UNIDADE 02

Prévia do material em texto

Unidade 2 - Configuração segura de servidores em nuvem 
Acesso seguro a servidores em 
nuvem 
A adoção da computação em nuvem já é uma realidade 
presente em muitas organizações e uma tendência no 
ambiente de TI. 
As empresas têm adotado o planejamento de migração parcial ou total para 
recursos computacionais que funcionem como serviços simples e que 
sustentem suas infraestruturas de TI com plataformas e aplicações disponíveis 
para o acesso de usuários. 
A computação em nuvem tem pontos importantes a serem analisados para a 
sua adesão, e um dos principais diz respeito aos desafios relacionados à 
segurança da informação. Os padrões de segurança atuais são estabelecidos 
em camadas diferentes da arquitetura de infraestrutura de TI: rede, servidor e 
aplicação. No ambiente computacional em nuvem, podemos ter modelos de 
serviços diferentes, que podem ser: a infraestrutura (IaaS), a plataforma 
(PaaS) ou o software (SaaS), e para cada um há abordagens diferentes dos 
mecanismos de acesso, de acordo com o formato de implantação da nuvem 
(pública, privada ou híbrida). 
Podemos avaliar o modelo de serviço ao analisarmos os riscos relacionados à 
segurança em relação ao controle do ambiente e aos mecanismos de segurança 
implementados, de acordo com o Diagrama 1: 
 
Diagrama 1. Relação entre controle de usuário e segurança nos modelos de serviços em 
nuvem. Fonte: LUDWIG; COETZEE, 2013, p. 26. (Adaptado). 
Em um ambiente IaaS, o controle sobre os recursos de infraestrutura é maior, 
fazendo com que a exposição aos riscos relacionados à segurança seja maior, 
dependendo do tipo de interação do usuário com o ambiente. Quanto menor 
for o controle do usuário final sobre o ambiente, menor será a possibilidade de 
ocorrer riscos. 
Quando pensamos nos formatos de acesso aos recursos em nuvem no modelo 
IaaS, existem pontos de acesso que devem ser considerados de acordo com o 
método de interação com o ambiente de nuvem: o acesso por um console de 
gerenciamento via internet, ou através de uma arquitetura de comunicação 
remota padronizada por API (Application Program Interface). 
 
CONTEXTUALIZANDO 
O formato mais comum de arquitetura para API é o 
modelo Representational State Transfer (REST). 
Para garantir um acesso mais seguro aos recursos computacionais em nuvem, 
independentemente do modelo de implantação ser público, privado ou híbrido, 
vejamos algumas considerações a respeito dos métodos e de boas práticas de 
acesso: 
 A forma mais comum de acesso a um provedor de infraestrutura em 
nuvem é por meio de um console de gerenciamento web, que possibilita 
um gerenciamento mais otimizado e fácil para o cliente que o utilizará. 
Para isso, é necessário manter o acesso seguro à interface, através de 
uma política de senhas específica para as credenciais de login com 
permissão de acesso de administração de todo o ambiente 
computacional, que crie e mantenha a complexidade das senhas: um 
tamanho considerável, com no mínimo 12 caracteres, combinando 
letras, maiúsculas e minúsculas, números e caracteres especiais; 
 Outro tipo de controle é verificar a configuração de inatividade de 
sessão do console, a fim de forçar que o sistema de gerenciamento 
realize um logout após determinado tempo em que a interface estiver 
ociosa; 
 É boa prática de segurança ativar no provedor, sempre que possível, um 
mecanismo de autenticação multifatorial, combinando a definição de 
uma senha de acesso com um código de verificação de login, com eles 
o gerenciador web enviará um SMS ou e-mail, ao cliente, com uma 
sequência de validação do acesso, a partir do momento em que ele 
inserir um usuário e senha válidos; 
 A possibilidade de tornar as tarefas de gerenciamento da infraestrutura 
mais dinâmicas e automatizadas é alcançada com a utilização de 
recursos em formato de APIs. Uma API é um grupo de padrões, 
definições e protocolos usados para desenvolver e integrar aplicações e 
serviços, independentemente de como esses são implementados; 
 Para a segurança do ambiente, assim como o console de gerenciamento 
via web, é primordial garantir o controle de acesso às APIs 
implementadas na infraestrutura. Dependendo do ambiente 
computacional, para que o gerenciamento não seja feito por meio das 
interfaces de APIs, é boa prática de proteção desativá-las; 
 Se o gerenciamento através de APIs web for de uso comum, e utilizar 
principalmente o protocolo HTTP para tal fim, é recomendável utilizar 
de mecanismos de segurança na comunicação, como protocolos de 
criptografia de transporte SSL/TLS, que ativam o HTTPS; ativar a 
autenticação via HTTP através de códigos específicos para as APIs 
chamados UIDs; e determinar uma lista limitada de IPs permitidos para 
realizar a conexão através das APIs. 
 
