARN) da política à qual anexar a política. Os nomes das políticas não podem incluir espaços e têm de conter apenas carateres alfanuméricos e/ou o seguinte: +=.@_-.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • Se for bem-sucedido: imprima "A política foi anexada a <Identity Type>: <Identity Name>"

A ação deve falhar e parar a execução de um guia interativo:

  • Se ocorrer um erro: imprima "Não foi possível criar a política <policy name>. Os nomes das políticas têm de ser exclusivos numa conta.
  • Se ocorrer um erro, o nome da identidade é inválido: imprima "Não foi possível anexar <policy name> a <Identity Type>: <Identity Name>. Os nomes só podem conter carateres alfanuméricos e/ou o seguinte: +=,.@_-.
  • Se não for bem-sucedido (credenciais incorretas, sem ligação ao servidor, outro erro do servidor): imprima "Erro ao executar a ação 'Anexar uma política'. Motivo: {exception.stacktrace}
 Geral

Desative o acesso do utilizador

Desative o acesso do utilizador na AWS adicionando uma política de recusa explícita incorporada.

Esta ação só suporta utilizadores normais da AWS e não utilizadores federados nem funções do IAM.

Entidades

Esta ação é executada na entidade User.

Dados de ações

N/A

Resultados da ação

Tipo de saída da ação
Fixação à parede da caixa N/A
Link da parede da caixa N/A
Mesa de parede para caixas N/A
Tabela de enriquecimento N/A
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON
[
  {
    "Entity": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "example-account-id",
            "projectNumber": "example-project-id",
            "fullResourceName": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com"
          }
        }
      }
    ]
  }
]
Resultado do script
Nome do resultado do script Valor
is_success Verdadeiro/Falso
Parede da caixa

A ação fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully added deny policy to the following users in AWS IAM: USERNAME_LIST

Action wasn't able to find the following users in AWS IAM: USERNAME_LIST

Action wasn't able to add deny policy to the following users in AWS IAM: USERNAME_LIST

 Ação efetuada com êxito.
Successfully added deny policy to the following users in AWS IAM: USERNAME_LIST

Falha na ação.

Ocorreu um erro que impediu a aplicação da política de recusa a, pelo menos, um utilizador fornecido.
Error executing action "Disable User Access". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.