AWS Identity and Access Management (IAM)

Versão da integração: 5.0

Casos de uso com o Amazon Simple Storage Service (Amazon S3)

João criou um bucket do Amazon S3 para a empresa chamado aws-s3-bucket.

  1. Criar usuários(o desenvolvedor precisa poder criar os dados dele no bucket da empresa)
    1. Criar grupos (desenvolvedores como um grupo)
  2. Criar políticas (João precisa atribuir permissões aos usuários/grupo)
  3. Anexar políticas (John anexa uma política ao grupo que permite aos desenvolvedores ler, gravar e listar objetos no AWS S3)
  4. Adicionar/remover usuários do grupo (um dos desenvolvedores se torna gerente, o acesso precisa ser alterado)

Configurar a integração do AWS Identity and Access Management (IAM) no Google Security Operations

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID da chave de acesso da AWS String N/A Sim ID da chave de acesso da AWS a ser usado na integração.
Chave secreta da AWS Senha N/A Sim Chave secreta da AWS a ser usada na integração.

Ações

Ping

Descrição

Teste a conectividade com o IAM da AWS usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a conexão for bem-sucedida:imprima "Conexão bem-sucedida com o servidor do IAM da AWS usando os parâmetros de conexão fornecidos!"

A ação precisa falhar e interromper a execução de um playbook:

Se não for possível: imprima "Failed to connect to the AWS IAM server! O erro é {0}".format(exception.stacktrace)

 Geral

Criar um usuário

Descrição

Crie um usuário do IAM para sua conta da AWS. É possível adicionar vários usuários de uma só vez com valores separados por vírgulas. Nenhuma política será aplicada nesta etapa.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do usuário String N/A Sim Nome do usuário a ser criado. Valores separados por vírgula. Observação: o nome de usuário não pode incluir espaços e precisa conter apenas caracteres alfanuméricos e/ou o seguinte: +=.@_-. Os nomes precisam ser exclusivos em uma conta.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
[{
   "Arn":"arn:aws:iam::582302349248:user/ziv",
   "CreateDate":"2020-12-03T12:12:20",
   "Path":"/",
   "UserId":"AIDAYPE7MW7AFMHK4WCHS",
   "UserName":"ziv"
}]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

  • Se a operação for bem-sucedida (poucos nomes de usuário eram válidos): imprima "Os seguintes usuários foram adicionados ao IAM: <nomes de usuário>"
  • Se o erro for "usuários já existem":imprima "Não foi possível adicionar os seguintes usuários ao IAM: <Usernames>. Os nomes precisam ser exclusivos em uma conta.
  • Se houver um erro (poucos nomes de usuário eram inválidos): imprima "Não foi possível adicionar os seguintes usuários ao IAM: <Usernames>. Os nomes de usuário precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=,.@-.
  • If error (raise limitation. Máximo de 5.000 usuários por conta: imprima "Não foi possível adicionar os seguintes usuários ao IAM: <Usernames>. Entre em contato com a limitação de usuários na sua conta da AWS.

Observação: se nada acontecer, todos os usuários serão inválidos/existentes/limitados → a ação vai falhar.

A ação precisa falhar e interromper a execução de um playbook:

  • Se não funcionar (todos os nomes de usuário eram inválidos, credenciais erradas, sem conexão, outro erro): imprima "Erro ao executar a ação 'Criar um usuário'. Motivo: {exception.stacktrace}

Observação:se todos os nomes de usuário forem inválidos, imprima "Erro ao executar a ação 'Criar um usuário'. Motivo: {invalid usernames}: os nomes de usuário precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=,.@-. {existing usernames}: os nomes precisam ser exclusivos em uma conta.

 Geral

Adicionar um usuário a um grupo

Descrição

Adiciona o usuário especificado ao grupo do IAM especificado. Use grupos para aplicar as mesmas políticas de permissões a vários usuários de uma só vez.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do grupo String N/A Sim O nome do grupo a ser atualizado. Observação: os nomes de grupos não podem incluir espaços e precisam conter apenas caracteres alfanuméricos e/ou os seguintes: +=.@_-.
Nome do usuário String N/A Sim O nome do usuário a ser adicionado. Observação: os nomes de usuário não podem incluir espaços e precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=.@_-. Valores separados por vírgula.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

  • Se a operação for bem-sucedida:imprima "O usuário <Nome do usuário> foi adicionado ao grupo do IAM: <Nome do grupo>"
  • Se houver um erro - O grupo ou o usuário não existe:
    O grupo não existe Imprima "Não foi possível adicionar <UserName> a <Group name>. O grupo <group name> não foi encontrado.
     O usuário não existe/ambos: imprima "Não foi possível adicionar <UserName> a <Group name>. O usuário <user name> não foi encontrado.
  • Se o erro
    Limitação de usuários: um usuário do IAM pode ser membro de 10 grupos
     Limitação de grupos: um grupo pode ter 5.000 usuários
    Imprima "Não foi possível adicionar <UserName> a <Group name> porque foi feita uma tentativa de criar recursos além dos limites atuais da conta da AWS".