 
Na Figura 1 vemos um exemplo de como as APIs se comunicam com as 
aplicações finais de usuário do OpenStack, uma plataforma IaaS, 
manipulando recursos de infraestrutura (processamento, rede e 
armazenamento) como serviços compartilhados. 
 
Figura 1. Comunicação de APIs em ambiente IaaS. Fonte: LUKAN,, 2014. 
Por se tratar de um modelo de compartilhamento de recursos 
computacionais, um dos grandes desafios do formato IaaS é manter a 
separação de privilégios e controles de segurança entre diferentes usuários 
na infraestrutura comum, visando a proteção de todos os dados em trânsito 
dos negócios dos clientes que executam seus recursos em nuvem. É de 
suma importância que um usuário não consiga visualizar o tráfego 
realizado por qualquer outro que use a mesma plataforma. 
Uma abordagem de segurança que vem crescendo no acesso com 
segurança aos ambientes em nuvem é a utilização do modelo de aplicação 
para controle de tráfego de dados Cloud Access Security Broker (CASB). 
Esse tipo de sistema de controle pode ser associado à plataforma de nuvem 
utilizada, ou a um formato de gerenciamento on-premise, com a finalidade 
de atuar como uma espécie de gateway, entre o provedor de serviços e o 
cliente da nuvem, na aplicação de políticas de segurança corporativa nos 
acessos à nuvem. Através desse tipo de software, é possível realizar o 
controle de autenticação e de autorização, o mapeamento de credenciais, os 
perfis de acesso, e gerar alertas e registros de eventos sobre as informações 
acessadas na plataforma de nuvem, notificando possíveis riscos à 
segurança da informação. 
Na Figura 2 vemos um exemplo de modelo de dashboard produzido por 
uma ferramenta do tipo CASB na plataforma em nuvem da Oracle. 
 
Figura 2. Dashboard de aplicação CASB. Fonte: Oracle. Acesso em: 16 nov. 2019 
Gestão de identidade e acesso 
Para controlar a segurança dos recursos presentes em 
uma arquitetura de TI, seja ela tradicional ou um 
serviço em nuvem, não podemos deixar de realizar a 
identificação de cada acesso realizado por usuários ou 
por serviços. 
Para isso, o conceito de gerenciamento de identidades digitais visa 
garantir, de forma adequada, mecanismos, como os privilégios de acesso, 
as credenciais de autenticação, as permissões efetivas em relação aos 
recursos e a data de expiração de determinado login. 
A identidade digital de um recurso, seja uma aplicação, um processo, um 
dispositivo ou um usuário, representa entidades de forma única e 
intransferível. Para a criação do padrão de identidade digital de um 
recurso, são configuradas associações a uma série de atributos para as 
entidades, centralizando as credenciais de acesso do ambiente. Isso evita a 
proliferação de usuários e padrões de autenticação para os colaboradores 
ou processos envolvidos, o que torna mais eficaz o dimensionamento e a 
aplicação das permissões de acesso para as entidades envolvidas em um 
ambiente. 
Ao determinar um mecanismo de gestão de identidade e acesso a um 
ambiente, alguns itens de controle de segurança da informação são 
diagnosticados para serem controlados de forma mais eficiente, como: 
autenticação de umaentidade ou usuário, que mitiga questões relacionadas 
a roubo de identidade de uma pessoa ou processo; coibição de anonimato 
de acesso, que corrige falhas no rastreamento de um acesso ou o 
compartilhamento de contas de usuários entre diversas pessoas ou 
processos; e usabilidade, que evita a proliferação de senhas que os usuários 
tenham de decorar, inibindo a exposição delas. 
No Diagrama 2 identificamos os principais itens envolvidos em um 
ambiente de gerenciamento de identidade e acesso: 
 
