1. Conformidade
1.1. Audit Manager
1.1.1. Definição
1.1.1.1. serviço da AWS que automatiza a coleta e organização de evidências para auditorias de conformidade em ambientes de nuvem.
1.1.1.2. ajuda a simplificar os processos de auditoria, fornecendo controles e relatórios que facilitam a verificação de conformidade com regulamentos e padrões de segurança.
1.1.2. o que faz
1.1.2.1. facilita a realização de auditorias e a criação de relatórios de conformidade, ajudando as organizações a manterem a conformidade com regulamentações de segurança e padrões industriais.
1.1.2.2. Ele automatiza a coleta de evidências, cria controles de auditoria personalizados e fornece relatórios detalhados para auditorias internas e externas.
1.1.3. Características
1.1.3.1. Automação de Auditoria
1.1.3.1.1. Automatiza a coleta de dados e evidências para auditorias de conformidade.
1.1.3.2. Controles Personalizados
1.1.3.2.1. Permite criar controles personalizados com base em normas e regulamentações específicas.
1.1.3.3. Integração com Outros Serviços AWS
1.1.3.3.1. Integra-se com outros serviços AWS, como AWS Config e AWS CloudTrail, para obter dados relevantes para auditoria.
1.1.3.4. Suporte a Conformidade de Padrões
1.1.3.4.1. Suporta conformidade com padrões de segurança, como SOC 2, ISO 27001, PCI-DSS, entre outros.
1.1.3.5. Relatórios Detalhados
1.1.3.5.1. Geração de relatórios detalhados e fáceis de entender, prontos para auditorias.
1.1.4. Quando usar
1.1.4.1. Quando sua organização precisa automatizar processos de auditoria e conformidade na nuvem.
1.1.4.2. Para simplificar a criação e a gestão de auditorias para padrões e regulamentações específicas.
1.1.4.3. Quando é necessário coletar e organizar evidências de conformidade para auditorias externas ou internas de maneira eficiente.
1.2. Artifact
1.2.1. Definição
1.2.1.1. serviço que fornece acesso a relatórios de conformidade e acordos legais da AWS.
1.2.2. o que faz
1.2.2.1. permite que os usuários baixem documentos de conformidade, como auditorias de terceiros, certificações e contratos, ajudando a garantir que os serviços da AWS atendam aos requisitos regulatórios.
1.2.3. Características
1.2.3.1. Acesso a relatórios de conformidade, como ISO, SOC e PCI DSS.
1.2.3.2. Disponibiliza acordos legais, como o AWS Business Associate Agreement (BAA).
1.2.3.3. Relatórios e documentos atualizados automaticamente.
1.2.3.4. Sem custo para acesso e download dos documentos.
1.2.4. Quando usar
1.2.4.1. Para auditorias e comprovação de conformidade com padrões de segurança e regulamentação.
1.2.4.2. Quando precisar fornecer evidências de conformidade para clientes ou órgãos reguladores.
1.2.4.3. Para revisar acordos legais antes de utilizar determinados serviços da AWS.
1.3. Resource Access Manager (AWS RAM)
1.3.1. Definição
1.3.1.1. serviço que permite compartilhar recursos da AWS de forma segura e eficiente entre contas da AWS dentro de uma organização ou com contas específicas.
1.3.2. o que faz
1.3.2.1. Permite compartilhar recursos sem necessidade de copiar ou transferir dados.
1.3.2.2. Facilita a colaboração entre diferentes contas da AWS dentro da mesma organização no AWS Organizations ou contas externas.
1.3.2.3. Garante que o acesso seja controlado por meio de permissões específicas.
1.3.3. Características
1.3.3.1. Compartilhamento seguro
1.3.3.1.1. Utiliza permissões baseadas em políticas do AWS Identity and Access Management (IAM).
1.3.3.2. Integração com AWS Organizations
1.3.3.2.1. Permite compartilhar recursos facilmente dentro de uma organização.
1.3.3.3. Sem necessidade de duplicação
1.3.3.3.1. Os recursos podem ser usados por várias contas sem precisar criar cópias.
1.3.3.4. Gerenciamento centralizado
1.3.3.4.1. O administrador pode visualizar e controlar os compartilhamentos de recursos.
1.3.4. Quando usar
1.3.4.1. Quando for necessário compartilhar recursos entre contas AWS, como VPC subnets, Transit Gateway, License Manager e Route 53 Resolver rules.
