
? Sejam bem-vindos ao treinamento AWS Security Foundation!
Nesta primeira aula, faremos uma breve apresentação do curso e compartilharemos informações importantes sobre sua estrutura, objetivos e tópicos principais.
Além disso, você também conhecerá um pouco mais sobre o instrutor que estará com você nessa jornada.
Nosso objetivo aqui é alinhar expectativas, mostrar o caminho que vamos seguir e preparar você para aproveitar ao máximo o conteúdo.
Nesta aula, vamos apresentar os objetivos centrais do treinamento AWS Security Foundation. Nosso propósito principal é capacitar você com os conceitos fundamentais de segurança na nuvem AWS, estabelecendo uma base sólida, segura e escalável. Isso permitirá a construção de ambientes que minimizem riscos e reduzam impactos causados por configurações incorretas.
Além dos objetivos, também discutiremos os motivadores que levaram ao desenvolvimento deste curso, destacando os desafios reais enfrentados no dia a dia de ambientes em nuvem e a importância de adotar práticas de segurança desde as etapas iniciais de uma arquitetura AWS.
Boa aula, bons estudos e vamo que vamo!
Esta é uma aula introdutória fundamental para o sucesso no treinamento de segurança na AWS. Aqui, abordaremos todos os pré-requisitos essenciais que você deve dominar antes de avançar no curso.
Nosso objetivo é garantir que você tenha uma base sólida, pois os próximos módulos pressupõem que esses conhecimentos já estejam bem compreendidos e aplicados.
⚠️ Importante: Não avance para as próximas aulas sem ter total domínio dos pré-requisitos abaixo. Isso é crucial para seu bom aproveitamento no curso.
✅ Pré-requisitos obrigatórios:
Conclusão do treinamento "AWS, na prática"
Conhecimentos sobre computação em nuvem, especialmente AWS Cloud
Entendimento dos fundamentos da AWS:
Regiões, Zonas de Disponibilidade (AZs) e conceitos básicos de infraestrutura
Experiência com:
Criação e gerenciamento de contas AWS
Amazon EC2 (Elastic Compute Cloud)
Amazon VPC (Virtual Private Cloud)
IAM (Identity and Access Management)
Familiaridade com:
Sistemas operacionais Linux
Protocolos de rede, especialmente TCP/IP
Com todos esses conhecimentos em mãos, você estará preparado para mergulhar nos conceitos e práticas de segurança na AWS com confiança e eficiência.
Nesta aula inicial, vamos apresentar o cronograma completo do treinamento em Segurança na AWS, além de destacar os principais tópicos que serão abordados ao longo do curso.
Você terá uma visão clara dos módulos que compõem o conteúdo programático, entenderá a lógica de progressão das aulas e conhecerá os temas que serão aprofundados.
? Módulos que compõem o treinamento:
Introdução à Segurança na AWS
IAM (Identity and Access Management)
AWS Organizations
IAM Identity Center
Boas Práticas e Recomendações de Segurança
Avaliações de Segurança na AWS (Security Assessments)
Novos Updates e Funcionalidades
? Além disso, também vamos abordar:
O processo de atualização contínua do curso
Informações relevantes sobre certificações em segurança AWS
Detalhes sobre suporte ao aluno e recursos complementares
Essa aula é essencial para você se orientar no treinamento, entender o caminho que seguirá e se preparar para extrair o máximo de cada módulo.
Nesta aula, vamos abordar um dos conceitos mais importantes para quem trabalha com segurança na nuvem: o modelo de responsabilidade compartilhada da AWS.
Esse modelo define claramente quais aspectos da segurança são responsabilidade da AWS e quais são responsabilidade do cliente. Entender essa divisão é fundamental para aplicar boas práticas de conformidade e proteger seus ambientes na nuvem de forma eficaz.
Em resumo:
A segurança na AWS é uma responsabilidade compartilhada entre a AWS e o cliente.
A AWS é responsável pela segurança da nuvem — ou seja, pela infraestrutura física, pela camada de virtualização e pelos componentes do sistema operacional do host.
Já o cliente é responsável pela segurança na nuvem — como a configuração dos serviços, gerenciamento de acessos (IAM), proteção de dados e sistemas operacionais utilizados.
Compreender esse modelo ajuda a reduzir encargos operacionais, melhora a governança e garante o cumprimento de normas e políticas de segurança.
Chegamos ao nosso primeiro módulo técnico, e começamos com IAM (Identity and Access Management) — o serviço mais importante da AWS quando o assunto é segurança. E por que tanta ênfase no IAM?
Antes de tudo, é essencial entender o papel crítico que o IAM desempenha dentro do Control Plane da AWS — o plano de controle responsável por gerenciar recursos e operações em sua conta.
Nesta aula, você vai aprender:
O que é o Control Plane e por que ele é tão sensível;
A relação direta entre IAM e a superfície de ataque na nuvem;
Por que o IAM é o ponto central de governança, controle e mitigação de riscos;
Estudo de casos reais de incidentes de segurança relacionados ao IAM e falhas no Control Plane.
Ao final da aula, você entenderá claramente por que dominar o IAM é o primeiro passo para proteger qualquer ambiente AWS.
Trabalhar com IAM na AWS, na prática, significa trabalhar com políticas escritas em JSON. Por isso, compreender a estrutura, sintaxe e intenção dessas políticas é fundamental para configurar permissões de forma segura e eficaz.
Nesta aula, vamos explorar:
A estrutura básica de uma política IAM em JSON
Os componentes essenciais: Version, Statement, Effect, Action, Resource, Condition
Boas práticas ao escrever ou revisar políticas
Erros comuns e como evitá-los
Exemplos reais de políticas utilizadas no dia a dia
O objetivo é garantir que você se sinta confiante ao ler, interpretar e criar políticas IAM, compreendendo os impactos que cada linha pode ter no acesso e na segurança dos seus recursos.
Provavelmente você já se deparou com uma política de identidade ou uma política de recurso na AWS — e, se ainda não viu, não se preocupe! Esta aula vai te guiar pelos dois conceitos de forma simples e prática (se já viu, vem também ?).
Nesta aula, vamos explorar:
O que são políticas de identidade e políticas de recursos
Como cada tipo de política é construído e aplicado
As diferenças fundamentais entre elas
Quando usar uma ou outra — ou ambas
Exemplos práticos para entender seu comportamento em diferentes cenários
Entender esses dois tipos de política é essencial para controlar o acesso de forma precisa e segura dentro da AWS. Vamos juntos desvendar esse conceito!
Em um ambiente AWS, políticas de acesso são fundamentais para garantir segurança e governança. No entanto, existem diferentes tipos de políticas, cada uma com seu papel específico — e saber diferenciá-las é essencial para evitar falhas de configuração e manter o ambiente sob controle.
Nesta aula, você vai aprender:
Os principais tipos de políticas na AWS, incluindo:
Políticas de Identidade (IAM Policies)
Políticas de Recursos (Resource-based Policies)
Boundaries (Políticas de Limite de Permissões)
Service Control Policies (SCPs)
Políticas baseadas em sessão (Session Policies)
Quando e onde cada uma é aplicada
Relações e diferenças entre os tipos de políticas
Como elas influenciam no processo de autorização
Além disso, vamos apresentar um fluxograma de troubleshooting de políticas AWS — uma ferramenta prática para diagnosticar e resolver problemas de permissão, seguindo uma ordem lógica de interpretação de políticas.
Ao final desta aula, você terá uma visão clara e abrangente do ecossistema de políticas da AWS, o que permitirá tomar decisões mais seguras e eficientes ao configurar acessos.
Nesta aula, vamos estudar um tipo específico — e muitas vezes subestimado — de política: as Permissions Boundaries.
Diferentemente de outras políticas na AWS, Permissions Boundaries não concedem acesso por si só. Em vez disso, elas delimitam o escopo máximo de permissões que uma entidade (como um usuário ou função) pode ter, mesmo que outras políticas permitam mais.
Você vai aprender:
O que são Permissions Boundaries
Como elas funcionam na prática
Quando e por que utilizá-las
A diferença entre conceder e limitar acesso
Exemplos práticos de aplicação em ambientes corporativos com múltiplos administradores ou automações
Ao final da aula, você entenderá como utilizar Permissions Boundaries para reforçar a governança e prevenir configurações excessivamente permissivas, mesmo em cenários complexos.
Se você ainda não esbarrou com um deny explícito na AWS, não se preocupe: é só uma questão de tempo.
O explicit deny representa a negação mais poderosa dentro do mecanismo de autorização da AWS — e sobrepõe qualquer permissão concedida, independentemente da política.
Nesta aula, vamos explorar:
A diferença entre deny implícito e deny explícito
Como o explicit deny afeta a avaliação de permissões
Cenários comuns onde o deny explícito aparece
Como identificar, diagnosticar e contornar problemas relacionados
Boas práticas para usar deny explícito com responsabilidade
Entender como o deny explícito funciona é essencial para evitar frustrações em ambientes complexos e garantir que sua estratégia de controle de acesso esteja sólida e previsível.
Nesta aula, vamos explorar duas estratégias fundamentais de controle de acesso dentro da AWS:
? RBAC (Role-Based Access Control)
? ABAC (Attribute-Based Access Control)
Ambas são abordagens válidas e poderosas para definir quem pode fazer o quê em seus ambientes de nuvem, mas cada uma tem características, vantagens e cenários de uso distintos.