Diagrama 2. Itens de gestão de identidade e acesso. 
De todos os benefícios da adoção de um sistema de gerenciamento de 
identidade e acesso, citamos os principais: 
Gerenciamento de usuários simplificado 
Todo o processo de administração de contas de usuários (criação, alteração, 
bloqueio, troca de senha, exclusão) se torna menos complexo, devido à 
centralização da autenticação; 
 
 
 
Autorização de acesso centralizada 
Ao atribuir um perfil ou um grupo de permissões efetivas aos recursos, todo 
usuário, seja novo ou já existente, herdará todas as autorizações de forma 
direta, sem a necessidade de especificar acessos individualmente. A 
possibilidade de concessões temporárias também fica mais prática, 
principalmente para colaboradores terceirizados, que vão acessar os recursos 
em prazo definido; 
 
Controle de segurança mais eficiente 
Com a centralização das identidades em um repositório comum para todos os 
sistemas e recursos, é possível rastrear qualquer tentativa de acesso ou 
comportamento de autenticação de usuário, a fim de identificar possíveis 
ameaças à segurança da informação. 
 
AWS IAM 
O AWS Identity and Access Management (IAM), da plataforma Amazon Web 
Services, é um serviço que possibilita o gerenciamento de controles de 
segurança de forma centralizada a diversos recursos, serviços e APIs 
utilizados na AWS, através de uma interface de gerenciamento com as 
principais ferramentas da plataforma: o AWS Management Console, para 
gestão via web; o AWS Command Line Interface, para comandos de 
administração; e o Query APIs, que utiliza APIs específicas em formato 
HTTPS. 
Sendo um mecanismo de autorização, o AWS IAM possibilita o controle 
flexível sobre o uso de credenciais por diversos usuários, integrando-as às 
ferramentas de serviço de diretórios mais utilizadas no mercado, como o 
Active Directory, e a aplicação de recursos de segurança, como autenticação 
de múltiplos fatores, condições de acesso por lista de IPs ou credenciais 
temporárias para aplicativos móveis. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Na Tabela 1 temos os principais conceitos dentro do ambiente do AWS IAM: 
 
 
Tabela 1. Principais termos do AWS IAM 
 
DICA 
 
Como boa prática de segurança, o acesso à conta de usuário raiz não deve ser 
utilizado para tarefas de administração. Assim, é recomendável a criação de um 
usuário no AWS IAM para o gerenciamento. 
 
Os passos a seguir definem a sequência de análise realizada pela ferramenta 
AWS IAM, conforme sua arquitetura de funcionamento: 
 
 Uma entidade principal realiza uma solicitação pela interface de 
gerenciamento web, linha de comando ou API, com informações, como: a 
operação a ser executada; o recurso sobre o qual a operação terá efeito; as 
informações sobre o principal (usuário ou aplicação requerente); os dados da 
sessão, como data, hora, endereço IP, agente HTTP; e os dados do recurso, 
que auxiliam sua identificação na plataforma AWS – uma tag de instância do 
AWS EC2, por exemplo; 
 
