Configurando uma conta confiável do AWS

Neste procedimento, é possível criar um usuário do IAM e duas políticas a serem anexadas ao usuário do IAM na conta confiável.

Antes de iniciar

Antes de continuar, você deve configurar o procedimento de conta confiante para todas as contas.

Sobre esta tarefa

Este procedimento deve ser seguido apenas para a conta confiável. Por exemplo, caso haja três contas, siga este procedimento apenas para a conta confiável e não para as outras duas contas.

Procedimento

  1. Crie um usuário do IAM chamado IAMUserA_WithCrossAccountAccess na conta confiável AWS no console do IAM.
    1. Efetue login no Console do AWS . (https://console.aws.amazon.com) da conta confiável.
    2. Vá para o serviço IAM e clique em Usuários > Incluir usuário.
    3. Nomeie o usuário IAMUserA_WithCrossAccountAccess.
    4. Selecione a caixa de seleção Tipo de Acesso > Acesso Programático na página Incluir Usuário Para obter mais informações, consulte a documentação do fornecedor ( https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html ).
    5. Clique em Próximo: Permissões > Próximo: Tags > Avançar: Revisar > Criar usuário.
    6. Copie o ID da chave de acesso e a Chave de acesso secreta para um editor de texto para utilizá-los posteriormente em “Configurando a conta do AWS no aplicativo Visibilidade de nuvem".
  2. Permita que o usuário IAM IAMUserA_WithCrossAccountAccess na conta confiável assuma as funções que você criou nas contas confiáveis no procedimento anterior, t_Qapps_CSA_configure_trusting_AWS_account.html#task_xdl_1kd_fhb.
    1. Acesse o serviço do IAM da conta confiável.
    2. Clique em Políticas > Criar a política > JSON e cole o JSON a seguir: O exemplo mostra como configurar três contas do AWS. O ID da conta confiável é Trusted_Account_ID e os IDs das duas contas confiantes são Trusting_Account_1_ID e Trusting_Account_2_ID. Edite esse JSON de exemplo, substituindo os IDs pelos IDs das contas de seu próprio ambiente do AWS.
      {
      	"Version": "2012-10-17",
      	"Statement": [
      		{
      			"Effect": "Allow",
      			"Action": "sts:AssumeRole",
      			"Resource": "arn:aws:iam::Trusted_Account_ID:role/CVAppAssumeRole"
      		},
      		{
      			"Effect": "Allow",
      			"Action": "sts:AssumeRole",
      			"Resource": "arn:aws:iam::Trusting_Account_1_ID:role/CVAppAssumeRole"
      		},
      		{
      			"Effect": "Allow",
      			"Action": "sts:AssumeRole",
      			"Resource": "arn:aws:iam::Trusting_Account_2_ID:role/CVAppAssumeRole"
      		}			
      	]
      }
      
      Nota: se você configurar apenas uma conta do AWS , o JSON será semelhante ao exemplo a seguir:
      {
      	"Version": "2012-10-17",
      	"Statement": [
      		{
      			"Effect": "Allow",
      			"Action": "sts:AssumeRole",
      			"Resource": "arn:aws:iam::Trusted_Account_ID:role/CVAppAssumeRole"
      		}
      	]
      }
      
    3. Clique em Revisar política, chame a política de CVAssumeRolePolicy e clique em Criar política para salvá-la.
      Caso tenha muitas contas, você poderá exceder o limite do IAM da AWS de 6.144 caracteres por política. Deve-se criar diversas políticas repetindo as etapas de 2a a 2c. Por exemplo, se você tiver 100 contas da AWS, a primeira política poderá conter contas de 1 a 60 (até que o limite de caracteres de 6.144 seja atingido) e a segunda poderá conter contas de 61 a 100.
    4. Clique em Políticas e selecione a política criada.
    5. Na página Resumo , copie o ARN de Política para um editor de texto a ser usado ao configurar QRadar® Cloud Visibility. QRadar Cloud Visibility 1.4.0 ou posterior suporta vários ARNs de "Política de função de suposição".
    6. Vá para Usuários e selecione o usuário IAMUserA_WithCrossAccountAccess.
    7. Clique em Adicionar permissões > Anexar políticas existentes diretamente, selecione a política CVAssumeRolePolicy que você criou e clique em Avançar: Revisar > Adicionar permissões.
  3. Permita que o usuário IAM IAMUserA_WithCrossAccountAccess na conta confiável acesse a política que você criou na etapa 2.
    1. Acesse o serviço do IAM da conta confiável.
    2. Clique em Políticas > Criar política > JSON e cole o JSON a seguir:
      {
      	"Version": "2012-10-17",
      	"Statement": [
      		{
      			"Sid": "VisualEditor0",
      			"Effect": "Allow",
      			"Action": [
      			       "iam:GetPolicy",
      			       "iam:GetPolicyVersion"
      			],
      			"Resource": "*"
      		}
      	]
      }
      
    3. Clique em Revisar política, chame a política de CVAllowReadPolicy e clique em Criar política para salvá-la.
    4. Vá para Usuários e selecione o usuário IAMUserA_WithCrossAccountAccess.
    5. Clique em Adicionar permissões > Anexar políticas existentes diretamente, selecione a política CVAllowReadPolicy que você criou e clique em Avançar: Revisar > Adicionar permissões.

O que fazer a seguir

A configuração para definição de uma conta confiável agora está completa. Atualizar a configuração da conta do Amazon AWS.
Importante: Repita o procedimento para todas as contas do AWS que você deseja configurar para o QRadar Cloud Visibility.