A ação precisa falhar e interromper a execução de um playbook:

  • Se não funcionar (credenciais erradas, sem conexão, outro erro do SDK): imprima "Erro ao executar a ação 'Adicionar um usuário a um grupo. Motivo: {exception.stacktrace}
 Geral

Remover um usuário de um grupo

Descrição

Adiciona o usuário especificado ao grupo do IAM especificado. Use grupos para aplicar as mesmas políticas de permissões a vários usuários de uma só vez.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do grupo String N/A Sim O nome do grupo a ser atualizado. Observação: os nomes de grupos não podem incluir espaços e precisam conter apenas caracteres alfanuméricos e/ou os seguintes: +=.@_-.
Nome do usuário String N/A Sim O nome do usuário a ser removido. Observação: os nomes de usuário não podem incluir espaços e precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=.@_-. Valores separados por vírgula.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

  • Se a ação for bem-sucedida:imprima "<Nome do usuário> foi removido do grupo: <Nome do grupo>"
  • Se o erro for "O grupo não existe ou o usuário não existe":
    O grupo não existe: Imprima "Não foi possível remover <UserName> de <Group name>. O grupo <group name> não foi encontrado.
     O usuário não existe/ambos: Imprima "Não foi possível remover <UserName> de <Group name>. O usuário <user name> não foi encontrado.
  • Se o erro
    Limitação de usuários: um usuário do IAM pode ser membro de 10 grupos
     Limitação de grupos: um grupo pode ter 5.000 usuários
    Imprima "Não foi possível remover <UserName> de <Group name> porque ele tentou criar recursos além dos limites atuais da conta da AWS".

A ação precisa falhar e interromper a execução de um playbook:

  • Se não funcionar (credenciais erradas, sem conexão, outro erro do SDK): imprima "Erro ao executar a ação 'Remover um usuário de um grupo. Motivo: {exception.stacktrace}
 Geral

Listar usuários

Descrição

Receba uma lista de todos os usuários no IAM.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Número máximo de usuários a serem retornados Número inteiro 50 Não Especifique quantos usuários retornar. O máximo é 1.000 usuários. O padrão é 50.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
[{
   "Arn":"arn:aws:iam::582302349248:user/ziv",
   "CreateDate":"2020-12-03T12:12:20",
   "Path":"/",
   "UserId":"AIDAYPE7MW7AFMHK4WCHS",
   "UserName":"ziv"
}]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if successful: print "Successfully listed available users in AWS IAM"

Se não houver dados disponíveis:imprima "Nenhum usuário encontrado no IAM da AWS".


A ação precisa falhar e interromper a execução de um playbook:

Se não for bem-sucedido (credenciais erradas, sem conexão com o servidor, outro erro de servidor, se max>10000): imprima "Erro ao executar a ação 'List Users'. Motivo: {exception.stacktrace}

 Geral
Tabela CSV

Título:usuários do IAM

Colunas:

Nome de usuário

ID do usuário

ARN

Data de criação

 Geral

Listar grupos

Descrição

Receba uma lista de todos os grupos no IAM.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Número máximo de grupos a serem retornados Número inteiro 50 Não Especifique quantos grupos retornar. O máximo é 1.000 grupos. O padrão é 50.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
[{
   "Arn":"arn:aws:iam::582302349248:group/ZivGroup",
   "CreateDate":"2020-12-05 16:18:36+00:00",
   "Path":"/",
   "GroupId":"AGPAYPE7MW7AMKCWMJPMX",
   "GroupName":"ZivGroup"
}]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if successful:print "Successfully listed available groups in AWS IAM"

Se não houver dados disponíveis:imprima "Nenhum grupo encontrado no IAM da AWS"


A ação precisa falhar e interromper a execução de um playbook:

if not successful (wrong credentials, no connection to server, other server error, If 'Max Groups'> 1000): print "Error executing action 'List Groups'. Motivo: {exception.stacktrace}

 Geral
Tabela CSV

Título:Grupos do IAM

Colunas:

Nome do grupo

ID do grupo

ARN

Data de criação

 Geral

Criar uma política

Descrição

Crie uma política gerenciada pelo cliente do IAM para sua conta da AWS. Essa ação cria uma versão da política com um identificador de versão v1 e define v1 como a versão padrão da política.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da política String N/A Sim Nome da política a ser criada. O nome da política não pode incluir espaços e precisa conter apenas caracteres alfanuméricos e/ou o seguinte: +=.@_-. Os nomes de políticas precisam ser exclusivos em uma conta.
Documento de política String N/A Sim O documento JSON da política que você quer usar como conteúdo da nova política.
Descrição String N/A Não Descrição da política.Normalmente usada para armazenar informações sobre as permissões definidas na política. Por exemplo, "Concede acesso a tabelas de produção do DynamoDB". A descrição da política é imutável. Depois que um valor é atribuído, ele não pode ser mudado.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
{
    "PolicyName": "S3-read-only-bucket",
    "PolicyId": "ANPAYPE7MW7AFKUDK3HD7",
    "Arn": "arn:aws:iam::582302349248:policy/S3-read-only-bucket",
    "Path": "/",
    "DefaultVersionId": "v1",
    "AttachmentCount": 0,
    "PermissionsBoundaryUsageCount": 0,
    "IsAttachable": true,
    "CreateDate": "2020-12-6T17:16:45",
    "UpdateDate": "2020-12-6T17:16:45"
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

  • Se for bem-sucedido:imprima "A política <nome da política> foi criada"

A ação deve falhar e interromper uma execução do playbook:

  • Se houver um erro - a política já existe:imprima "Não foi possível criar a política <nome da política>. Os nomes das políticas precisam ser exclusivos em uma conta.
  • Se o erro for "nome da política inválido":imprima "Não foi possível criar a política <nome da política>. Os nomes das políticas precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=,.@_-.
  • Se houver um erro :o documento da política estava malformado. Imprima "Não foi possível criar a política <nome da política>. O documento de política estava malformado.Motivo: {exception.stacktrace}

if not successful (LimitExceededException, wrong creds, no connection, other error): print "Error executing action 'Create a Policy'. Motivo: {exception.stacktrace}

 Geral

Criar um grupo

Descrição

Crie um grupo do IAM para sua conta da AWS. Para configurar um grupo, você precisa criar o grupo. Em seguida, conceda permissões ao grupo com base no tipo de trabalho que você espera que os usuários realizem. Por fim, adicione usuários ao grupo.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do grupo String N/A Sim Nome do grupo a ser criado. Valores separados por vírgula. Observação: os nomes de grupos não podem incluir espaços e precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=.@_-. Os nomes precisam ser exclusivos em uma conta.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
[{
   "Arn":"arn:aws:iam::582302349248:group/ZivGroup",
   "CreateDate":"2020-12-05 16:18:36+00:00",
   "Path":"/",
   "GroupId":"'AGPAYPE7MW7AMKCWMJPMX",
   "GroupName":"ZivGroup"
}]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

  • Se a operação for concluída (alguns ou todos os nomes de grupo forem válidos): imprima "Os seguintes grupos foram adicionados ao IAM: <nomes de grupo>"
  • Se o erro "O grupo já existe" aparecer:imprima "Não foi possível adicionar os seguintes grupos ao IAM: <nomes dos grupos>. Os nomes precisam ser exclusivos em uma conta.
  • Se houver um erro (alguns nomes de grupos são inválidos): imprima "Não foi possível adicionar os seguintes grupos ao IAM: <nomes dos grupos>. Os nomes dos grupos só podem conter caracteres alfanuméricos e/ou o seguinte: +=,.@_-.
  • Se houver um erro (aumentar a limitação. Máximo de 500 grupos por conta: imprima "Não foi possível adicionar os seguintes grupos ao IAM: <nomes dos grupos>. Entre em contato com a limitação de grupos na sua conta da AWS.


A ação precisa falhar e interromper a execução de um playbook:

  • Se não for possível (todos os nomes eram inválidos, credenciais erradas, sem conexão, outro erro): imprima "Erro ao executar a ação 'Criar um grupo. Motivo: {exception.stacktrace}
 Geral

Listar políticas

Descrição

Liste todas as políticas gerenciadas disponíveis na sua conta da AWS, incluindo suas próprias políticas gerenciadas definidas pelo cliente e todas as políticas gerenciadas pela AWS. É possível filtrar a lista de políticas retornadas usando os parâmetros opcionais "Somente anexadas", "Escopo" e "Uso da política". Por exemplo, para listar apenas as políticas gerenciadas pelo cliente na sua conta da AWS, defina o escopo como "Local". Para listar apenas políticas gerenciadas pela AWS, defina o escopo como "AWS".