1.3.4.2. Para reduzir custos e complexidade ao centralizar o uso de determinados recursos.
1.3.4.3. Quando diferentes contas precisam acessar os mesmos serviços sem necessidade de replicação.
2. Identidade
2.1. Directory Service
2.1.1. Definição
2.1.1.1. é compatível com o Microsoft Active Directory, permitindo que você crie uma infraestrutura de identidade na AWS.
2.1.1.2. serviço gerenciado que permite que você configure e gerencie um diretório na nuvem da AWS.
2.1.2. o que faz
2.1.2.1. oferece uma maneira fácil de configurar um diretório baseado no Active Directory na AWS, permitindo gerenciar usuários, grupos e políticas de segurança.
2.1.2.2. Pode ser usado para integrar aplicativos, serviços da AWS e instâncias do Amazon EC2 com a autenticação centralizada do Active Directory.
2.1.3. Características
2.1.3.1. Suporte para Active Directory, sem a necessidade de gerenciar infraestrutura de diretório.
2.1.3.2. Pode ser integrado com serviços da AWS, como Amazon RDS, Amazon WorkSpaces, entre outros.
2.1.3.3. Permite autenticação de usuários e controle de acesso centralizado.
2.1.3.4. Oferece três opções de implantação: AWS Managed Microsoft AD, AD Connector (para conectar um diretório local à AWS) e Simple AD (uma implementação mais simples de um diretório Active Directory).
2.1.4. Quando usar
2.1.4.1. Quando você precisa de um diretório Active Directory para gerenciar identidades e permissões na AWS.
2.1.4.2. Se sua organização já usa o Active Directory local e deseja integrar ou expandir para a AWS.
2.1.4.3. Para fornecer autenticação centralizada para aplicações ou recursos na AWS.
2.1.4.4. Quando precisa de uma solução de diretório escalável e fácil de gerenciar, sem a necessidade de administração manual da infraestrutura de AD.
2.2. Cognito
2.2.1. Definição
2.2.1.1. serviço da Amazon Web Services (AWS) que facilita a autenticação, autorização e o gerenciamento de usuários em aplicações móveis e web.
2.2.1.2. Ele oferece uma solução de gerenciamento de identidade, permitindo que você integre autenticação de usuários de forma fácil e segura.
2.2.2. o que faz
2.2.2.1. Autenticação de usuários
2.2.2.1.1. Permite criar e gerenciar pools de usuários, facilitando o login com senhas ou métodos de autenticação social, como Google, Facebook e Amazon.
2.2.2.2. Autorização e controle de acesso
2.2.2.2.1. Oferece funcionalidades para gerenciar permissões de acesso a recursos da AWS de maneira simplificada.
2.2.2.3. Sincronização de dados entre dispositivos
2.2.2.3.1. Com a funcionalidade de sincronização, permite que os dados do usuário sejam armazenados e acessados entre múltiplos dispositivos.
2.2.2.4. Integração com outros serviços AWS
2.2.2.4.1. Integra-se com o AWS IAM (Identity and Access Management) para fornecer controle detalhado de permissões.
2.2.3. Características
2.2.3.1. Pools de Usuários
2.2.3.1.1. Armazena e gerencia informações de usuários, incluindo atributos como nome, e-mail, senha e dados personalizados.
2.2.3.2. Autenticação de múltiplos fatores (MFA)
2.2.3.2.1. Suporta autenticação multi-fatorial para melhorar a segurança da aplicação.
2.2.3.3. Integração com provedores de identidade externos
2.2.3.3.1. Permite que usuários se autentiquem usando contas de terceiros, como Google, Facebook e Apple.
2.2.3.4. Suporte a aplicativos móveis e web
2.2.3.4.1. Oferece SDKs para integração fácil com apps nativos ou web.
2.2.3.5. Políticas de segurança
2.2.3.5.1. Possui integração com políticas de senha, MFA e regras de acesso.
2.2.3.6. Sincronização de dados
2.2.3.6.1. Permite a sincronização de dados de usuários entre dispositivos em tempo real.
2.2.3.7. Suporte a grupos e funções
2.2.3.7.1. Facilita a organização de usuários em grupos com permissões específicas.
2.2.4. Quando usar
2.2.4.1. Autenticação de usuários em aplicações web e móveis
2.2.4.1.1. Se você precisa gerenciar usuários e autenticar o acesso a sua aplicação de forma simples e segura.
2.2.4.2. Integração com autenticação social
2.2.4.2.1. Se deseja permitir que usuários façam login com contas de redes sociais (como Facebook ou Google).
2.2.4.3. Autorização para APIs e serviços AWS
2.2.4.3.1. Quando precisar controlar o acesso de usuários a recursos da AWS, como buckets S3 ou funções Lambda.
2.2.4.4. Gerenciamento de sessões de usuário e sincronização entre dispositivos
2.2.4.4.1. Quando sua aplicação exige que os dados dos usuários sejam acessíveis e consistentes em múltiplos dispositivos.
