AWS IAM Identity Center: do Básico ao Avançado

Luiz Machado

Luiz Machado

5 min read

1. Visão Geral do AWS IAM Identity Center

1.1 O que é?

O IAM Identity Center é um serviço gerenciado da AWS que permite:

  • Single Sign-On (SSO): Usuários fazem login por um único portal e têm acesso a múltiplas contas e aplicações (AWS e SaaS).
  • Gerenciamento Centralizado de Identidades: Criação e gestão de usuários e grupos em um diretório interno ou com integração a um provedor de identidade (IdP) externo, como Azure AD, Okta, etc.
  • Atribuição de Permissões: Associa perfis de permissão (IAM Roles e políticas) a usuários ou grupos, controlando exatamente o que cada pessoa pode fazer em cada conta AWS.

1.2 Diferenciação de Outros Serviços IAM

  • IAM (Identity and Access Management) é o serviço-base para gerenciamento de políticas, roles, usuários e grupos na conta AWS.
  • IAM Identity Center expande essa funcionalidade, oferecendo SSO entre múltiplas contas AWS e aplicativos, com uma experiência de autenticação simplificada.
  • Ele também permite configurações de federação com IdPs externos e uso de padrões como SAML 2.0 e SCIM (para provisionamento automatizado de usuários e grupos).

1.3 Casos de Uso

  • Ambientes Multi-conta: Muitas empresas utilizam AWS Organizations para gerenciar diversas contas. O IAM Identity Center permite gerenciar, de forma centralizada, quem acessa cada conta e com quais permissões.
  • Integração com Diretórios Corporativos: Empresas que já possuem diretório de usuários (ex.: Active Directory, Okta, Azure AD) podem sincronizar identidades e grupos para conceder ou revogar acesso de forma centralizada.
  • Acesso Simplificado a Aplicações SaaS: Além de contas AWS, o IAM Identity Center pode dar acesso a serviços de terceiros (Salesforce, Office 365, etc.) usando SAML ou OpenID Connect (OIDC).

2. Configurações Básicas

2.1 Ativando o IAM Identity Center

  1. Acesse o AWS Management Console.
  2. Vá em IAM Identity Center (pode estar listado como “AWS Single Sign-On” em algumas regiões antigas).
  3. Se for a primeira vez, clique em Enable IAM Identity Center.
  4. Escolha o modo de diretório:
    • IAM Identity Center directory (padrão) – gerencia usuários/grupos dentro do próprio serviço.
    • External identity provider – integra a um IdP existente via SAML 2.0 ou via AWS Directory Service (para Active Directory on-premises, por exemplo).

2.2 Criando Usuários e Grupos (modo interno)

  • Usuários: insira nome, e-mail, configuração de MFA (se desejado), etc.
  • Grupos: defina grupos como “DevOps”, “Financeiro”, “Segurança” e adicione usuários.
  • Provisionamento Manual: se você não tiver um IdP externo, pode criar usuários diretamente no IAM Identity Center.

2.3 Atribuindo Acesso a Contas AWS

  1. Vá em AWS Accounts no IAM Identity Center.
  2. Selecione a conta que deseja configurar.
  3. Clique em Assign Users or Groups.
  4. Selecione o usuário ou grupo e escolha uma role (ou crie uma nova) para determinar as permissões.
    • Exemplo: “PowerUserAccess” para times de DevOps; “ReadOnlyAccess” para auditoria, etc.

2.4 Portal de Acesso

  • Após configurar, cada usuário passa a usar um Portal SSO (por exemplo, https://<yourcompany>.awsapps.com/start) para fazer login.
  • Nesse portal, o usuário vê as contas AWS e aplicativos disponíveis. Com um clique, acessa os consoles sem precisar reinserir credenciais ou chaves.

3. Integração com Provedores de Identidade (IdP)

3.1 Benefícios

  • Provisionamento Automatizado (SCIM): quando um novo colaborador entra na organização (criado no IdP), ele é propagado automaticamente para o IAM Identity Center, evitando retrabalho manual.
  • Single Sign-On com MFA Central: A autenticação forte ocorre no IdP (por exemplo, Azure AD com MFA). Os usuários não precisam ter senhas separadas para o IAM Identity Center.
  • Revogação Imediata: Se o usuário for removido do IdP (ex.: demissão), seu acesso na AWS também é revogado.

3.2 Métodos de Integração

  1. SAML 2.0: A maioria dos IdPs, como Okta, Ping, Azure AD, ADFS, suportam SAML.
  2. SCIM: Para provisionamento automático de usuários e grupos.
  3. Azure AD: Integração nativa permite configurar o single sign-on e o provisionamento sem scripts adicionais, seguindo tutoriais oficiais da AWS e Microsoft.
  4. Okta: Parecido com Azure AD, com guias oficiais para SAML + SCIM.