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Somente anexado Booleano Não Não Quando marcada, filtra os resultados para mostrar apenas as políticas anexadas a um usuário, grupo ou função do IAM. Quando desmarcada, todas as políticas são retornadas.
Escopo

DDL
(All, AWS, Local)

 Todos Não O escopo a ser usado para filtrar os resultados. Para listar apenas as políticas gerenciadas pela AWS, defina o escopo como "AWS". Para listar apenas as políticas gerenciadas pelo cliente na sua conta da AWS, defina o escopo como "Local". Por padrão, todas as políticas são retornadas.
Número máximo de políticas a serem retornadas Número inteiro 100 Não Especifique quantas políticas retornar. O padrão é 100. O máximo é 1.000.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
[{
'PolicyName': 'string',
'PolicyId': 'string',
'Arn': 'string',
'Path': 'string',
'DefaultVersionId': 'string',
'AttachmentCount': 123,
'PermissionsBoundaryUsageCount': 123,
'IsAttachable': True|False,
'Description': 'string',
'CreateDate': "2020-12-6T17:16:45",
'UpdateDate':"2020-12-6T17:16:45"
}]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

  • if successful: print "Successfully listed available policies in AWS IAM"
  • Se o valor de "Max Policies" for menor que as políticas correspondentes com base no filtro:imprima "As políticas disponíveis no IAM da AWS foram listadas com sucesso. Há outras políticas que correspondem ao filtro fornecido."
  • Se não houver dados:imprima "Nenhuma política foi encontrada no IAM da AWS"


A ação precisa falhar e interromper a execução de um playbook:

  • Se não for bem-sucedida (credenciais erradas, sem conexão com o servidor, outro erro de servidor, max>1000): imprima "Erro ao executar a ação 'List Policies. Motivo: {exception.stacktrace}
 Geral
Tabela CSV

Título:políticas do IAM

Colunas:

Nome da política

ID da política

Criar data

Data da atualização

 Geral

Anexar uma política

Descrição

Anexa a política gerenciada especificada a uma identidade (usuário, grupo, função).

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Tipo de identidade

DDL
(User, Group, Role)

 Grupo Sim Tipo de identidade do IAM.
Nome da identidade String N/A Sim O nome (nome amigável, não ARN) da identidade a que a política será anexada. Os nomes de identidade não podem incluir espaços e precisam conter apenas caracteres alfanuméricos e/ou os seguintes: +=.@_-.
Nome da política String N/A Sim O nome (nome amigável, não ARN) da política a ser anexada. Os nomes das políticas não podem incluir espaços e precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=.@_-.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

  • Se for bem-sucedido:imprima "A política foi anexada a <Tipo de identidade>: <Nome da identidade>"

A ação precisa falhar e interromper a execução de um playbook:

  • Se houver um erro: imprima "Não foi possível criar a política <nome da política>. Os nomes das políticas precisam ser exclusivos em uma conta.
  • Se o erro for "O nome da identidade é inválido":imprima "Não foi possível anexar <nome da política> a <tipo de identidade>: <nome da identidade>. Os nomes precisam conter apenas caracteres alfanuméricos e/ou o seguinte: +=,.@_-.
  • Se não for possível (credenciais erradas, sem conexão com o servidor, outro erro de servidor): imprima "Erro ao executar a ação 'Anexar uma política'. Motivo: {exception.stacktrace}
 Geral

Desativar o acesso do usuário

Desative o acesso do usuário na AWS adicionando uma política de negação inline explícita.

Essa ação só é compatível com usuários regulares da AWS, não com usuários federados ou papéis do IAM.

Entidades

Essa ação é executada na entidade "User".

Entradas de ação

N/A

Saídas de ação

Tipo de saída da ação
Anexo do Painel de Casos N/A
Link do Painel de Casos N/A
Tabela do painel de casos N/A
Tabela de enriquecimento N/A
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON
[
  {
    "Entity": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "example-account-id",
            "projectNumber": "example-project-id",
            "fullResourceName": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com"
          }
        }
      }
    ]
  }
]
Resultado do script
Nome do resultado do script Valor
is_success Verdadeiro/Falso
Painel de casos

A ação fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully added deny policy to the following users in AWS IAM: USERNAME_LIST

Action wasn't able to find the following users in AWS IAM: USERNAME_LIST

Action wasn't able to add deny policy to the following users in AWS IAM: USERNAME_LIST

 A ação foi concluída.
Successfully added deny policy to the following users in AWS IAM: USERNAME_LIST

Falha na ação.

O erro impediu a aplicação da política de negação a pelo menos um usuário fornecido.
Error executing action "Disable User Access". Reason: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.