 Após reunir essas informações de solicitação, a entidade principal realiza o 
processo de sua autenticação, seja através de usuário e senha, chaves de 
acesso ou autenticação multifatorial. A partir da validação da identificação do 
principal, é verificada a política de autorização para a solicitação enviada, a 
fim de determinar se a operação contida será permitida ou negada, de acordo 
com as permissões relacionadas à entidade; 
 
 Ao ser validada a solicitação pelo processo de autenticação e autorização, a 
operação definida como um serviço no recurso solicitado (criar, listar, 
atualizar, excluir) será aprovada na plataforma AWS, que executará a 
operação no recurso determinado. 
 
A Figura 3 mostra a interface de gerenciamento web do AWS IAM. 
 
 
 
Figura 3. Interface do AWS IAM. 
 
Os usuários do IAM são criados dentro da conta raiz da plataforma AWS, e 
cada um tem sua própria senha ou chave de acesso. Lembramos que um 
usuário é representado por um principal, que pode estar relacionado a uma 
pessoa ou aplicativo. Além de criar os usuários manualmente, o AWS IAM 
pode concebê-los sob o conceito de ―federação‖, com o qual os usuários 
existentes no sistema de identidade interno de uma corporação, como o Active 
Directory, podem ser sincronizados como usuários de recursos dentro da 
ferramenta IAM, estabelecida por relação de confiança por meio do serviço 
AWS Directory Service. No desenvolvimento de aplicativos móveis ou web, é 
possível utilizar a federação com provedores de identidade na internet, como o 
OpenID Connect (OIDC). 
 
Para criar um usuário e um grupo de exemplo através do console web do 
AWS IAM, vamos fazer os seguintes procedimentos: 
 
 Façamos o login em https://console.aws.amazon.com/iam/ como ―Usuário 
raiz da conta da AWS‖ com o seu e-mail e senha cadastrados na plataforma; 
 No painel que aparecerá, selecionemos no menu do lado esquerdo da tela a 
opção ―Usuários‖. Clique no botão de cor azul no topo da tela com a opção 
―Adicionar Usuário‖; 
 Em ―Nome de Usuário‖, digitemos ―Administrador‖. Em ―Tipo de acesso‖, 
vamos marcar a opção ―Acesso ao Console de Gerenciamento AWS‖. Na 
opção que surgir, em ―Senha do console‖, marquemos a opção ―Senha 
personalizada‖ e vamos inserir a nova senha da conta a ser criada. Deixemos 
desmarcada a opção ―Exigir redefinição de senha‖, para que não seja 
solicitada uma nova senha no próximo login. Cliquemos no botão ―Próximo: 
Permissões‖; 
 Na página ―Definir permissões‖, vamos deixar selecionada a opção 
―Adicionar usuário ao grupo‖ e cliquemos no botão ―Criar um grupo‖. Uma 
caixa suspensa será exibida com alguns modelos de políticas e a solicitação de 
um novo nome de grupo. Em ―Nome do grupo‖ vamos digitar 
―Administradores‖. Para definir o tipo de autorização para o grupo criado, 
digitemos no campo ―Filtrar políticas‖ a opção ―AdministratorAccess‖. Na 
lista que surgir, selecionemos a política denominada ―AdministratorAccess‖ e 
cliquemos no botão no canto inferior ―Criar um grupo‖; 
 De volta à página ―Adicionar usuário ao grupo‖, selecionemos o usuário a 
ser criado para o grupo ―Administradores‖. Feito isso, vamos clicar no botão 
―Próximo: Tags‖ 
 Em ―Adicionar tags‖, cliquemos no botão ―Próximo: Revisar‖; 
 Na tela seguinte, vamos verificar, em ―Detalhes do usuário‖, se as 
informações estão corretas. Cliquemos no botão ―Criar usuário‖. 
 