Você aprenderá:
Como funciona o RBAC: controle baseado em funções
Como funciona o ABAC: controle baseado em atributos (tags, por exemplo)
As diferenças práticas entre os dois modelos
Quando utilizar RBAC, ABAC ou uma combinação de ambos
Exemplos reais de aplicação em ambientes corporativos
Benefícios e desafios de cada abordagem
Ao final da aula, você estará preparado para escolher e aplicar a melhor estratégia de controle de acesso conforme a complexidade e os requisitos do seu ambiente AWS.
Nesta aula, vamos colocar em prática a estratégia padrão de controle de acesso da AWS conhecida como RBAC (Role-Based Access Control) — ou controle de acesso baseado em funções.
O RBAC é amplamente utilizado na AWS por sua simplicidade e clareza: permissões são atribuídas com base nas funções que os usuários ou serviços desempenham.
Você aprenderá:
Como estruturar acessos com base em funções (roles)
A diferença entre usuários, grupos e roles no contexto RBAC
Como criar e associar permissões a roles IAM
Cenários comuns de uso de RBAC na AWS
Boas práticas para organização e escalabilidade de permissões
Ao final da aula, você estará apto a implementar RBAC corretamente em seus ambientes AWS, garantindo controle de acesso claro, seguro e fácil de manter.
Nesta aula, vamos explorar de forma 100% prática a estratégia ABAC (Attribute-based Access Control) — uma abordagem poderosa para gerenciar acessos dinâmicos na AWS com base em atributos, como tags.
Ao contrário do RBAC, que associa permissões a funções específicas, o ABAC permite criar políticas mais flexíveis e escaláveis, controlando acessos com base em valores atribuídos a usuários, recursos e condições.
Você aprenderá:
O que é ABAC e como ele se diferencia do RBAC
Como aplicar tags em usuários, roles e recursos
Como escrever políticas IAM baseadas em atributos
Exemplos práticos de uso do ABAC em ambientes com múltiplas equipes ou contas
Cuidados e boas práticas ao implementar ABAC
Com ABAC, você terá mais controle e flexibilidade para escalar o gerenciamento de permissões de forma inteligente, especialmente em ambientes com alta complexidade e mudança constante.
Após explorarmos as estratégias RBAC (Role-Based Access Control) e ABAC (Attribute-Based Access Control) — tanto na teoria quanto, na prática — chegou o momento de responder à pergunta inevitável:
Afinal, qual modelo usar?
E, como você provavelmente já suspeita... a resposta não é tão simples assim ?
Nesta aula, vamos discutir:
Vantagens e limitações de RBAC e ABAC
Critérios para escolha: tipo de ambiente, escalabilidade, governança, automação, compliance
Cenários ideais para cada modelo
Quando combinar ambas as abordagens para obter o melhor dos dois mundos
Casos de uso reais e recomendações de boas práticas
Ao final da aula, você terá clareza sobre como tomar decisões estratégicas na definição de controle de acesso em seu ambiente AWS, com base em necessidades reais e escalabilidade futura.
Nesta aula, vamos iniciar o trabalho com um dos recursos mais importantes do IAM: as Roles (funções).
As IAM Roles são uma solução recomendada para autenticação de aplicações, serviços, contas e outras identidades que precisam acessar recursos da AWS de forma segura — sem depender de credenciais permanentes.
Você vai aprender:
O que é uma IAM Role e como ela se diferencia de um usuário do IAM
Como as Roles permitem acesso temporário e controlado a recursos
Casos de uso comuns:
EC2 acessando S3
Lambda acessando DynamoDB
Integrações entre contas AWS (cross-account access)
Por que as IAM Roles são mais seguras e recomendadas do que usuários IAM com credenciais fixas
? Spoiler: se você ainda usa usuários IAM com access keys... está na hora de mudar!
Essa aula marca o início de uma transição importante: abandonar usuários com credenciais fixas e adotar uma abordagem segura, moderna e alinhada às melhores práticas da AWS.
Uma das grandes vantagens das IAM Roles é a capacidade de gerar e reciclar automaticamente credenciais temporárias, sem intervenção humana. Isso é possível graças ao AWS Security Token Service (STS) — o serviço que permite assumir roles com segurança e duração controlada.
Nesta aula, você vai aprender:
O que é o AWS STS (Security Token Service)
Como o STS emite credenciais temporárias (Access Key, Secret Key e Session Token)
Como as IAM Roles utilizam o STS para fornecer acesso dinâmico a recursos
Vantagens de usar credenciais temporárias (segurança, automação, controle de expiração)
Casos de uso práticos:
Acesso federado
Assunção de roles entre contas
Aplicações e serviços com rotação automática de credenciais
Ao final da aula, você entenderá como o STS atua nos bastidores para tornar o uso de IAM Roles seguro, escalável e alinhado às boas práticas de segurança em nuvem.
Antes de começarmos a trabalhar com IAM Roles na prática, faremos um breve tour pela console web da AWS para entender onde e como essas funções são gerenciadas.
Nesta aula, vamos:
Navegar pela seção de IAM Roles na AWS Console
Identificar os principais elementos da interface:
Criação de uma Role
Tipos de entidades que podem assumi-la
Políticas associadas
Trust relationships
Detalhes sobre sessões e credenciais temporárias
Explorar exemplos de Roles criadas automaticamente por serviços (como EC2, Lambda, etc.)
Conhecer os caminhos mais comuns para gerenciar e editar Roles com segurança
Essa introdução visual vai te auxiliar a se familiarizar com o ambiente da console, facilitando a execução das atividades práticas nas próximas aulas.
Agora que já conhecemos os diferentes tipos de IAM Roles, é hora de mergulhar em um dos tipos mais utilizados e fundamentais em ambientes AWS: a Service Role.
As IAM Service Roles são utilizadas para delegar permissões a serviços da AWS (como EC2, Lambda, ECS, entre outros), permitindo que esses serviços executem ações em nome do usuário com segurança e controle.
Nesta aula, você vai aprender:
O que é uma IAM Service Role e como ela funciona
Quais serviços da AWS normalmente utilizam Service Roles
Como criar e associar uma Service Role corretamente
A importância da trust policy (política de confiança)
Boas práticas de uso em ambientes automatizados ou de produção
Ao final da aula, você entenderá por que a IAM Service Role é indispensável no dia a dia de quem trabalha com a AWS — e como utilizá-la de forma segura, eficiente e alinhada às boas práticas.
Se você ainda não precisou fazer integrações entre contas AWS diferentes, é só questão de tempo. Situações de acesso entre contas são comuns em ambientes multi-conta organizados por equipes, projetos ou estruturas de governança como o AWS Organizations.
Nesta aula, vamos aprender a forma recomendada, segura e escalável de fazer isso: utilizando uma IAM Role com trust entre contas — em vez de usuários programáticos.
Você vai aprender:
O que é e quando usar uma Cross-Account Role
Como funciona a relação de confiança (trust policy) entre contas
Passo a passo para:
Criar uma role em uma conta “alvo”
Permitir que outra conta “origem” a assuma
Testar o acesso de forma prática e segura
Boas práticas para limitar escopo e riscos
Casos de uso comuns: auditoria, pipelines CI/CD, automações centralizadas, etc.
Ao final da aula, você estará apto a configurar acessos entre contas AWS usando IAM Roles, com segurança e alinhado às boas práticas da nuvem.
Ao trabalhar com IAM Roles, especialmente em cenários de cross-account access, é essencial entender um dos problemas mais conhecidos e perigosos nesse contexto: o Confused Deputy.
Esse ataque ocorre quando uma entidade mal-intencionada induz um serviço confiável da AWS a agir em seu nome, acessando recursos ou executando ações sem a devida autorização. Em outras palavras, o "substituto" (deputy) é confundido e acaba atuando por quem não deveria.
Nesta aula, você vai aprender:
O que é o problema do Confused Deputy
Como ele pode acontecer dentro da AWS, especialmente com IAM Roles mal configuradas
Como o uso incorreto de trust policies e a ausência de restrições pode expor suas roles
Estratégias de mitigação:
Uso de condition keys como aws:SourceArn e aws:SourceAccount
Restrições específicas em trust relationships
Boas práticas de segurança em roles cross-account
Ao final da aula, você entenderá como evitar esse tipo de ataque e proteger suas IAM Roles com configurações bem definidas e seguras.
Esta é, sem dúvidas, uma das aulas mais importantes de todo o treinamento.
O conceito de Least Privilege — ou Princípio do Mínimo Privilégio — será repetido inúmeras vezes ao longo do curso, e com razão: ele é a base de qualquer arquitetura segura em nuvem.
Nesta aula, você vai entender:
O que é o Least Privilege e por que ele é tão crucial
Os riscos reais de não aplicá-lo (com exemplos de incidentes comuns)
Como permissões excessivas comprometem não apenas a segurança, mas também a governança e conformidade
Casos práticos de violação do princípio e suas consequências
Como a AWS facilita a aplicação desse conceito por meio de ferramentas como:
Políticas gerenciadas com escopo restrito
Conditions nas políticas
IAM Access Analyzer (pré-visualização de permissões)
A partir desta aula, você será constantemente lembrado de aplicar o Least Privilege em todas as decisões relacionadas a permissões, pois excesso de privilégio é a brecha mais comum — e mais evitável.