2.3. IAM Identity Center (AWS Single Sign-On)
2.3.1. Definição
2.3.1.1. serviço gerenciado que permite gerenciar o acesso a múltiplas contas e aplicativos da AWS a partir de um único ponto central.
2.3.1.2. fornece uma solução para autenticação única (SSO), simplificando a gestão de identidades e acessos dentro do ambiente AWS.
2.3.2. o que faz
2.3.2.1. Centraliza o gerenciamento de acesso
2.3.2.1.1. Oferece um único ponto de controle para configurar e gerenciar o acesso de usuários e grupos a recursos e serviços da AWS.
2.3.2.2. Autenticação única (SSO)
2.3.2.2.1. Permite que os usuários façam login uma única vez para acessar várias contas e aplicativos AWS, sem a necessidade de inserir credenciais repetidamente.
2.3.2.3. Integração com diretórios corporativos
2.3.2.3.1. Pode ser integrado a diretórios existentes (como Microsoft Active Directory) ou usar identidades na própria AWS.
2.3.3. Características
2.3.3.1. Gerenciamento simplificado de permissões
2.3.3.1.1. Usa funções (roles) e permissões para controlar o acesso a diferentes recursos da AWS de forma granular.
2.3.3.2. Suporte a autenticação multi-fatorial (MFA)
2.3.3.2.1. Proporciona maior segurança exigindo autenticação adicional além da senha.
2.3.3.3. Acesso condicional e auditoria
2.3.3.3.1. Permite definir condições para acesso e fornece logs detalhados para auditoria através do AWS CloudTrail.
2.3.3.4. Integração com provedores de identidade externos
2.3.3.4.1. Suporta integração com provedores de identidade SAML 2.0 e outros sistemas de autenticação como Active Directory, Okta, entre outros.
2.3.4. Quando usar
2.3.4.1. Gestão de múltiplas contas e aplicativos da AWS
2.3.4.1.1. Ideal para organizações que precisam gerenciar acesso de usuários a várias contas AWS de maneira centralizada e eficiente.
2.3.4.2. Ambientes corporativos com diretórios existentes
2.3.4.2.1. Quando você já utiliza um diretório corporativo e deseja centralizar o acesso ao AWS sem criar múltiplas contas de usuário.
2.3.4.3. Simplificação de login para usuários
2.3.4.3.1. Para proporcionar uma experiência de login único, facilitando o acesso aos recursos da AWS sem a necessidade de múltiplas credenciais.
2.3.4.4. Segurança e conformidade
2.3.4.4.1. Quando a segurança é crítica, pois oferece recursos como MFA, controle de acesso granular e auditoria.
2.4. Identity and Access Management (IAM)
2.4.1. Definição
2.4.1.1. serviço que permite gerenciar com segurança o acesso a recursos da AWS, controlando usuários, grupos, funções e permissões por meio de políticas detalhadas.
2.4.1.2. permite que você controle quem pode acessar recursos da AWS e o que eles podem fazer com esses recursos.
2.4.2. o que faz
2.4.2.1. O IAM possibilita a criação e gerenciamento de usuários, grupos e políticas de acesso.
2.4.2.2. Com o IAM, você pode conceder permissões de maneira granular para acessar recursos específicos da AWS.
2.4.2.3. Ele também permite a autenticação e autorização usando credenciais temporárias ou permanentes.
2.4.3. Características
2.4.3.1. Controle de acesso baseado em políticas.
2.4.3.2. Suporte a autenticação multifatorial (MFA).
2.4.3.3. Permite a criação de usuários e grupos com permissões específicas.
2.4.3.4. Acesso de usuários pode ser auditado usando AWS CloudTrail.
2.4.3.5. O IAM é global dentro de uma conta AWS e não é restrito a uma única região.
2.4.3.6. Suporta políticas de acesso refinadas (Ex.: acesso apenas a determinados recursos ou operações).
2.4.3.7. Permite o gerenciamento de chaves de segurança para acesso programático.
2.4.3.8. Permite integração com serviços como AWS Cognito, para gerenciamento de identidades de usuários externos.
2.4.4. Quando usar
2.4.4.1. Quando for necessário controlar o acesso dos usuários aos recursos da AWS.
2.4.4.2. Quando for importante aplicar políticas de segurança para garantir que apenas usuários autorizados possam acessar ou manipular recursos.