Ao voltar para o painel principal e clicar sobre o usuário criado, vemos as 
informações sobre ele na página ―Resumo‖, como na Figura 4: 
 
Figura 4. Resumo das informações do usuário do AWS IAM. 
Existem situações em que, em vez de criarmos um usuário para acesso como 
identidade de recursos, podemos atribuir uma identidade do tipo função. A 
identidade do tipo função do AWS IAM é bem parecida com um recurso de 
usuário, porém não é associada a uma pessoa de forma exclusiva. Com isso, 
uma função pode ter permissões atribuídas e ter a identificação através de 
credenciais temporárias para uma sessão. 
Quando tratamos das permissões no AWS IAM, elas são aplicadas através das 
políticas, sob as quais as autorizações são concedidas a um usuário ou grupo, 
e a política é anexada diretamente a esse tipo de objeto – política baseada em 
identidade. Os usuários podem, portanto, ser organizados em grupos dentro da 
ferramenta, a fim de herdarem as permissões atribuídas ao grupo em si, 
facilitandoo gerenciamento das políticas de autorizações. 
Dentre as políticas baseadas em identidade, podemos utilizar as principais: 
 
1. Gerenciadas pela Amazon Web Services: são as políticas criadas e 
administradas pela própria plataforma; 
 
2. Gerenciadas pelo cliente: são as políticas criadas e administradas pelo 
próprio usuário cliente da plataforma, que pode ser editada através do 
console de gerenciamento ou na criação de um documento de texto em 
formato JavaScript Object Notation (JSON) de troca de dados; 
 
3. Políticas em linha: são as políticas anexadas diretamente a um recurso. 
 
Para efeito de entendimento da aplicação de políticas no AWS IAM, vamos 
ver o conteúdo de um arquivo no formato JSON com um modelo de política: 
{ 
 "Version": "2012-10-17", 
 "Statement": { 
 "Effect": "Allow", 
 "Action": "dynamodb:*", 
 "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" 
 } 
} 
 
Nesse exemplo de política, vemos que a identidade do usuário, seja qual for a 
política aplicada, somente terá permissões de operações no recurso 
―dynamodb‖ (referente ao Amazon DynamoDB) na conta de usuário 
identificada como ―123456789012‖ da região ―us-east-2‖, na tabela 
denominada ―Books‖. 
Na interface de gerenciamento do AWS IAM, no menu esquerdo da página 
principal, temos o gerenciamento de políticas de permissões. Ao clicar nessa 
opção, podemos visualizar todas as políticas existentes na lista do lado direito 
do painel. Para verificar os dados de uma política, basta clicar sobre o nome 
dela. Vamos clicar, por exemplo, na política atribuída ao usuário criado, 
Administrador, com o nome ―AdministratorAccess‖. Será exibida a tela de 
resumo da política, com os respectivos serviços, níveis de acesso e recursos 
utilizados. Podemos também selecionar a visualização em lista, na opção 
―Resumo da política‖ ou em formato de arquivo JSON, através do botão ―{ } 
JSON‖, e, ainda, visualizar a utilização da política, suas versões e os eventos 
de acesso, através da aba ―Consultor de acesso‖. 
 
Na Figura 5 vemos um exemplo do resumo da política ―AdministratorAccess‖ 
na tela de gerenciamento do AWS IAM, exibindo as permissões com a 
visualização em formato JSON: 
 
Figura 5. Resumo de política no AWS IAM. 
 
AWS Command Line Interface 
O gerenciamento dos recursos na plataforma Amazon Web Services, pela 
interface de linha de comando, como sabemos, pode realizar toda a 
administração dos serviços na infraestrutura em nuvem, por um shell ou 
console de terminal Linux-macOS-Unix, ou pelo PowerShell ou prompt de 
comando Windows. Por meio dessa interação, podemos gerenciar todo o 
contexto de IaaS da AWS e automatizar tarefas de administração por scripts 
no interpretador de comandos. O AWS Command Line Interface (CLI) foi 
desenvolvido em uma linguagem de programação multiplataforma. 
 