Em algum momento, você certamente já recebeu solicitações para liberar mais permissões do que o necessário para uma identidade — seja um usuário ou uma role do IAM. O problema? Muitas dessas permissões nunca são utilizadas, criando brechas silenciosas no ambiente.
Mas como resolver isso de forma prática e segura?
Nesta aula, vamos explorar o IAM Access Advisor, uma funcionalidade que permite:
Visualizar quais serviços AWS foram acessados por uma entidade IAM nos últimos 400 dias
Identificar permissões ociosas, ou seja, que foram concedidas, mas nunca utilizadas
Tomar decisões embasadas para revogar acessos desnecessários com confiança
Você aprenderá a:
Navegar pelo Access Advisor dentro da console IAM
Interpretar corretamente os dados apresentados
Usar essas informações para aplicar o Least Privilege na prática
Integrar essa análise com revisões periódicas de segurança e compliance
Benefícios práticos:
✅ Redução de superfície de ataque
✅ Melhoria na governança de acesso
✅ Alinhamento com práticas recomendadas de segurança da AWS
“De graça até injeção na testa” — com certeza você já ouviu essa expressão. Mas será que tudo é mesmo de graça? Posso garantir que não, nem tudo.
Na AWS, existem vários serviços categorizados como Free Tier Ever — ou seja, totalmente gratuitos, 0800, sem custo algum. Mesmo assim, muitas pessoas acabam não aproveitando esses recursos (spoiler: no nosso curso, vamos explorar vários deles).
Um desses serviços é o Access Analyzer, que oferece funcionalidades gratuitas no Free Tier, permitindo fazer análises detalhadas de usuários e Roles para ajudar você a criar políticas focadas no princípio do mínimo privilégio e evitar que seus recursos fiquem expostos publicamente sem necessidade.
? Importante: o Access Analyzer possui recursos gratuitos limitados no Free Tier, mas funcionalidades mais avançadas, como análise contínua e arquivamento, podem gerar custos adicionais. Portanto, é fundamental entender esses limites para usar o serviço de forma consciente e eficiente.
Nesta aula, vamos começar a desbravar esse tema, fazendo uma introdução para entender quais são os benefícios reais que o Access Analyzer traz para o nosso dia a dia — especialmente para manter a segurança e o controle de acessos no seu ambiente AWS.
O treinamento ainda nem havia sido lançado, e a AWS já lançou uma atualização interessante que impacta diretamente nosso conteúdo. E, como de costume, estou trazendo essa novidade aqui para vocês em primeira mão! ?
Fiquem à vontade para tirar dúvidas ou comentar — é só chamar!
Nesta aula, daremos os primeiros passos com o IAM Access Analyzer, realizando sua configuração inicial. Vamos explorar como ativar o serviço, configurar os analisadores e preparar o ambiente para começar a identificar possíveis exposições de recursos ou permissões excessivas.
Um dos recursos mais úteis do IAM Access Analyzer é a validação de políticas IAM. Ao criar ou editar políticas dentro da AWS, o Access Analyzer pode ser ativado para fornecer recomendações de segurança em tempo real, alertas sobre erros de sintaxe e avisos sobre permissões excessivas ou potenciais exposições públicas.
Nesta aula, vamos explorar esse recurso na prática, entendendo como interpretar as sugestões, ajustar nossas políticas e garantir que elas sigam boas práticas — sempre alinhadas ao princípio do Least Privilege.
Outra funcionalidade extremamente útil do IAM Access Analyzer é a geração automática de políticas baseadas em atividades reais, observadas por meio dos logs do AWS CloudTrail.
Com base nas ações registradas nos logs, o Access Analyzer consegue sugerir políticas mínimas que refletem exatamente o que uma entidade (usuário, role, etc.) utilizou — evitando permissões excessivas ou desnecessárias.
Nesta aula, faremos um laboratório prático para entender como esse recurso funciona na prática, explorando o processo de geração da política e como ajustar os detalhes conforme o contexto.
⚠️ Importante: Estudaremos o CloudTrail com mais profundidade ao longo do curso, mas aqui já faremos uma introdução aplicada ao nosso cenário de segurança.
Nesta aula, vamos explorar uma das funcionalidades mais importantes do IAM Access Analyzer: a monitoração de recursos.
O serviço permite identificar, de forma proativa, se recursos da sua conta (como buckets S3, funções Lambda, chaves KMS, entre outros) estão expostos publicamente ou compartilhados com entidades externas, como contas de terceiros, organizações ou qualquer usuário da internet.
Veremos como o Access Analyzer realiza essa verificação automaticamente e como interpretar os achados (findings) para manter um ambiente mais seguro, controlado e aderente às boas práticas de segurança.
Já vimos que o IAM Access Analyzer gera diversos findings ao identificar potenciais exposições ou acessos indesejados a recursos. No entanto, em alguns casos, esses achados podem ser falsos positivos ou situações previamente avaliadas e consideradas aceitáveis para aquele contexto.
Para evitar que esses findings voltem a aparecer ou poluam a análise, podemos arquivá-los manualmente. O problema? Em ambientes maiores, esse processo se torna impraticável.
Nesta aula, veremos como criar regras automáticas de arquivamento de findings com base em critérios específicos (como tipo de recurso, condição de acesso ou entidades envolvidas), mantendo o ambiente monitorado, mas limpo e organizado.
Chegamos ao final do nosso estudo sobre o IAM Access Analyzer, uma ferramenta fundamental para manter a segurança e o controle de acessos no ambiente AWS.
Nesta aula faremos uma recapitulação dos principais conceitos abordados, revisando como o Access Analyzer pode ser utilizado para validar políticas, monitorar exposições, gerar políticas baseadas em uso real e automatizar o arquivamento de findings.
Também destacaremos as melhores práticas para incorporar esse serviço ao seu fluxo operacional, garantindo um ambiente seguro, eficiente e aderente ao princípio do mínimo privilégio.
Você já precisou gerar um relatório completo com todas as credenciais do IAM e suas particularidades? Se já, sabe como pode ser trabalhoso coletar essas informações manualmente, item por item, acessando cada usuário.
Nesta aula, vamos aprender como gerar relatórios de credenciais do IAM de forma simples, rápida e eficiente, utilizando as ferramentas que a AWS oferece para facilitar essa tarefa, economizando tempo e evitando erros.
Além das ferramentas oficiais da AWS, existem soluções open source que ajudam a criar e validar políticas IAM de forma eficiente, sempre aplicando o princípio do mínimo privilégio.
Nesta aula, apresentaremos o Parliament, uma ferramenta desenvolvida pela comunidade em Python, que permite analisar e validar políticas IAM, identificando erros comuns e potenciais riscos.
Vamos entender como essa ferramenta funciona, quais os benefícios que pode trazer ao seu processo de desenvolvimento de políticas e como utilizá-la como complemento para fortalecer a segurança do seu ambiente AWS.
Além do Parliament, outra ferramenta muito útil para garantir o princípio do mínimo privilégio nas suas políticas IAM é o Cloudsplaining.
Trata-se de uma ferramenta open source que realiza uma análise profunda das permissões em sua conta AWS, identificando riscos, permissões excessivas e potenciais problemas de segurança nas políticas IAM.
Nesta aula, você conhecerá o Cloudsplaining, aprenderá como utilizá-lo para auditar suas políticas de forma prática e como interpretar seus relatórios para aprimorar a segurança do seu ambiente AWS.
E seguimos firmes na nossa saga para alcançar o mínimo privilégio com segurança e eficiência! Ferramentas não faltam para ajudar você a identificar, analisar e corrigir permissões excessivas no seu ambiente AWS — e nesta aula, vamos conhecer mais algumas delas.
Vamos explorar novas opções práticas que complementam o uso do IAM Access Analyzer, Parliament e Cloudsplaining, ajudando a fortalecer ainda mais sua estratégia de segurança.
Prepare-se para aprender a usar esses recursos no dia a dia, garantindo controle, compliance e proteção para suas contas e aplicações na nuvem.
Steampipe é mais uma ferramenta fantástica que veio para facilitar a vida de quem trabalha com segurança e governança na AWS. Ela permite consultar dados da sua infraestrutura AWS (e de muitos outros provedores) usando SQL, trazendo uma abordagem inovadora e muito prática para auditoria, monitoramento e análise.
Nesta aula introdutória, faremos um overview do Steampipe, seus principais benefícios, casos de uso e porque vale a pena dedicar um módulo inteiro para explorá-la com detalhes em nosso curso.
Prepare-se para descobrir como o Steampipe pode transformar sua forma de gerenciar e auditar ambientes em nuvem!
Chegamos ao final de nosso primeiro módulo técnico. Foram mais de 8 horas de muito conteúdo técnico de extrema importância para nossa fundação de nuvem AWS.
E para fecharmos com chave de ouro, nesta aula, faremos uma espécie de revisão, trazendo as considerações finais e boas práticas sobre o serviço do IAM.
O AWS Organizations é um serviço gratuito que permite gerenciar múltiplas contas AWS de forma centralizada, utilizando uma conta principal (master). Com ele, é possível aplicar políticas, gerenciar permissões, consolidar faturamento e simplificar a governança entre as contas da sua organização.
Nesta aula introdutória, vamos nivelar o conhecimento sobre o AWS Organizations, abordando conceitos-chave, arquitetura e principais funcionalidades, para que você esteja pronto para avançar com confiança no treinamento.
