Mengelola kunci akses untuk pengguna IAM

penting

Sebagai praktik terbaik, gunakan kredensil keamanan sementara (seperti peran IAM) alih-alih membuat kredensil jangka panjang seperti kunci akses. Sebelum membuat kunci akses, tinjau alternatif untuk kunci akses jangka panjang.

Kunci akses adalah kredensil jangka panjang untuk pengguna IAM atau. Pengguna root akun AWS Anda dapat menggunakan kunci akses untuk menandatangani permintaan terprogram ke AWS CLI atau AWS API (secara langsung atau menggunakan AWS SDK). Untuk informasi selengkapnya, lihat Menandatangani permintaan AWS API.

Access key terdiri dari dua bagian: access key ID (misalnya, AKIAIOSFODNN7EXAMPLE) dan secret access key (misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Anda harus menggunakan ID kunci akses dan kunci akses rahasia bersama-sama untuk mengautentikasi permintaan Anda.

Saat Anda membuat pasangan access key, simpan access key ID dan secret access key di lokasi yang aman. Secret access key hanya tersedia saat Anda membuatnya. Jika Anda kehilangan secret access key, Anda harus menghapus access key dan membuat access key baru. Untuk lebih detailnya, lihat Menyetel ulang kata sandi atau kunci akses yang hilang atau terlupakan untuk AWS.

Anda dapat memiliki maksimal dua kunci akses per pengguna.

penting

Kelola kunci akses Anda dengan aman. Jangan berikan kunci akses Anda kepada pihak yang tidak berwenang, bahkan untuk membantu menemukan pengenal akun Anda. Dengan melakukan tindakan ini, Anda mungkin memberi seseorang akses permanen ke akun Anda.

Topik berikut merinci tugas manajemen yang terkait dengan kunci akses.

Izin diperlukan untuk mengelola kunci akses

catatan

iam:TagUseradalah izin opsional untuk menambahkan dan mengedit deskripsi untuk kunci akses. Untuk informasi selengkapnya, lihat Menandai pengguna IAM

Untuk membuat kunci akses untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Untuk memperbarui kunci akses untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Mengelola access key (konsol)

Anda dapat menggunakan AWS Management Console untuk mengelola kunci akses pengguna IAM.

Untuk membuat, memodifikasi, atau menghapus kunci akses Anda sendiri (konsol)

1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol IAM.

   catatan

   Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna dan informasi akun IAM Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih Masuk ke akun lain dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.

   Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.

2. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih Kredensi keamanan.

   

Lakukan salah satu hal berikut ini:

Untuk membuat kunci akses

1. Pada bagian Access key, pilih Buat access key. Jika Anda sudah memiliki dua kunci akses, tombol ini dinonaktifkan dan Anda harus menghapus kunci akses sebelum Anda dapat membuat yang baru.

2. Pada halaman praktik terbaik & alternatif kunci Access, pilih kasus penggunaan Anda untuk mempelajari opsi tambahan yang dapat membantu Anda menghindari pembuatan kunci akses jangka panjang. Jika Anda menentukan bahwa kasus penggunaan Anda masih memerlukan kunci akses, pilih Lainnya dan kemudian pilih Berikutnya.

3. (Opsional) Tetapkan nilai tag deskripsi untuk kunci akses. Ini menambahkan pasangan nilai kunci tag ke pengguna IAM Anda. Ini dapat membantu Anda mengidentifikasi dan memperbarui kunci akses nanti. Kunci tag diatur ke id kunci akses. Nilai tag diatur ke deskripsi kunci akses yang Anda tentukan. Setelah selesai, pilih Buat kunci akses.

4. Pada halaman Ambil kunci akses, pilih Tampilkan untuk mengungkapkan nilai kunci akses rahasia pengguna Anda, atau Unduh file.csv. Ini adalah satu-satunya kesempatan untuk menyimpan secret access key Anda. Setelah menyimpan kunci akses rahasia di lokasi yang aman, pilih Selesai.

Untuk menonaktifkan kunci akses

• Di bagian Kunci akses temukan kunci yang ingin Anda nonaktifkan, lalu pilih Tindakan, lalu pilih Nonaktifkan. Saat diminta konfirmasi, pilih Deactivate (Nonaktifkan). Access key yang dinonaktifkan masih diperhitungkan dalam batas dua access key Anda.