2.4.4.3. Ao criar um ambiente com múltiplos usuários e permissões específicas para diferentes níveis de acesso.
2.4.4.4. Para garantir que as credenciais de segurança sejam gerenciadas de maneira segura e eficiente.
2.4.4.5. Controle de acesso a recursos AWS, garantindo o princípio de menor privilégio.
2.4.4.6. Implementação de IAM Roles para serviços como EC2 e Lambda acessarem outros recursos sem expor credenciais.
2.4.5. termos
2.4.5.1. usuários
2.4.5.1.1. Um usuário no IAM é uma identidade específica dentro da AWS que representa uma pessoa ou aplicação que precisa de acesso aos recursos da AWS.
2.4.5.1.2. Cada usuário possui um nome e credenciais de acesso, como senha e chaves de acesso, e pode ser atribuído a permissões para acessar serviços e recursos específicos
2.4.5.2. grupos
2.4.5.2.1. Os grupos são coleções de usuários. Eles são usados para agrupar usuários com permissões semelhantes, facilitando a gestão das permissões.
2.4.5.2.2. Ao adicionar um usuário a um grupo, ele herda automaticamente as permissões atribuídas a esse grupo.
2.4.5.3. funções
2.4.5.3.1. Uma função no IAM é um conjunto de permissões temporárias que podem ser assumidas por usuários ou serviços.
2.4.5.3.2. As funções são muito usadas para conceder permissões a recursos ou serviços da AWS que precisam realizar ações em nome de outro serviço ou usuário.
2.4.5.3.3. Elas são geralmente usadas em cenários como servidores EC2 que precisam acessar recursos S3, ou quando um serviço externo assume permissões temporárias.
2.4.5.4. políticas
2.4.5.4.1. As políticas são conjuntos de permissões que definem o que um usuário, grupo ou função pode ou não fazer com os recursos da AWS.
2.4.5.4.2. Elas são escritas em JSON e podem ser aplicadas a usuários, grupos ou funções. As políticas podem ser gerenciadas (AWS fornece algumas) ou personalizadas (criadas pelo usuário).
2.4.5.5. chave de acesso
2.4.5.5.1. A chave de acesso é usada para autenticar e autorizar um usuário para interagir com a AWS programaticamente (via AWS CLI, SDKs ou APIs). Uma chave de acesso é composta por duas partes: uma chave de acesso ID e uma chave secreta.
2.4.5.5.2. Essas chaves são necessárias para fazer chamadas de API ou interagir com a AWS sem usar o console.
2.4.5.5.3. Exemplo
2.4.5.6. MFA
2.4.5.6.1. O MFA (Multi-Factor Authentication) adiciona uma camada extra de segurança ao processo de autenticação, exigindo que o usuário forneça dois fatores de verificação ao fazer login.
2.4.5.6.2. Normalmente, isso é feito com uma senha e um código gerado por um dispositivo MFA (como um aplicativo autenticador ou um dispositivo físico). O MFA ajuda a proteger a conta contra acessos não autorizados.
2.4.5.7. IAM Access Advisor
2.4.5.7.1. nível usuário
2.4.5.8. IAM Credentials Report
2.4.5.8.1. nível conta
2.4.6. Exemplos de questões do exame
2.4.6.1. 1º
2.4.6.1.1. Sua empresa está migrando para a AWS e deseja garantir que os desenvolvedores tenham acesso somente aos recursos necessários para suas funções. O administrador deseja uma solução onde os desenvolvedores possam acessar temporariamente os recursos, sem exigir credenciais permanentes. Qual das opções abaixo é a MELHOR abordagem?
2.4.6.2. 2º
2.4.6.2.1. Uma aplicação web hospedada em uma instância EC2 precisa acessar objetos armazenados em um bucket S3 privado. A equipe de segurança quer garantir que as credenciais de acesso não sejam armazenadas diretamente na instância. Qual é a MELHOR solução para conceder acesso seguro ao bucket S3?