Neste procedimento, é possível criar um usuário do IAM e duas políticas a serem anexadas ao usuário do IAM na conta confiável.
Antes de continuar, você deve configurar o procedimento de conta confiante para todas as contas.
Sobre esta tarefa
Este procedimento deve ser seguido apenas para a conta confiável. Por exemplo, caso haja três contas, siga este procedimento apenas para a conta confiável e não para as outras duas contas.
- Crie um usuário do IAM chamado IAMUserA_WithCrossAccountAccess na conta confiável AWS no console do IAM.
- Efetue login no Console do AWS . (https://console.aws.amazon.com) da conta confiável.
- Vá para o serviço IAM e clique em .
- Nomeie o usuário IAMUserA_WithCrossAccountAccess.
- Selecione a caixa de seleção na página Incluir Usuário Para obter mais informações, consulte a documentação do fornecedor ( https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html ).
- Clique em .
- Copie o ID da chave de acesso e a Chave de acesso secreta para um editor de texto para utilizá-los posteriormente em “Configurando a conta do AWS no aplicativo Visibilidade de nuvem".
- Permita que o usuário IAM IAMUserA_WithCrossAccountAccess na conta confiável assuma as funções que você criou nas contas confiáveis no procedimento anterior, t_Qapps_CSA_configure_trusting_AWS_account.html#task_xdl_1kd_fhb.
- Acesse o serviço do IAM da conta confiável.
- Clique em e cole o JSON a seguir: O exemplo mostra como configurar três contas do AWS. O ID da conta confiável é Trusted_Account_ID e os IDs das duas contas confiantes são Trusting_Account_1_ID e Trusting_Account_2_ID. Edite esse JSON de exemplo, substituindo os IDs pelos IDs das contas de seu próprio ambiente do AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::Trusted_Account_ID:role/CVAppAssumeRole"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::Trusting_Account_1_ID:role/CVAppAssumeRole"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::Trusting_Account_2_ID:role/CVAppAssumeRole"
}
]
}
Nota: se você configurar apenas uma conta do AWS , o JSON será semelhante ao exemplo a seguir:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::Trusted_Account_ID:role/CVAppAssumeRole"
}
]
}
- Clique em Revisar política, chame a política de CVAssumeRolePolicy e clique em Criar política para salvá-la.
Caso tenha muitas contas, você poderá exceder o limite do IAM da AWS de 6.144 caracteres por política. Deve-se criar diversas políticas repetindo as etapas de 2a a 2c. Por exemplo, se você tiver 100 contas da AWS, a primeira política poderá conter contas de 1 a 60 (até que o limite de caracteres de 6.144 seja atingido) e a segunda poderá conter contas de 61 a 100.
- Clique em Políticas e selecione a política criada.
- Na página Resumo , copie o ARN de Política para um editor de texto a ser usado ao configurar QRadar® Cloud
Visibility. QRadar Cloud
Visibility 1.4.0 ou posterior suporta vários ARNs de "Política de função de suposição".
- Vá para Usuários e selecione o usuário IAMUserA_WithCrossAccountAccess.
- Clique em , selecione a política CVAssumeRolePolicy que você criou e clique em .
- Permita que o usuário IAM IAMUserA_WithCrossAccountAccess na conta confiável acesse a política que você criou na etapa 2.
- Acesse o serviço do IAM da conta confiável.
- Clique em e cole o JSON a seguir:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetPolicy",
"iam:GetPolicyVersion"
],
"Resource": "*"
}
]
}
- Clique em Revisar política, chame a política de CVAllowReadPolicy e clique em Criar política para salvá-la.
- Vá para Usuários e selecione o usuário IAMUserA_WithCrossAccountAccess.
- Clique em , selecione a política CVAllowReadPolicy que você criou e clique em .
O que fazer a seguir
A configuração para definição de uma conta confiável agora está completa. Atualizar a configuração da conta do Amazon AWS.Importante: Repita o procedimento para todas as contas do AWS que você deseja configurar para o QRadar Cloud
Visibility.