Untuk mengaktifkan kunci akses

• Di bagian Kunci akses, temukan kunci untuk mengaktifkan, lalu pilih Tindakan, lalu pilih Aktifkan.

Untuk menghapus kunci akses saat Anda tidak lagi membutuhkannya

• Di bagian Kunci akses, cari kunci yang ingin Anda hapus, lalu pilih Tindakan, lalu pilih Hapus. Ikuti instruksi dalam dialog untuk pertama Nonaktifkan dan kemudian konfirmasikan penghapusan. Sebaiknya verifikasi bahwa access key tidak lagi digunakan sebelum Anda menghapusnya secara permanen.

Untuk membuat, memodifikasi, atau menghapus kunci akses pengguna IAM lain (konsol)

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Pengguna.

3. Pilih nama pengguna yang access key-nya ingin Anda kelola, lalu pilih tab Kredensial keamanan.

4. Di bagian Tombol akses, lakukan salah satu hal berikut:

   • Untuk membuat access key, pilih Buat access key. Jika tombol dinonaktifkan, maka Anda harus menghapus salah satu kunci yang ada sebelum Anda dapat membuat yang baru. Pada halaman Praktik & Alternatif Terbaik Kunci Akses, tinjau praktik dan alternatif terbaik. Pilih kasus penggunaan Anda untuk mempelajari tentang opsi tambahan yang dapat membantu Anda menghindari membuat kunci akses jangka panjang. Jika Anda menentukan bahwa kasus penggunaan Anda masih memerlukan kunci akses, pilih Lainnya dan kemudian pilih Berikutnya. Pada halaman Retrieve access key, pilih Tampilkan untuk mengungkapkan nilai kunci akses rahasia pengguna Anda. Untuk menyimpan ID kunci akses dan kunci akses rahasia ke .csv file ke lokasi aman di komputer Anda, pilih tombol Unduh file.csv. Saat Anda membuat kunci akses untuk pengguna Anda, key pair tersebut aktif secara default, dan pengguna Anda dapat langsung menggunakan pasangan tersebut.

   • Untuk menonaktifkan kunci akses aktif, pilih Tindakan, lalu pilih Nonaktifkan.

   • Untuk mengaktifkan kunci akses tidak aktif, pilih Tindakan, lalu pilih Aktifkan.

   • Untuk menghapus kunci akses Anda, pilih Tindakan, lalu pilih Hapus. Ikuti instruksi dalam dialog untuk pertama Nonaktifkan dan kemudian konfirmasikan penghapusan. AWS merekomendasikan bahwa sebelum Anda melakukan ini, Anda terlebih dahulu menonaktifkan kunci dan menguji bahwa itu tidak lagi digunakan. Saat Anda menggunakan AWS Management Console, Anda harus menonaktifkan kunci Anda sebelum menghapusnya.

Untuk mencantumkan kunci akses untuk pengguna IAM (konsol)

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Pengguna.

3. Pilih nama pengguna yang dimaksud, lalu pilih tab Kredensial keamanan. Di bagian tombol Akses, Anda akan melihat tombol akses pengguna dan status setiap tombol ditampilkan.

   catatan

   Hanya access key ID pengguna yang terlihat. Secret access key hanya dapat diambil kembali saat kunci dibuat.

Untuk mencantumkan ID kunci akses untuk beberapa pengguna IAM (konsol)

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Pengguna.

3. Jika perlu, tambahkan kolom access key ID pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:

   1. Di atas tabel di ujung kanan, pilih ikon pengaturan ( ).

   2. Di Kelola kolom, pilih access key ID.

   3. Pilih Tutup untuk kembali ke daftar pengguna.

4. Kolom access key ID menampilkan setiap access key ID, diikuti oleh statusnya; misalnya, 23478207027842073230762374023 (Aktif) atau 22093740239670237024843420327 (Tidak aktif).

   Anda dapat menggunakan informasi ini untuk melihat dan menyalin access key bagi pengguna dengan satu atau dua access key. Kolom menampilkan Tidak ada untuk pengguna yang tidak memiliki access key.

   catatan

   Hanya access key ID dan status pengguna yang terlihat. Kunci akses rahasia hanya dapat diambil kembali saat kunci dibuat.