Após a introdução realizada na aula anterior sobre o AWS Organizations, nesta aula faremos um overview detalhado sobre o processo de implementação deste serviço. Abordaremos todas as etapas preparatórias essenciais para garantir uma implantação correta e eficiente.
Prepare-se para entender o passo a passo necessário antes de iniciar a configuração do AWS Organizations e evitar erros comuns. Segure a ansiedade e acompanhe cada detalhe para tirar o máximo proveito dessa ferramenta poderosa!
Antes de avançarmos para os próximos tópicos, nesta aula vamos abordar boas práticas essenciais para aplicar em suas contas AWS. Essas recomendações são baseadas tanto na documentação oficial da AWS quanto na minha experiência prática de 9 anos trabalhando com ambientes de nuvem AWS.
Lembre-se: boas práticas são guias para melhorar segurança e eficiência, mas não são regras absolutas — você sempre deve adaptar conforme a realidade do seu ambiente.
Agora que já vimos as boas práticas essenciais, é hora de colocar a mão na massa! Nesta aula, faremos a ativação inicial do serviço AWS Organizations para estruturar e gerenciar suas contas de forma centralizada.
Vamos passar pelo passo a passo para criar sua organização, configurar a conta master e preparar o ambiente para as próximas etapas do treinamento.
Unidades Organizacionais (OUs) são essenciais para estruturar e facilitar o gerenciamento das suas contas dentro do AWS Organizations.
Nesta aula, com base nas boas práticas apresentadas, vamos criar uma estrutura de OUs que servirá como base para o restante do treinamento, garantindo uma organização clara, segura e eficiente do seu ambiente AWS.
Nesta aula, aprenderemos como convidar contas AWS existentes para fazerem parte da nossa organização no AWS Organizations. É importante lembrar que as contas a serem convidadas precisam existir previamente e estar fora da organização.
Vamos explorar o passo a passo para enviar convites, acompanhar o status e gerenciar as contas membro, garantindo um ambiente organizado e seguro.
Na aula anterior, aprendemos a convidar contas já existentes para fazer parte da organização AWS. Agora, vamos avançar e ver como criar uma nova conta membro diretamente pelo serviço AWS Organizations.
Você verá o passo a passo para criar a conta, configurar as permissões iniciais e integrar essa conta automaticamente à sua organização, simplificando o gerenciamento e a governança de múltiplas contas.
Na aula passada, realizamos o processo de criação de uma nova conta AWS através do AWS Organizations. Vimos assim, que, quando este processo é criado, não temos acesso à senha de root. Assim sendo, nesta aula, veremos o processo de recuperação da senha de root criada anteriormente.
Quando criamos uma nova conta usando o AWS Organizations, o sistema automaticamente cria uma Role do IAM que permite o gerenciamento e acesso seguro entre as contas da organização. Nesta aula, vamos entender em detalhes como esse processo acontece e realizar um laboratório prático para ver essa Role em ação.
Já sabemos que o AWS Organizations oferece um gerenciamento centralizado das contas membros dentro de uma organização. Porém, nem todos os serviços da AWS podem ser gerenciados diretamente via Organizations. Nesta aula, conheceremos a lista oficial dos serviços suportados para gerenciamento centralizado, destacando quais deles são relevantes para nossa jornada. Embora não possamos cobrir todos em detalhes, abordaremos os principais ao longo deste módulo e dos próximos.
O Access Analyzer já é um serviço conhecido em nosso treinamento. No entanto, quando o estudamos anteriormente, observamos que seu gerenciamento era realizado de forma descentralizada, o que se torna inviável em ambientes multi-account.
Por isso, o primeiro serviço que veremos com integração ao AWS Organizations é o IAM Access Analyzer, permitindo que o gerenciamento do ambiente seja feito de forma centralizada, a partir de uma conta da organização, melhorando significativamente a governança e a visibilidade sobre permissões e acessos.
O AWS CloudTrail é popularmente conhecido como o “dedo duro” da AWS — e por um bom motivo. Esse serviço tem como principal finalidade monitorar, registrar e disponibilizar informações sobre todas as chamadas de API realizadas na sua conta AWS. Isso inclui ações executadas via Console de Gerenciamento, CLI, SDKs ou outras ferramentas que interajam com os serviços da AWS.
Cada atividade é registrada em eventos imutáveis, permitindo auditorias detalhadas, investigações de incidentes, análises de segurança e até mesmo a correlação com outras ferramentas, como AWS Config e Amazon CloudWatch.
A partir desta aula, vamos iniciar nosso estudo sobre esse serviço essencial para qualquer ambiente de nuvem seguro e rastreável, destacando seu papel fundamental na governança, conformidade e detecção de atividades suspeitas.
Após uma introdução teórica sobre o Cloudtrail, entenderemos agora como funciona este serviço dentro da AWS, detalhe por detalhe.
Nesta aula, vamos explorar arquiteturas recomendadas para o uso do AWS CloudTrail, independentemente do porte ou modelo da sua organização — seja em ambientes single-account ou multi-account com AWS Organizations.
Discutiremos boas práticas sugeridas pela AWS, como a centralização de logs, uso de trails organizacionais, integração com serviços como o Amazon S3, CloudWatch Logs e EventBridge, além de configurações voltadas para segurança, auditoria e conformidade.
Lembre-se: o que veremos aqui são RECOMENDAÇÕES baseadas em cenários amplamente utilizados. Você é livre para adaptar ou aplicar de outra forma — sob sua responsabilidade ?.
Depois das introduções realizadas sobre o AWS CloudTrail, nesta aula daremos continuidade com um overview do serviço, trazendo uma visão geral de seus principais componentes, funcionalidades e objetivos.
A proposta aqui é reforçar os conceitos centrais antes de iniciarmos, de fato, as configurações práticas dentro da nossa organização. Esse passo é importante para garantir que todos estejam alinhados sobre o funcionamento básico do CloudTrail e preparados para a próxima etapa.
Então, espero vocês nesta aula!
Nesta aula, daremos início à configuração do serviço, começando por um setup tradicional — o ponto de partida essencial para qualquer ambiente. A partir dele, vamos evoluir gradualmente, incrementando a configuração com recursos adicionais e práticas recomendadas para ambientes mais seguros e escaláveis.
? Lembre-se: todos os links e materiais de apoio estão disponíveis na descrição do vídeo. Sinta-se à vontade para explorá-los e aprofundar seus estudos! ?
Agora que já vimos, na prática, como configurar uma trail do AWS CloudTrail em uma única conta, nesta aula avançaremos um passo importante: vamos aprender a configurar uma trail em modo organizacional, ou seja, aplicável a todas as contas membros da sua organização AWS.
Essa abordagem é altamente recomendada pela AWS, pois centraliza os logs de auditoria, facilita o monitoramento e reforça a governança em ambientes com múltiplas contas.
O Amazon Athena é um serviço da AWS que permite realizar consultas SQL diretamente em dados armazenados no Amazon S3, sem necessidade de mover ou carregar os dados para outro lugar.
Nesta aula, vamos explorar um exemplo prático de configuração do Athena para interpretar os logs gerados pela trail organizacional do CloudTrail que configuramos anteriormente. A ideia é tornar a análise desses logs muito mais amigável e acessível, facilitando a extração de informações valiosas para auditoria, monitoramento e compliance.
Você verá como criar tabelas no Athena, estruturar consultas e obter insights de forma rápida, usando um ambiente SQL familiar e intuitivo.
Nesta reta final, vamos explorar as políticas disponíveis dentro do AWS Organizations, um componente fundamental para gerenciar e governar múltiplas contas AWS de forma centralizada.
Basicamente, existem quatro tipos principais de políticas:
Políticas de Backup (Backup Policies)
Políticas de Inteligência Artificial (AI Policies)
Políticas de Tags (Tag Policies)
E, claro, as tão aguardadas SCPs – Service Control Policies, que oferecem controle granular sobre quais serviços e ações as contas membros podem executar.
A partir desta aula, estudaremos detalhadamente cada uma delas, exceto as políticas de IA, que apenas mencionaremos para conhecimento, pois não entraremos em profundidade neste momento.
Como mencionado na aula anterior, começaremos a estudar cada uma das políticas do AWS Organizations separadamente. E a primeira delas será a política relacionada à Inteligência Artificial — o grande destaque do momento.
Embora esse tópico saia um pouco do escopo principal do nosso curso, não entraremos em detalhes aprofundados, mas vou apresentar para você todos os "caminhos das pedras" para que saiba exatamente onde encontrar as informações e como aplicar essa política, caso precise futuramente.
Assim, você terá uma boa base para entender o papel dessa política e como ela pode impactar sua organização.
Sem dúvidas, o backup é um aspecto crucial para qualquer ambiente, e na AWS não seria diferente. Nesta aula, começaremos a conhecer a política de backup disponível dentro do AWS Organizations.
Resumidamente, o objetivo dessa política é aplicar uma regra padrão de backup para todas as contas membros da organização, reduzindo os riscos e impactos causados pela perda de dados e garantindo a disponibilidade contínua das suas aplicações e serviços.
Um ponto importante para lembrar:
“Quem tem um backup, não tem nenhum. Quem tem dois, tem um, e assim por diante.”
