Para que o Cloud8 possa acessar a sua conta AWS, é necessário criar um meio seguro. Existem duas formas:
- Chaves IAM – para tanto, basta criar um usuário IAM do tipo “Programmatic Access” e com um política de segurança customizada que atenda a necessidade de seu negócio e processos;
- IAM Role – um Role com permissão explícita para a conta AWS usada pelo Cloud8
Neste artigo, descrevemos o passo a passo para gerar o IAM Role. Siga o passo a passo abaixo:
O ideal é primeiro criar uma Managed Policy com as permissões que precisa. Veja uma sugestão. Não se preocupe se não souber todas as permissões, é possível mudá-la a qualquer momento.
Com posse da policy criada:
- No console AWS, selecione Roles;
- Clique em “Create New Role”;
- Escolha um nome, exemplo: “RoleCloud8”;
- No “Role Type”, selecione “Role for Cross-Account Access”;
- Escolha “Provide access between your AWS account and a 3rd party AWS account”;
- Para o Account ID, coloque “693155863762” e External ID coloque uma senha nova que não foi usada em absolutamente nenhum lugar;
- Selecione a politica que criou anteriormente (ela irá aparecer em “Customer Managed”). Lembre-se que pode mudá-la depois.
Política mínima Cloud8: https://www.cloud8.com.br/ajuda/avancado/utilizando-o-cloud8-com-uma-credencial-customizada-de-seguranca/
- Guarde o “Role ARN” e o External ID;
- Confirme e a Role está criada
No Cloud8, quando for inserir a nova conta AWS, é só selecionar “IAM Role” e cadastrar “IAM Role ARN” e “External ID”.
Para acesso a FINOPS e Melhores Práticas (Recomendações e Oportunidades), você pode usar a Managed Policy “ReadOnlyAccess” atrelado a este IAM Role.
Pronto! Você tem uma configuração segura, indicada como melhor prática do AWS e que não precisa se preocupar com rotação de chaves!
Nota: Se você já usa Access Keys e quer trocar para IAM Role, não é necessário apagar a conta. Basta “Configurar” o provedor AWS e trocar o modo de segurança passando um novo IAM Role.
Dúvidas? Entre em contato conosco.