Postagens

Mostrando postagens com o rótulo Segurança

Obtendo o Instance ID via Metadados do EC2: Por que IMDSv2 é Mais Seguro que V1

Você está escrevendo um script de inicialização ou uma rotina de automação que precisa saber em qual instância EC2 está rodando — e a pergunta natural é: como obter o Instance ID de dentro da própria máquina, sem depender de variáveis de ambiente ou arquivos de configuração externos? A resposta está no Instance Metadata Service (IMDS), mas a forma como você o acessa faz toda a diferença do ponto de vista de segurança. TL;DR — Resumo Rápido Aspecto IMDSv1 IMDSv2 Autenticação Nenhuma — requisição direta Token de sessão obrigatório Vulnerabilidade SSRF Exposta Mitigada pelo token Método HTTP GET simples PUT para obter token, depois GET Recomendação AWS Legado — evitar Padrão recomendado Configuração necessária Nenhuma Nenhuma (habilitado por padrão em novas instâncias) Como o Instance Metadata Service Funciona O IMDS é um endpoint HTTP local disponível em http://169.254.169.254 — um endereço lin...
Postar um comentário
Leia mais

Diferença entre IAM User e IAM Role na AWS: Quando Usar Cada Um

Se você já tentou configurar uma aplicação rodando em EC2 para acessar o S3 e ficou em dúvida entre criar um IAM User com chaves de acesso ou anexar uma IAM Role, você não está sozinho — essa é uma das confusões mais comuns em ambientes AWS e a escolha errada deixa credenciais estáticas expostas em código ou variáveis de ambiente por meses sem ninguém perceber. TL;DR: IAM User vs IAM Role Característica IAM User IAM Role Identidade Pessoa ou sistema fixo Identidade assumível temporariamente Credenciais Access Key + Secret (estáticas) Credenciais temporárias via STS Rotação Manual, propensa a esquecimento Automática (gerenciada pela AWS) Uso em EC2 Não recomendado Recomendado (Instance Profile) MFA Suportado Suportado (ao assumir a role) Auditoria Por usuário Por sessão de role (com contexto) Como IAM User e IAM Role Funcionam na Prática Um IAM User representa uma identidade permanente den...
Postar um comentário
Leia mais

S3 Access Denied: Por que 'Bloquear Acesso Público' impede seu objeto mesmo após torná-lo público

Você fez upload de uma imagem no S3, marcou o objeto como público, copiou a URL e abriu no navegador — e recebeu um 403 Access Denied . A configuração de ACL do objeto está correta, mas o acesso público continua bloqueado. O culpado quase sempre é o Block Public Access no nível do bucket, uma camada de controle que opera acima das ACLs e políticas de objeto e que muita gente ignora até levar o primeiro 403 em produção. TL;DR — S3 Access Denied com objeto público Camada O que controla O que verificar Block Public Access (bucket) Bloqueia ACLs e políticas públicas no bucket inteiro aws s3api get-public-access-block --bucket NOME ACL do objeto Permissão pública no objeto individual aws s3api get-object-acl --bucket NOME --key CHAVE Bucket Policy Permissões baseadas em política no bucket aws s3api get-bucket-policy --bucket NOME Object Ownership Controla se ACLs são respeitadas ou ignoradas aws s3api get-buc...
Postar um comentário
Leia mais