Untuk menemukan pengguna IAM mana yang memiliki kunci akses khusus (konsol)

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Pengguna.

3. Di kotak pencarian, ketik atau tempelkan access key ID pengguna yang ingin Anda temukan.

4. Jika perlu, tambahkan kolom access key ID pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:

   1. Di atas tabel di ujung kanan, pilih ikon pengaturan ( ).

   2. Di Kelola kolom, pilih access key ID.

   3. Pilih Tutup untuk kembali ke daftar pengguna dan mengonfirmasi bahwa pengguna yang difilter memiliki access key tertentu.

Mengelola access key (AWS CLI)

Untuk mengelola kunci akses pengguna IAM dari AWS CLI, jalankan perintah berikut.

• Untuk membuat access key: aws iam create-access-key

• Untuk menonaktifkan atau mengaktifkan kunci akses: aws iam update-access-key

• Untuk mencantumkan access key pengguna: aws iam list-access-keys

• Untuk menentukan kapan access key digunakan baru-baru ini: aws iam get-access-key-last-used

• Untuk menghapus access key: aws iam delete-access-key

Mengelola kunci akses (AWS API)

Untuk mengelola kunci akses pengguna IAM dari AWS API, panggil operasi berikut.

• Untuk membuat access key: CreateAccessKey

• Untuk menonaktifkan atau mengaktifkan kunci akses: UpdateAccessKey

• Untuk mencantumkan access key pengguna: ListAccessKeys

• Untuk menentukan kapan access key digunakan baru-baru ini: GetAccessKeyLastUsed

• Untuk menghapus access key: DeleteAccessKey

Memperbarui kunci akses

Sebagai praktik keamanan terbaik, kami menyarankan Anda memperbarui kunci akses pengguna IAM saat diperlukan, seperti ketika seorang karyawan meninggalkan perusahaan Anda. Pengguna IAM dapat memperbarui kunci akses mereka sendiri jika mereka telah diberikan izin yang diperlukan.

Untuk detail tentang pemberian izin kepada pengguna IAM untuk memperbarui kunci akses mereka sendiri, lihat. AWS: Memungkinkan pengguna IAM untuk mengelola kata sandi, kunci akses, dan kunci publik SSH mereka sendiri di halaman kredensi Keamanan Anda juga dapat menerapkan kebijakan kata sandi ke akun Anda untuk mengharuskan semua pengguna IAM Anda memperbarui kata sandi mereka secara berkala dan seberapa sering mereka harus melakukannya. Untuk informasi selengkapnya, lihat Mengatur kebijakan kata sandi akun untuk pengguna IAM.

Topik

• Memperbarui kunci akses pengguna IAM (konsol)
• Memperbarui kunci akses (AWS CLI)
• Memperbarui kunci akses (AWS API)

Memperbarui kunci akses pengguna IAM (konsol)

Anda dapat memperbarui kunci akses dari file AWS Management Console.

Untuk memperbarui kunci akses untuk pengguna IAM tanpa mengganggu aplikasi Anda (konsol)

1. Meskipun access key pertama masih aktif, buat access key kedua.

   1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

   2. Di panel navigasi, pilih Pengguna.

   3. Pilih nama pengguna yang dimaksud, lalu pilih tab Kredensial keamanan.

   4. Pada bagian Access key, pilih Buat access key. Pada halaman Praktik & alternatif terbaik kunci Akses, pilih Lainnya, lalu pilih Berikutnya.

   5. (Opsional) Tetapkan nilai tag deskripsi untuk kunci akses untuk menambahkan pasangan nilai kunci tag ke pengguna IAM ini. Ini dapat membantu Anda mengidentifikasi dan memperbarui kunci akses nanti. Kunci tag diatur ke id kunci akses. Nilai tag diatur ke deskripsi kunci akses yang Anda tentukan. Setelah selesai, pilih Buat kunci akses.

   6. Pada halaman Ambil kunci akses, pilih Tampilkan untuk mengungkapkan nilai kunci akses rahasia pengguna Anda, atau Unduh file.csv. Ini adalah satu-satunya kesempatan untuk menyimpan secret access key Anda. Setelah menyimpan kunci akses rahasia di lokasi yang aman, pilih Selesai.