Por isso, a redundância e a política consistente são essenciais para a segurança dos seus dados.
Agora que já temos um conhecimento prévio sobre a política de backup, vamos aprofundar o entendimento sobre a IAM Role utilizada para configurar essa política no AWS Organizations.
Nesta aula, exploraremos:
O papel da IAM Role no processo de aplicação da política de backup;
Permissões necessárias para que ela funcione corretamente;
Como garantir que a função seja assumida com segurança entre contas da organização;
Boas práticas para gerenciar e auditar essa role, garantindo conformidade e minimizando riscos de acesso indevido.
Compreender esse ponto é essencial, pois a role é o elo de confiança que permite que a política de backup seja executada de forma centralizada e segura em todas as contas membros.
Nesta aula, faremos uma breve análise da console do AWS Backup, explorando suas principais seções e opções, para ilustrar de forma prática o processo de configuração de um plano de backup para o seu ambiente.
Nosso foco será mostrar o caminho e os recursos disponíveis, mesmo sem entrarmos em detalhes avançados de cada funcionalidade.
Vale reforçar que, independentemente do nível de profundidade desta demonstração, a definição de uma política de backup bem estruturada é essencial para garantir a proteção e a disponibilidade dos dados e serviços da sua organização.
Finalmente, nesta aula, colocaremos em prática o que vimos até agora sobre políticas de backup no AWS Organizations. Vamos aplicar o setup de uma política de backup que poderá ser adaptada conforme as necessidades de cada organização.
Vale ressaltar que o modelo apresentado é apenas um exemplo de implementação — cada ambiente possui suas particularidades, e é fundamental ajustar as configurações para atender aos requisitos específicos de segurança, compliance e disponibilidade.
As TAGs desempenham um papel essencial na organização e governança do ambiente AWS, oferecendo benefícios que vão desde a organização e gerenciamento de recursos, até automação de processos, controle de custos (billing) e reforço da segurança. Nesta aula, vamos explorar em detalhes a Política de TAG do AWS Organizations, entendendo como ela pode garantir o compliance de marcação nos recursos e padronizar práticas em toda a organização. Com isso, você terá maior controle, visibilidade e consistência no gerenciamento do ambiente.
Agora que já entendemos o conceito de TAG Policy, vamos aplicar o seu modelo de configuração diretamente na console do AWS Organizations.
As Service Control Policies, conhecidas como SCP, sem dúvidas é um grande recurso para melhorarmos a segurança de nosso ambiente de nuvem AWS, especialmente na aplicabilidade de Guardrails. Nesta aula, veremos uma pequena (não tão pequena assim, srsr) introdução sobre o que é de fato as SCP e como poderemos utilizá-las em nossos ambientes.
Lembre-se, os conceitos aqui apresentados, serão utilizados como base para aplicação de fatos das SCP.
Agora que já temos um embasamento teórico sobre as SCPs, vamos aprender como habilitá-las diretamente pela console AWS, preparando o caminho para nossas próximas implementações práticas.
Essa etapa é fundamental para começar a aplicar controle efetivo e segurança no ambiente da sua organização.
Agora que já entendemos o que são as SCPs e como habilitá-las em nosso ambiente, chegou a hora de avançar para alguns exemplos práticos.
Então, sem enrolação, vamos começar pelo exemplo número 1!
⚠️ Nota: Lembre-se, este é apenas um exemplo. Não aplique diretamente em seu ambiente sem antes analisar bem o cenário — a não ser que você curta passar por emoções inesperadas, hehehe.
Mais um exemplo prático de Service Control Policy (SCP) para reforçar seu entendimento! Vamos explorar outra aplicação real de SCPs para ajudar a proteger e controlar seu ambiente AWS com mais precisão.
? Fique atento para analisar o cenário antes de aplicar qualquer política, assim evitamos surpresas!
Nosso último exemplo (por enquanto) sobre Service Control Policies (SCP) para consolidar seu aprendizado! Nesta etapa, vamos ver um caso prático final que ajudará a fechar com chave de ouro sua compreensão sobre SCPs.
⚠️ Lembre-se de sempre analisar o impacto antes de aplicar qualquer política no seu ambiente.
Recentemente, para ser mais preciso, em 15/11/2024, a AWS lançou uma nova funcionalidade que permite gerenciar os usuários root das contas membros diretamente pelo AWS Organizations. Com esse recurso, você pode assumir permissões de root (por meio do sts:AssumeRole para root), além de gerenciar e deletar credenciais sensíveis, como senha, chaves de acesso, MFA e certificados do usuário root.
Nesta aula, vamos explorar em detalhes como utilizar essa funcionalidade, entender suas vantagens e como ela pode facilitar a governança e a segurança das contas na sua organização.
Aproveite este recurso para fortalecer o controle e a proteção dos seus ambientes AWS. Use e abuse!
No dia 13 de Novembro 2024, a AWS lançou uma nova feature para o AWS Organizations, as RCPs, conhecidas como Políticas de Controle de Recursos. As RCPs são um tipo de política organizacional que pode ser usada para criar e aplicar centralmente controles preventivos aos recursos da AWS em sua organização.
Nesta aula, iremos entender os principais pontos sobre esta nova política, e analisar de forma prática, como ela funciona no ambiente.
Spoiler: funciona igualmente as SCPs, entretanto, com escopo diferente.
Boa aula a todos.
Recentemente, a AWS lançou as Políticas Declarativas dentro do AWS Organization. Agora, temos mais uma camada de proteção que podemos utilizar dentro de nosso ambiente. As políticas declarativas permitem que você declare e aplique centralmente a configuração desejada para uma determinada empresa AWS service (Serviço da AWS) em grande escala em toda a organização.
Nesta aula, iremos compreender qual é a real finalidade deste tipo de política, entender as diferenças entre elas e as SCPs e RCPs, e como podemos utilizá-las em conjunto, em prol da melhor segurança do ambiente. Após esta, iremos ver na prática, como elas são implementadas, entendendo todos os detalhes diretamente pela console AWS.
Lembrando, que a implementação continuará na próxima aula.
Boa aula a todos!
Após compreender os conceitos teóricos sobre as políticas declarativas, vamos agora aprender como realizar sua implementação, detalhando tudo o que você precisa saber antes de aplicá-las em um ambiente produtivo.
Como sempre, é fundamental ter muito cuidado ao aplicar políticas no seu ambiente, pois a responsabilidade pelas configurações é toda sua. ;)
Chegamos ao encerramento do nosso módulo sobre AWS Organizations, um tema fundamental para qualquer ambiente na nuvem AWS. Espero que os conceitos apresentados tenham sido suficientes para vocês iniciarem suas práticas com esse serviço.
Se ainda tiver dúvidas ou quiser aprofundar, recomendo continuar estudando a documentação oficial da AWS, fazendo laboratórios técnicos e explorando mais recursos.
E, acima de tudo, saibam que podem contar comigo para o que precisarem.
Um grande abraço e até o próximo módulo! ?
? Vamos começar nossa jornada pelo IAM Identity Center, mais conhecido como AWS SSO — a solução da AWS para autenticação centralizada e gestão simplificada de acessos!
Nesta primeira aula, vamos mergulhar nos conceitos fundamentais que sustentam esse serviço, entendendo por que ele é essencial para organizar e proteger o acesso em ambientes corporativos na nuvem.
Prepare-se para entender como o AWS SSO pode transformar a forma como você gerencia identidades, reduzindo complexidades e aumentando a segurança.
E fique tranquilo: a parte prática começa já na próxima aula!
? Aproveite os links oficiais na descrição para aprofundar seus conhecimentos. É tudo gratuito e uma mão na roda para seu aprendizado!
Após essa breve introdução, chegou a hora de colocarmos a mão na massa e configurar o IAM Identity Center!
Sem mais enrolação, vamos direto ao que realmente importa: preparar seu ambiente para gerenciar identidades de forma centralizada e segura.
Vamos nessa!
Quando falamos em IAM Identity Center, um dos pilares são os Permission Sets — conjuntos de permissões que definem exatamente o que os usuários e grupos podem acessar a partir dessa autenticação centralizada.
E como vocês já vêm de um módulo intenso sobre políticas, vão perceber que trabalhar com Permission Sets é simples e direto, aproveitando todo o conhecimento já adquirido.
Nesta aula, faremos uma introdução leve sobre Permission Sets, explorando algumas das principais opções disponíveis para você configurar e gerenciar permissões com eficiência.
Boa aula a todos!
Após a introdução sobre Permission Sets no IAM Identity Center, chegou a hora de colocar o conhecimento em prática. Nesta aula, usaremos um cenário fictício para aplicar configurações de políticas específicas para cada grupo, conforme suas necessidades.
Sem mais delongas, vamos direto ao que interessa.
Bons estudos!
Continuando a aula passada :)
Múltiplo Fator de Autenticação (MFA) já é um conceito bem conhecido por vocês. Mesmo assim, é importante reforçar esse conhecimento para garantir que todas as pendências relacionadas sejam definitivamente resolvidas.
Vamos focar nos pontos essenciais para que sua segurança esteja realmente fortalecida.
Um dos aspectos fundamentais — e muitas vezes negligenciado — no IAM Identity Center é o tempo de sessão da console. Essa configuração define por quanto tempo a console permanece ativa antes de exigir um novo login.
Aplicar essas configurações corretamente é essencial para reduzir riscos, como vazamento de dados, garantindo maior segurança no ambiente.