3.3 Passo a Passo Simplificado (Exemplo Azure AD)

  1. No AWS IAM Identity Center, escolha “External identity provider” e selecione SAML 2.0.
  2. No Azure AD, configure uma aplicação corporativa SAML apontando para o endpoint do IAM Identity Center.
  3. Exporte o metadata e importe no IAM Identity Center.
  4. Habilite SCIM para provisionamento automático, copiando o token de provisão do IAM Identity Center para o Azure AD.
  5. Teste com um usuário de teste no Azure AD, e verifique se ele aparece no IAM Identity Center.

4. Funcionalidades Avançadas

4.1 Customização de Atribuição de Permissões

  • Permission Sets: São coleções de políticas IAM que definem permissões. Você as associa a usuários/grupos para determinadas contas.
    • Ex.: “DevOpsProdPermissionSet” com capacidade de criação e gerenciamento de recursos, mas sem poder deletar logs.
  • Políticas Avançadas: Combine políticas gerenciadas pela AWS com políticas personalizadas para granularidade extra (ex.: restringir acesso a buckets específicos no S3).

4.2 Configuração de MFA Reforçada

  • MFA no IdP Externo: Se estiver usando Okta ou Azure AD, a solução MFA do IdP gerencia a autenticidade.
  • MFA Interno: Se você estiver usando o diretório interno do IAM Identity Center, pode configurar MFA com base em aplicativos de autenticação (Google Authenticator, Authy, etc.).
  • Adaptive/Contextual MFA: Alguns IdPs suportam MFA adaptativo — solicitar MFA apenas se o usuário estiver fora da rede corporativa ou em locais suspeitos.

4.3 Auditoria e Logs

  • AWS CloudTrail: Registra eventos relacionados ao IAM Identity Center, como criação de permission sets, atribuição de grupos, tentativas de login, etc.
  • AWS CloudWatch Metrics/Logs: Podem ser utilizados para monitorar atividades e criar alarmes, por exemplo, se ocorrer falha de login repetidamente.
  • IdP Logs: Em integrações SAML, parte da auditoria também ocorre no IdP, registrando quem acessou quais aplicativos.

4.4 Rotação e Gerenciamento de Credenciais

  • Credenciais Temporárias: Quando um usuário acessa uma conta via IAM Identity Center, são usadas roles IAM com credenciais temporárias (STS).
  • Políticas de Sessão: É possível limitar a duração da sessão, forçando reautenticação após um período.
  • Chaves de Acesso: O IAM Identity Center também pode fornecer acesso programático (CLI) gerando credenciais temporárias para usuários, garantindo que não sejam necessárias credenciais de longa duração.

4.5 Provisionamento e Desprovisionamento (SCIM)

  • Se a sua organização usa um IdP compatível com SCIM 2.0, você pode automatizar:
    • Criação de Usuário: Sempre que um usuário for criado no IdP, ele é inserido no IAM Identity Center.
    • Atribuição a Grupos: Se o usuário for adicionado a um grupo “DevOps” no IdP, ele ganha acesso correspondente na AWS automaticamente.
    • Remoção: Se sair da empresa ou do grupo, o acesso é revogado.

5. Melhores Práticas

  1. Menor Privilégio: Crie permission sets específicos para cada função de trabalho, evitando conceder “AdministratorAccess” indiscriminadamente.
  2. Separação de Ambientes: Use diferentes permission sets para desenvolvimento, homologação e produção, garantindo que acesso irrestrito não vaze para produção.
  3. Forçar MFA: Se o IdP não estiver usando MFA, habilite MFA ao menos no IAM Identity Center para contas sensíveis.
  4. Política de Rotina de Acesso: Periodicamente revise quem tem acesso a quais contas/permission sets e remova privilégios obsoletos.
  5. Automação de Provisionamento: Sempre que possível, use SCIM para sincronizar usuários, reduzindo erros manuais.
  6. Governança Multi-conta: Se estiver usando AWS Organizations, habilite a delegação para que o IAM Identity Center gerencie todas as contas membro.

6. Conclusão

O AWS IAM Identity Center é uma peça-chave para empresas que desejam unificar a autenticação e autorização em múltiplas contas AWS e, muitas vezes, em dezenas de aplicativos SaaS. Ele simplifica o fluxo de login de usuários, reduz a complexidade de gerenciamento de credenciais e, ao mesmo tempo, fortalece a segurança graças a políticas de MFA e federação com provedores de identidade.

À medida que o ambiente se expande, as funcionalidades avançadas — como SCIM para provisionamento automático, permission sets personalizados, integração com diretórios corporativos e logs detalhados — tornam-se fundamentais para manter a produtividade dos usuários e a conformidade com padrões de segurança. Ao adotar as melhores práticas mencionadas, você garante uma implantação robusta e escalável, preparada para atender às necessidades de governança e controle de acesso da sua organização em longo prazo.

Recursos Adicionais

Read more