 
 
CONTEXTUALIZANDO 
A ferramenta AWS Command Line Interface foi 
desenvolvida com a linguagem Python. 
Para ilustrar a utilização da ferramenta de linha de comando no acesso à 
AWS, vamos realizar um exemplo de instalação em uma máquina com a 
distribuição Linux Debian. Realizemos o procedimento a seguir como usuário 
root na máquina Linux, e instalemos a interface do AWS CLI com o comando 
apt-get, junto ao pacote dependência denominado ―groff‖: 
# apt-get install awscli 
 
Com a interface instalada, a configuração precisa estar relacionada à 
autenticação na AWS, utilizando as chaves de acesso. Para isso, precisamos 
localizar as informações das chaves de acesso, o ID da chave e o segredo, 
através da interface do AWS Management Console. Vamos executar os passos 
a seguir para levantar as informações sobre as chaves: 
 Façamos o login em https://console.aws.amazon.com como ―Usuário raiz da 
conta da AWS‖ com o seu e-mail e senha cadastrados na plataforma; 
 No painel que aparecer, no menu superior próximo ao símbolo de alertas 
com um ―sino‖, vamos clicar na flecha ao lado do ID do usuário raiz da conta 
AWS para abrir o menu suspenso, e selecionar ―Minhas credenciais de 
segurança‖. Será exibida uma mensagem de aviso de acesso, a qual podemos 
ignorar e fechar; 
 Na página ―Suas credenciais de segurança‖, selecionemos o menu ―Chaves 
de acesso‖, que são o ID da chave de acesso e a chave de acesso secreta. Em 
seguida, vamos clicar no botão ―Criar nova chave de acesso‖; 
 Será exibida a janela ―Criar chave de acesso‖, para realizar o download da 
chave de acesso e armazenar de forma segura o conteúdo. Para isso, vamos 
clicar no botão ―Fazer download do arquivo de chave‖. As informações 
contidas nesse arquivo serão necessárias para a configuração da autenticação 
através da linha de comando do AWS. O arquivo será salvo em formato CSV. 
 
 
Após o procedimento de levantamento das informações da chave de acesso na 
AWS, podemos executar o comando para configurar a autenticação da 
ferramenta AWS CLI, com o seguinte comando: 
# aws configure 
AWS Access Key ID [None]: XXXXXXXXXXXXXXXXX 
AWS Secret Access Key [None]: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
Default region name [None]: sa-east-1 
Default output format [None]: text 
 
Serão solicitadas as seguintes informações a serem preenchidas, conforme o 
comando anterior: AWS Access Key ID, presente no arquivo CSV; AWS 
Secret Access Key, também presente no arquivo CSV; Default Region Name 
(região padrão de autenticação na AWS), na qual vamos utilizar o valor ―sa-
east-1‖, que é a região de recursos na América do Sul; e Default output format 
(formato de saída das informações), na qual vamos utilizar o valor ―text‖. 
Todas as configurações realizadas são armazenadas, por padrão, em um 
diretório oculto na pasta base do usuário root, em /root/.aws/, em dois 
arquivos diferentes: no arquivo ―config‖ (configurações gerais) e no arquivo 
―credentials‖ (chaves de acesso). 
 
GERENCIAMENTO AWS EC2 
Com o intuito de descobrir as imagens disponíveis para a execução de novas 
instâncias, utilizamos a linha de comando do AWS: 
# aws ec2 describe-images 
 
Podemos visualizar a descrição das instâncias em execução em nossa conta 
AWS, utilizando o comando: 
# aws ec2 describe-instances 
 
Na Figura 6 vemos um exemplo de saída do comando para a listagem das 
instâncias virtuais no ambiente Amazon Elastic Compute Cloud (Amazon 
EC2), em formato JSON, utilizando a opção ―—output‖, para forçar outro tipo 
de saída, diferente do padrão texto definido nas configurações. 
 