Além disso, o tempo de sessão da console deve ser configurado em conjunto com a “Session Duration” do AWS STS para um controle eficaz.
Deixarei alguns links úteis na descrição do vídeo.
Boa leitura e boa aula a todos!
Esta aula é direcionada para quem ainda insiste em usar access key e secret access key dentro do IAM, mesmo com o ambiente configurado com SSO habilitado.
Se você se enquadra nesse perfil, vale a pena assistir com atenção para entender por que é importante migrar para uma abordagem mais segura.
Bons estudos!
Na aula passada, vimos como gerar credenciais programáticas pela console do IAM Identity Center. Também entendemos que essas credenciais possuem um tempo limite de sessão — afinal, ninguém quer que elas durem para sempre, não é mesmo?
Porém, para quem precisa ficar renovando as credenciais periodicamente, isso pode atrapalhar os laboratórios e testes em andamento. Pensando nisso, a AWS oferece um processo para renovação automática dessas credenciais — uma solução prática e eficiente.
Nesta aula, vamos aprender como configurar essa renovação automática e, assim, acabar de vez com as desculpas daqueles “profissionais” que insistem em reclamar.
Bons estudos!
Até então, trabalhamos apenas com a base de autenticação local da AWS, do próprio IAM Identity Center. Entretanto, como já comentado com vocês durante este módulo, temos a possibilidade de utilizarmos um provedor externo de identidade (IdP), para de fato, centralizarmos nossas autenticações, não apenas da AWS, mas de outras aplicações/serviços necessários.
Existem vários IdP que podemos utilizar. Entretanto, para fins didáticos, utilizaremos o Google Workspace, sendo um dos mais utilizados atualmente. Porém, você deve observar que, basicamente, o que muda de um IdP para o outro, são apenas as configurações do próprio IdP. Na AWS, o processo permanece o mesmo. E como nosso treinamento é sobre AWS, focaremos bastante nesses pontos.
Entretanto, para ajudar, deixarei um link (documentação oficial) de outro IdP muito utilizado também, sendo o Office365 da Micro$oft.
Quaisquer dúvidas, estou à disposição.
Boa aula a todos!
Nesta aula, vamos aprender a gerenciar as sessões ativas dentro do IAM Identity Center. O foco principal é destacar a importância desse gerenciamento, especialmente durante processos de desligamento ou saída de colaboradores da empresa.
Embora seja um processo simples, a correta administração das sessões pode evitar problemas sérios e, literalmente, salvar o seu dia. Vale a pena ficar atento.
Chegamos ao final de mais um módulo. Embora tenha sido mais curto, ele é de extrema importância para qualquer ambiente de nuvem. Agora é hora de revisarem o conteúdo e começarem a aplicar na prática o que aprenderam. E, claro, sempre que surgir alguma dúvida, estarei à disposição para ajudar.
Antes de finalizarmos, faremos uma breve revisão com algumas recomendações gerais para reforçar o conhecimento.
E não se esqueçam: sempre que houver novidades sobre o IAM Identity Center, compartilharei com vocês o mais rápido possível.
Obrigado por acompanhar até aqui e nos vemos no próximo módulo.
Nesta aula, faremos uma introdução ao módulo, detalhando os principais tópicos que serão abordados ao longo das próximas aulas. O foco principal será destacar algumas das falhas de segurança mais comuns encontradas em ambientes AWS, relacionadas a determinados serviços.
Prepare-se para entender os pontos críticos e como melhorar a segurança do seu ambiente.
Sem mais, bons estudos!
Você já parou para pensar qual seria o nome ideal para um Bucket criado dentro da sua organização? Já discutiu sobre padrões de nomenclatura para esses recursos? Ou até mesmo possui Buckets nomeados de forma personalizada na sua empresa?
Essas perguntas nos levam a um ponto importante: a necessidade de entender e definir boas práticas para nomes de Buckets no Amazon S3, evitando problemas futuros.
Então, vamos juntos explorar esse tema!
Por que utilizar Buckets públicos em um ambiente?
Você já fez essa pergunta? Já tentaram entender, de fato, se existe motivo para utilizar um Bucket público? Nesta aula, iremos conversar bastante sobre isso, e eu posso adiantar para vocês que, não existe nenhuma necessidade de mantermos Buckets públicos em nossos ambientes. E para isso, veremos algumas possibilidades de como minimizarmos este problema.
Bons estudos!
Nesta aula, vamos explorar os logs disponibilizados pelo Amazon S3. Entenderemos como essa funcionalidade pode ser uma ferramenta valiosa para monitorar e auditar as operações no serviço, auxiliando no gerenciamento e na segurança do seu ambiente.
Um dos campeões: instâncias EC2 públicas.
Muitos lugares, ainda utilizam instâncias EC2 públicas dentro de seus ambientes, e, na maioria das vezes, não sabem outras formas de resolverem isso, principalmente no que tange os acessos remotos as mesmas.
Se você utilizar uma instância pública para armazenar seu site, devido a uma restrição financeira, OK, vida que segue. Entretanto, se você ainda utiliza a instância pública para realizar acesso remoto a ela, me desculpe, mas você esta colocando em risco o seu ambiente.
Nesta aula, nos veremos alguns pontos sobre a utilização de instâncias públicas dentro da AWS, e quais soluções podemos adotar para minimizar esses impactos.
Dando continuidade à aula anterior sobre acessos privados a instâncias EC2, nesta aula vamos explorar mais detalhadamente as opções para acessar suas instâncias de forma segura.
Para começar, conheceremos o AWS Session Manager — uma ferramenta poderosa que permite gerenciar suas instâncias sem a necessidade de acessar diretamente via SSH ou abrir portas na rede.
Nesta aula, focaremos nos conceitos principais do serviço, preparando o terreno para as próximas aulas, onde realizaremos as configurações práticas no ambiente.
Bons estudos!
Agora que já compreendemos os principais conceitos do AWS Session Manager, chegou a hora de colocar a mão na massa.
Nesta primeira parte das configurações — que serão divididas em duas aulas para facilitar o aprendizado — começaremos a preparar o ambiente para usar essa ferramenta de forma segura e eficiente.
Vamos seguir passo a passo para garantir uma implementação tranquila.
Dando continuidade à configuração do AWS Session Manager, nesta segunda parte vamos avançar com as etapas restantes para deixar tudo funcionando perfeitamente.
Fiquem ligados para entender cada detalhe e garantir um ambiente seguro e eficiente.
Bora continuar!
Uma das maneiras mais seguras de se conectar a uma instância Amazon EC2 é utilizando um VPC Endpoint. Basicamente, esse recurso cria um endpoint dentro do seu ambiente — invisível para o usuário — que funciona como uma espécie de “Jump Server”, intermediando a conexão entre o cliente e o servidor de destino.
Nesta aula, vamos abordar os conceitos principais desse recurso e, em seguida, realizar as configurações práticas no ambiente.
Dando sequência à aula anterior, agora vamos realizar alguns testes práticos para validar a utilização do EC2 VPC Endpoint.
Essa etapa é fundamental para garantir que a configuração esteja correta e que o acesso seguro às instâncias EC2 esteja funcionando conforme esperado.
Vamos ao trabalho!
Nesta aula, iniciaremos a conversa sobre os Metadados das Instâncias EC2. Vamos entender exatamente o que é esse recurso, de que forma ele pode ser útil no nosso dia a dia e, também, os riscos que podem surgir caso seja negligenciado.
Compreender os metadados é fundamental para garantir a segurança e o bom funcionamento das suas instâncias.
Com o conhecimento adquirido sobre os Metadados das Instâncias EC2 na aula anterior, agora vamos aprofundar e entender uma das principais problemáticas associadas a esse recurso.
Identificar os riscos e vulnerabilidades relacionados aos metadados é essencial para proteger seu ambiente de possíveis ataques e exposições indesejadas.
Vamos juntos explorar essas questões!
Dando continuidade à aula anterior, nesta etapa finalizaremos os testes relacionados à problemática dos metadados das instâncias EC2.
Esse passo é fundamental para consolidar o entendimento sobre os riscos e validar as soluções apresentadas.
Vamos finalizar com foco e atenção!
Agora que já conhecemos os riscos associados aos metadados das instâncias EC2, é hora de aprender como mitigá-los e minimizar esses perigos.
Nesta aula, vamos aplicar na prática as configurações necessárias para proteger seu ambiente, passo a passo.
Abra a console AWS e venha comigo colocar tudo em ação!
Você realmente entende como funcionam o Security Group e a Network ACL (NACL)? Sabe diferenciar suas funções e quando usar cada um?
Nesta aula, vamos explorar esses conceitos básicos, mas essenciais, e apresentar boas práticas de segurança para ambos.
Ao final, você terá uma visão mais clara e prática sobre esses serviços tão importantes para a segurança do seu ambiente AWS.
Dando continuidade à aula anterior, nesta etapa vamos aprofundar nas boas práticas envolvendo Security Groups, com especial atenção às Prefix Lists.
Veremos como essas ferramentas podem ser usadas para simplificar a gestão de regras e aumentar a segurança do seu ambiente.
Vamos explorar esses conceitos para aprimorar ainda mais suas configurações!
Com base nas aulas anteriores, vamos agora entender os riscos de manter as regras de saída (Outbound) configuradas como padrão, ou seja, liberando qualquer tráfego (ANY para ANY).
Se o seu ambiente está assim, saiba que isso pode representar sérios problemas de segurança, abrindo portas para acessos indevidos e vazamento de dados.
Corre para revisar sua configuração e proteger melhor seu ambiente!
Nesta aula, vamos aprofundar nosso entendimento sobre VPC Endpoints, explorando suas funcionalidades e como eles podem ser utilizados para fortalecer a segurança do seu ambiente AWS.
Veremos de que forma esses recursos oferecem camadas extras de proteção e facilitam o gerenciamento do tráfego dentro da VPC.
Como vimos na aula anterior, existem dois tipos de VPC Endpoint: Gateway e Interface. Nesta aula, vamos focar na configuração prática de um VPC Endpoint do tipo Gateway.
Abordaremos seus principais detalhes, formas de utilização e aspectos de segurança, para que você possa aplicar com confiança em seu ambiente.
Continuação da aula anterior...
Agora que aprendemos a implementar um VPC Endpoint do tipo Gateway, nesta aula vamos configurar uma política de exemplo para reforçar ainda mais a segurança do ambiente.
Lembre-se: essa política serve como base. É importante analisar e ajustar conforme as necessidades específicas do seu cenário.
Descrição melhorada da aula:
Nas aulas anteriores, exploramos o Gateway VPC Endpoint em teoria e prática. Agora, vamos conhecer a outra categoria disponível: o Interface VPC Endpoint.
Nesta aula, abordaremos os conceitos essenciais desse tipo de endpoint e, em seguida, partiremos para a aplicação prática em laboratório, garantindo um aprendizado completo.
Boa aula a todos!
Chegamos ao final deste módulo (por enquanto).
Antes de encerrarmos, faremos uma revisão dos pontos mais importantes para a segurança de qualquer ambiente AWS. O objetivo é ampliar seu olhar para aspectos cruciais que podem trazer mais tranquilidade e proteção no dia a dia.
Agradeço a sua dedicação até aqui e já deixo o convite para avançar ao próximo módulo!
Finalmente chegamos ao final do nosso treinamento!
Nesta aula, faremos uma introdução ao AWS Security Assessments. Vamos entender como essas análises de segurança podem contribuir para o fortalecimento do seu ambiente no dia a dia.
Também apresentaremos as principais ferramentas que serão utilizadas ao longo deste módulo.
Desejo um excelente estudo a todos!
Nesta aula, vamos apresentar uma solução Open Source amplamente utilizada para análise de ambientes de nuvem, incluindo AWS e outras plataformas.
O objetivo é entender o que essa ferramenta oferece, como ela funciona e de que forma pode ajudar nas suas análises de segurança.
Embora não seja um treinamento completo sobre a ferramenta Prowler, o conteúdo apresentado aqui dará uma boa base para que você consiga analisar seu ambiente AWS com facilidade.
Agora que já entendemos os conceitos básicos sobre a ferramenta Prowler, vamos avançar para a etapa de instalação.
Nesta aula, apresentarei todas as etapas necessárias para instalar a ferramenta, além de mostrar como começar a utilizá-la para análise do seu ambiente.
Nesta aula, vamos conhecer a CLI da ferramenta Prowler.
O objetivo não é esgotar todas as opções disponíveis (afinal, consultar a documentação é essencial!), mas destacar os principais comandos e parâmetros que usaremos ao longo deste módulo.
Lembre-se: o manual e a ajuda da ferramenta existem para serem consultados. Não tente decorar tudo — isso só traz frustração.
A prática e a leitura contínua são seus maiores aliados.
Após todo o embasamento teórico, finalmente chegou a hora de realizarmos nosso primeiro scan com o Prowler.
Sem mais enrolações, vamos analisar juntos nossa primeira conta AWS e entender os resultados.
Em ambientes AWS com múltiplas contas, gerenciar a segurança pode ser um desafio, especialmente ao tentar analisar todas elas de forma eficiente.
Uma das grandes funcionalidades do Prowler é permitir análises cross-account, ou seja, realizar scans de segurança em contas diferentes a partir de um único ponto.
Nesta aula, vamos entender detalhadamente quais são os passos e configurações necessárias para habilitar essa capacidade, facilitando a gestão de segurança em ambientes complexos e distribuídos.
Prepare-se para dominar essa funcionalidade essencial para equipes que gerenciam ambientes multi-account.
Nesta aula, vamos aprender como integrar o Prowler com um bucket do Amazon S3 para armazenar os relatórios de segurança gerados.
Além do armazenamento, veremos como disponibilizar esses relatórios por meio de URLs pré-assinadas ou até mesmo como um site estático, facilitando o acesso e o compartilhamento das informações.
Ter um ambiente centralizado de logs é o ideal para garantir visibilidade e controle em qualquer ambiente de nuvem.
Na AWS, o Security Hub possibilita centralizar alertas e dados de segurança de diversas fontes, facilitando a gestão e resposta a incidentes.
Nesta aula, vamos aprender como integrar a ferramenta Prowler ao Security Hub, configurando o envio dos resultados dos scans para esse ambiente centralizado.
Com isso, você terá um panorama mais completo e organizado da segurança do seu ambiente AWS.
Shodan, é uma ferramenta muito utilizada por profissionais de segurança ofensiva, para descobertas de recursos expostos para Internet. A ferramenta Prowler, permite realizar esta integração, de forma que, todos os recursos públicos encontrados na AWS, serão validados se estão na base de dados do Shodan, ou seja, se já foram expostos.
Com base na exposição, o próprio Shodan realiza “testes básicos de intrusão”, facilitando a vida do profissional de segurança que estiver realizando o Assessments.
Chegou o momento de conhecer uma nova ferramenta Open Source de grande potencial: o Steampipe.
Com ele, é possível realizar consultas SQL diretamente no ambiente AWS, permitindo análises detalhadas e monitoramento mais eficiente dos recursos.
Nesta primeira aula da série, faremos uma introdução ao Steampipe, entendendo seu propósito e como ele pode transformar a forma como você analisa seu ambiente de nuvem.
Agora que já conhecemos os conceitos básicos sobre o Steampipe, é hora de partir para a instalação da ferramenta.
Nesta aula, vamos aprender passo a passo como instalar o Steampipe, preparando o ambiente para utilizá-lo durante todo o módulo.
Como vimos na aula anterior, o Steampipe oferece diversas possibilidades para análise de ambientes por meio de plugins específicos para cada provedor.
Agora, focando no nosso ambiente AWS, vamos aprender a instalar o plugin correspondente para que possamos iniciar nossos laboratórios.
Vale lembrar que o processo de instalação é similar para outros plugins, variando apenas o nome e algumas configurações específicas.
Caso tenha dúvidas, a documentação oficial está sempre disponível para consulta.
Após instalarmos o plugin AWS no Steampipe, é fundamental aprendermos a configurá-lo corretamente para realizar consultas eficientes no nosso ambiente via CLI.
Nesta aula, vamos detalhar o processo de configuração, garantindo que você esteja preparado para explorar seus recursos AWS com segurança e agilidade.
Fiquem atentos e, se surgirem dúvidas, estou à disposição para ajudar.
Nesta aula, vamos realizar nossos primeiros comandos SELECT usando o Steampipe.
Lembre-se: esses são apenas exemplos iniciais para você entender a sintaxe e o funcionamento.
Sinta-se à vontade para adaptar e customizar as consultas conforme as necessidades do seu ambiente.
E não tenha vergonha de pedir ajuda — se estiver com dificuldades, um DBA ou especialista pode ser um ótimo aliado!
Agora vamos aprender a criar dashboards amigáveis e visualmente atraentes com o Steampipe.
Esses são aqueles dashboards que impressionam qualquer gerente e facilitam a tomada de decisões.
Assista a esta aula e descubra como transformar seus dados em insights claros e impactantes para seu time e chefia.
Chegamos à última aula deste módulo — por enquanto!
Ao longo das aulas, exploramos diversas ferramentas Open Source para realizar análises de segurança no ambiente AWS.
Agora, com todo esse conhecimento, um mundo de possibilidades se abre para vocês, e não existem mais desculpas para não manterem seus ambientes protegidos.
Desejo a todos um excelente trabalho e muita sorte — vocês vão precisar!
Sejam bem vindos a mais um módulo de nosso treinamento. Após um grande planejamento, finalmente chegou a hora de trabalharmos com esta ferramenta, que permite aplicarmos Automação e Compliance dentro da AWS.
Nesta primeira aula, veremos uma visão geral do Cloud Custodian, explorando seu propósito, arquitetura e papel dentro da estratégia de governança e segurança na AWS.
Você entenderá os principais benefícios da ferramenta, como automação de compliance, padronização de controles, redução de risco operacional e auto-remediação de configurações inadequadas.
Também serão apresentados os principais cenários de atuação do Cloud Custodian, incluindo:
Correção automática de misconfigurations
Aplicação de padrões organizacionais
Controle de exposição pública de recursos
Gestão de custos e recursos ociosos
Enforcement de políticas de segurança
Por fim, definiremos o escopo de atuação da ferramenta dentro do ecossistema AWS, deixando claro onde ela se posiciona em relação a outros serviços nativos e ferramentas de governança.
Esta aula estabelece a base conceitual necessária para avançarmos para a criação e implementação prática de policies nos próximos módulos.