Figura 6. Listagem de instâncias pelo AWS CLI. Fonte: Amazon Web Services. Acesso em: 05 
dez. 2019. 
Para a conexão com as instâncias de máquinas do Amazon EC2, precisamos 
utilizar o par de chaves para autenticação. Através da linha de comando 
podemos criar o par de chaves, pública e privada, com a seguinte opção: 
# aws ec2 create-key-pair --key-name minhachave.pem 
Será gerado o arquivo ―minhachave.pem‖ no diretório atual do usuário na 
máquina Linux. 
Para exibir a impressão digital de correspondência entre a chave privada que 
temos em nossa propriedade e a chave pública armazenada na AWS, 
executamos o comando: 
 
# aws ec2 describe-key-pairs --key-name minhachave.pem 
 
Podemos também executar a opção para iniciar uma instância no Amazon 
EC2, através da linha de comando: 
# aws ec2 run-instances --image-id ami-a1bf2ecd --instance-type 
t2.micro --key-name minhachave.pem 
 
São opções desse comando: 
 --image-id <id imagem>, que especifica o código da imagem no repositório 
AWS a ser utilizada. No exemplo, o código corresponde à imagem do S.O. 
Linux Ubuntu; 
 --instance-type <tipo instância>, que especifica o tipo de instância pay-per-
use do EC2. 
 
A fim de auxiliar a identificação das instâncias, podemos especificar tags para 
rotular a área de metadados do recurso de máquina virtual através da linha de 
comando: 
 
# aws ec2 create-tags --resources i-6700411c --tags 
Key=Nome,Value=MeuServer 
 
São opções desse comando: 
 
 --resources,que especificar o código do recurso que será rotulado com a tag 
(no exemplo, criando uma identificação para um recurso de instância); 
 --tags, que especifica o conjunto de tags, no formato ―Key,Value‖. 
 
Podemos parar a execução de uma instância com a opção ―stop-instances‖, 
com o comando: 
 
# aws ec2 stop-instances --instance-ids i-6700411c 
 
São opções desse comando: 
--instance-ids: código da instância que será parada. 
Para encerrar uma instância através da linha de comando, de forma definitiva, 
executamos opção: 
 
# aws ec2 terminate-instances --instance-ids i-6700411c 
 
É opção do comando: 
 --instance-ids: que é o código da instância que será finalizada. 
 
Pela linha de comando AWS, também podemos gerenciar os grupos de 
segurança para as instâncias. Por exemplo, para criar um grupo de segurança 
de regras de firewall para um Amazon Virtual Private Cloud (Amazon VPC) 
específico, podemos executar a opção a seguir: 
 
# aws ec2 create-security-group --group-name my-sec-grp --description 
"My security group" --vpc-id vpc-1a2b3c4d 
 
São opções desse comando: 
 --group-name, que especifica o nome do grupo de segurança; 
 --description, que especifica a descrição para o grupo de segurança; 
 --vpc-id, que especifica o ID do VPC correspondente. 
 
As informações sobre os grupos de segurança criados podem ser visualizadas 
através do comando: 
# aws ec2 describe-security-groups --group-ids <nome do grupo de 
segurança> 
 
É opção do comando: 
 --group-ids, que especifica o ID do grupo de segurança para o VPC. 
 
A Figura 7 mostra um exemplo de saída, em formato JSON, para o grupo de 
segurança criado no exemplo anterior, utilizando o ID do grupo de segurança: 
 
 
 
Figura 7. Listagem do grupo de segurança pelo AWS CLI. 
A fim de disponibilizar os serviços TCP/IP que serão permitidos para acesso 
via mundo externo nas instâncias em execução, podemos adicionar regras para 
autorizar o acesso às portas específicas, que serão requisitadas nas conexões 
de entrada. Para isso executamos o do comando a seguir: 
# aws ec2 authorize-security-group-ingress --group-id sg-993344f2 --
protocol tcp --port 22 --cidr 0.0.0.0/0 
 
São opções desse comando: 
 --group-id, que especifica o ID do grupo de segurança do VPC; 
 --protocol: que especifica o tipo de protocolo (TCP, UDP, ICMP); 
 --port, que especifica a porta do serviço TCP/IP; 
 --cidr, que especifica o intervalo de IPs. 
 