No mais, boa aula a todos!
Agora que já construímos a base conceitual sobre o Cloud Custodian, nesta aula vamos avançar para o processo de instalação e preparação do ambiente.
Percorreremos todos os passos necessários para configurar corretamente a ferramenta, entender suas dependências e validar o funcionamento no ambiente AWS.
É importante prestar atenção aos detalhes durante essa etapa, pois pequenas configurações podem impactar o funcionamento das policies. Mas fique tranquilo — apesar da fama, o processo é mais simples do que parece (prometo ?).
Ao final desta aula, você terá o Cloud Custodian instalado e pronto para começar a criar e executar suas primeiras policies.
Nesta aula, abordaremos aspectos fundamentais sobre o funcionamento do Cloud Custodian, explorando como a ferramenta opera de forma geral, como as policies se comportam e como ocorre seu processo de execução em diferentes ambientes.
O objetivo aqui é compreender o fluxo de atuação da ferramenta — desde a avaliação dos recursos até a aplicação das ações — criando uma base sólida para os próximos conteúdos.
Ainda não entraremos na estrutura detalhada de uma policy, pois esse tema exige uma aula dedicada exclusivamente a ele. Nesta etapa, o foco será entender o funcionamento macro da ferramenta antes de avançarmos para a construção prática das policies.
Entender os comandos vinculados a uma ferramenta, é de extrema importância. Pensando nisso, nesta aula, iremos explorar a CLI do Cloud Custodian, analisando as principais opções, e como podemos utilizá-las para nos ajudar no dia-a-dia.
Entender os componentes de uma política do Cloudcustodian é crucial para a elaboração e execução das mesmas. Cada componente, tem uma finalidade e suas particularidas, inclusive, podem variar conforme o provedor/integração.
Nesta aula, entenderemos os principais componentes (obrigatórios) de uma política voltadas para o provedor AWS. O objetivo, é repassar para vocês os principais pontos, para que de fato possamos ir avançando com o módulo, e finalmente, construir nossas políticas :)
Finalmente, a tão esperada aula chegou! ?
Nesta aula, aprenderemos a trabalhar com o modo de execução pull, que é o modo padrão de operação do Cloud Custodian. Você entenderá como executar policies diretamente a partir do ambiente local e como a ferramenta realiza a avaliação dos recursos no ambiente AWS.
Também exploraremos algumas opções importantes de execução, como --cache-period 0 e --dry-run, que são extremamente úteis durante o desenvolvimento, testes e validação de policies.
Prepare seu terminal Linux e vamos colocar a mão na massa para executar nossas primeiras policies na prática.
Nesta aula, exploraremos o uso dos filtros genéricos do Cloud Custodian, um recurso fundamental para refinar a seleção de recursos e criar policies mais precisas e eficientes.
Durante a aula, realizaremos alguns testes práticos para demonstrar como identificar e utilizar atributos dos recursos como critérios de filtragem. O objetivo é mostrar o “caminho das pedras”, permitindo que você desenvolva autonomia para explorar e construir filtros em diferentes cenários.
Também veremos como obter as informações necessárias para construir esses filtros, utilizando ferramentas como o AWS CLI e o próprio output das policies, analisando os dados retornados pelos recursos.
Com essa abordagem prática, você entenderá não apenas como aplicar filtros, mas também como investigar e descobrir quais campos podem ser utilizados em suas policies.
Já vimos nas aulas passadas, que existem vários tipos, modos de execução do Cloudcustodian em ambientes de nuvem AWS. A partir desta aula, iremos estudar o modo de execução a partir do Cloud Trail. Este é um dos modos mais utilizados e recomendado para ambientes corporativos, principalmente pela execução automatizada e ações, criando a tão sonhada "auto remediação".
Nesta, iremos conhecer como este modo funciona, para que a partir da próxima, possamos já iniciarmos alguns laboratórios.
Então no mais, boa aula a todos.
Na aula passada, vimos as pricipais caracteríscas e funcionamento do modo de atuação do Cloudcustodian com o Cloudtrail. Nesta, iremos iniciar a ativação deste modo, já realizando um laboratório prático e funcional sobre.
Então, pegue sua pipoca e aproveite o conteúdo... Pensando bem, esqueça a pipoca, pegue um café e abra seu notebook, pois certamente será mais proveitoso, hehe
Em cenários ideais, todas as policies deveriam ser aplicadas de forma consistente e sem exceções. No entanto, a realidade de ambientes corporativos muitas vezes exige flexibilidade.
Nesta aula, abordaremos como implementar estratégias de bypass em policies do Cloud Custodian, permitindo que determinados recursos sejam explicitamente ignorados durante a execução das regras.
⚠️ Importante
Esse tipo de abordagem não é recomendado como prática padrão, pois pode comprometer a consistência da governança e abrir precedentes indesejados. No entanto, em contextos reais — especialmente diante de demandas top-down — essas exceções acabam sendo necessárias.
? O que você vai aprender:
Como implementar mecanismos de bypass em policies
Estratégias comuns para ignorar recursos específicos (ex: tags, condições)
Como manter controle e rastreabilidade dessas exceções
Boas práticas para minimizar riscos ao utilizar bypass
?️ Uso consciente
O foco desta aula é mostrar como fazer, mas principalmente quando e por que evitar esse tipo de abordagem, mantendo o equilíbrio entre governança e necessidades do negócio.
? Visão de mundo real
Aqui, você terá contato com situações reais do mercado, entendendo como adaptar a teoria à prática sem perder o controle do ambiente.
Nesta aula, vamos explorar o c7n-org, uma ferramenta essencial do ecossistema do Cloud Custodian para gerenciamento de ambientes AWS em múltiplas contas.
À medida que os ambientes crescem, torna-se necessário gerenciar políticas de forma centralizada em diversas contas AWS. É exatamente nesse cenário que o c7n-org se destaca.
? O que você vai aprender:
? Conceito e propósito do c7n-org
⚙️ Como instalar e configurar a ferramenta
?️ Estrutura e funcionamento do arquivo de contas (accounts.yml)
? Como o c7n-org facilita a execução de policies em múltiplas contas
?️ Mão na massa
Durante a aula, você verá na prática como preparar o ambiente e gerar o arquivo de contas, passo fundamental para trabalhar com organizações AWS de forma escalável.
? Escalando sua governança
Ao final, você entenderá como utilizar o c7n-org para levar suas automações e políticas de governança para um nível organizacional, cobrindo múltiplas contas com consistência e controle.
Na aula passada, instalamos a ferramenta c7n-org para gerenciamento de políticas do Cloud custodian em nível AWS Organizations. Além disso, criamos também o nosso arquivo de contas AWS, que naquela ocasião, era composto por duas contas.
Nesta aula, iremos começar a explorar a execução de políticas, trabalhando com algumas opções bem interessantes do c7n-org. Lembrando que, iremos fazer algumas aulas sobre este tema, e por isso, irei gravar vários exemplos, em várias partes.
No mais, boa aula a todos.
Chegamos ao fim do nosso curso!
Foram aproximadamente 30 horas de conteúdo intenso e de alto valor sobre segurança em ambientes de nuvem AWS. Trinta horas dedicadas ao aprendizado e à construção de uma base sólida para a sua carreira.
Agora, o desafio maior começa: colocar todo esse conhecimento em prática. Para isso, recomendo que mantenham o ritmo de estudos, continuem lendo as documentações oficiais, fiquem atentos às novidades e se mantenham sempre atualizados. Este treinamento foi apenas o pontapé inicial de uma jornada longa, mas extremamente recompensadora.
Quero agradecer imensamente a cada um de vocês que esteve presente até aqui. Lembrem-se que estou à disposição para qualquer dúvida ou suporte que precisarem. Podem contar comigo!
Um grande abraço e até a próxima!
Sejam bem vindos ao treinamento AWS Security Foundation!
Você, profissional da área de segurança da informação, analista de infraestrutura e/ou administrador de ambientes de nuvem AWS, que está em busca de conhecimentos em segurança da informação de ambientes de nuvem AWS, tenho uma ótima notícia para você: você acaba de encontrar o treinamento perfeito para seu desenvolvimento.
Este treinamento tem como principal objetivo auxiliar profissionais a criarem uma fundação de nuvem AWS segura e escalável, antes de construírem seus workloads (grande desafio). Neste curso, veremos vários pontos- chave para segurança de um ambiente, como:
O intendimento do “Control Plane AWS”,
IAM com muitas políticas (recursos, identidade, boundaries, sessões) e boas práticas;
IAM Identity Center (antigo SSO);
AWS Organizations, aplicando gerenciamento centralizado, políticas de Backup, Tags e Serviços;
VPC Endpoints (Gateway e Interface);
Security Assessments através das ferramentas Open Source Prowler e Steampipe;
Recomendações globais de segurança;
Dentre outros;
Todos os tópicos aqui listados, serão apresentados tanto de forma teórica quanto prática, afinal, aprende-se fazendo :)
Durante o desenvolvimento do treinamento, utilizamos diferentes frameworks de segurança reconhecidos pelo mercado para referência, como CIS, NIST, PCI-DSS, HIPAA, OC2, AWS Well-Architected Security, dentre outros. Além disso, trago a vocês também, toda minha experiência de mais de 8 anos atuando com ambientes de nuvem AWS!
No mais, espero por vocês!