Na Figura 8 vemos um exemplo de atribuição de regra de firewall ao grupo de 
segurança criado para autorizar o acesso, através do serviço de SSH às 
instâncias para qualquer IP. 
 
 
Figura 8. Listagem de regra de firewall pelo AWS CLI. 
Para excluir um grupo de segurança, quando ele não estiver associado a 
nenhum recurso, basta executarmos o comando: 
# aws ec2 delete-security-group --group-id sg-993344f2 
 
GERENCIAMENTO AWS IAM 
Através da ferramenta AWS Command Line Interface, podemos realizar o 
gerenciamento de identidades do AWS IAM. Vamos adicionar um novo 
usuário com o seguinte comando: 
# aws iam create-user --user-name UserTeste 
 
São opções desse comando: 
--user-name: especificar o nome do usuário 
Também podemos criar um novo grupo com o seguinte comando: 
# aws iam create-group --group-name GrupoTeste 
 
É opção do comando: 
--group-name: especificar o nome do grupo 
 
Com isso, podemos inserir um usuário em um grupo do IAM com o comando: 
# aws iam add-user-to-group --user-name UserTeste --group-name 
GrupoTeste 
 
A fim de checar quais usuários fazem parte de um grupo, podemos executar a 
opção ―get-group‖, para exibir suas informações. A Figura 9 mostra um 
exemplo de execução para a visualização das propriedades do grupo criado: 
 
Figura 9. Listagem das informações de um grupo do IAM pelo AWS Command Line. 
Podemos listar as políticas criadas no IAM através do comando: 
# aws iam list-policies 
 
Para filtrar uma política, podemos usar o parâmetro ―query‖, fazendo 
referência ao nome de uma política. Por exemplo, para listar o ARN da 
política denominada ―PowerUserAccess‖, com o comando: 
 
# aws iam list-policies --query 
'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' 
SINTETIZANDO 
Vimos, nessa unidade, sobre a segurança no acesso ao ambiente de 
infraestrutura em nuvem, através da especificação dos mecanismos de 
controle de segurança da informação, com as principais formas de 
gerenciamento de recursos computacionais no modelo IaaS. Sua 
administração pode ser realizada tanto por interface web quanto por APIs em 
formato web. Todos os tipos de acesso devem ser gerenciados em relação aos 
pilares da segurança: confidencialidade, integridade e disponibilidade. A 
definição de uma política de senhas adequada, uma política de restrição de IPs 
de acesso para APIs, o uso de autenticação multifatorial, e a implantação de 
aplicações do tipo Cloud Access Broker Security, são formas de melhorar os 
controles de segurança na nuvem. 
Sobre a gestão de identidade e acesso, sua implementação vem sendo adotada 
para garantir a centralização do gerenciamento dos usuários e suas credenciais 
de login, a fim de otimizar os controles de segurança nesse aspecto e a 
definição de autorizações. A plataforma da Amazon possui o serviço do AWS 
Identity Access and Management (AWS IAM) para realizar esse formato de 
administração, utilizando o conceito de definição de identidades para serviços, 
usuários e grupos, a fim de facilitar a implementação de permissões de 
operação dos recursos. 
Para o gerenciamento dos recursos, como o EC2 e o IAM, é possível acessar 
uma interface de linha de comando, através da ferramenta Amazon Command 
Line, com a qual é possível realizar qualquer tipo de gerenciamento da conta 
na plataforma AWS e seus respectivos serviços.