      Saat Anda membuat kunci akses untuk pengguna Anda, key pair tersebut aktif secara default, dan pengguna Anda dapat langsung menggunakan pasangan tersebut. Pada titik ini, pengguna memiliki dua access key aktif.

2. Perbarui semua aplikasi dan alat untuk menggunakan access key baru.

3. Tentukan apakah kunci akses pertama masih digunakan dengan meninjau informasi yang terakhir digunakan untuk kunci akses tertua. Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.

4. Bahkan jika Informasi terakhir yang digunakan menunjukkan bahwa kunci lama tidak pernah digunakan, kami sarankan Anda tidak segera menghapus kunci akses pertama. Sebagai gantinya, pilih Tindakan dan kemudian pilih Nonaktifkan untuk menonaktifkan kunci akses pertama.

5. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengaktifkan kembali kunci akses pertama. Lalu kembali ke Tahap 3 dan perbarui aplikasi ini untuk menggunakan kunci baru.

6. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama:

   1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

   2. Di panel navigasi, pilih Pengguna.

   3. Pilih nama pengguna yang dimaksud, lalu pilih tab Kredensial keamanan.

   4. Di bagian Kunci akses untuk kunci akses yang ingin Anda hapus, pilih Tindakan, lalu pilih Hapus. Ikuti instruksi dalam dialog untuk pertama Nonaktifkan dan kemudian konfirmasikan penghapusan.

Untuk menentukan kunci akses mana yang perlu diperbarui atau dihapus (konsol)

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Pengguna.

3. Jika perlu, tambahkan kolom Usia access key pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:

   1. Di atas tabel di ujung kanan, pilih ikon pengaturan ( ).

   2. Di Kelola kolom, pilih Usia access key.

   3. Pilih Tutup untuk kembali ke daftar pengguna.

4. Kolom Usia access key menunjukkan jumlah hari sejak access key aktif tertua dibuat. Anda dapat menggunakan informasi ini untuk menemukan pengguna dengan kunci akses yang mungkin perlu diperbarui atau dihapus. Kolom menampilkan Tidak ada untuk pengguna yang tidak memiliki access key.

Memperbarui kunci akses (AWS CLI)

Anda dapat memperbarui kunci akses dari file AWS Command Line Interface.

Untuk memperbarui kunci akses tanpa mengganggu aplikasi Anda ()AWS CLI

1. Meskipun access key pertama masih aktif, buat access key kedua, yang secara default aktif. Jalankan perintah berikut:

   • aws iam create-access-key

     Pada titik ini, pengguna memiliki dua access key aktif.

2. Perbarui semua aplikasi dan alat untuk menggunakan access key baru.

3. Tentukan apakah access key pertama masih digunakan dengan perintah ini:

   • aws iam get-access-key-last-used

   Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.

4. Bahkan jika langkah Tahap 3 tidak menunjukkan penggunaan kunci lama, kami sarankan agar Anda tidak segera menghapus access key pertama. Alih-alih, ubah status access key pertama ke Inactive menggunakan perintah ini:

   • aws iam update-access-key

5. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengubah statusnya kembali Active untuk mengaktifkan kembali kunci akses pertama. Lalu kembali ke langkah Tahap 2 dan perbarui aplikasi ini untuk menggunakan kunci baru.

6. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama dengan perintah ini:

   • aws iam delete-access-key

Memperbarui kunci akses (AWS API)

Anda dapat memperbarui kunci akses menggunakan AWS API.

Untuk memperbarui kunci akses tanpa mengganggu aplikasi Anda (API)AWS

1. Meskipun access key pertama masih aktif, buat access key kedua, yang secara default aktif. Hubungi operasi berikut ini:

   • CreateAccessKey

     Pada titik ini, pengguna memiliki dua access key aktif.

2. Perbarui semua aplikasi dan alat untuk menggunakan access key baru.

3. Tentukan apakah access key pertama masih digunakan dengan menghubungi operasi ini:

   • GetAccessKeyLastUsed

   Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.

4. Bahkan jika langkah Tahap 3 tidak menunjukkan penggunaan kunci lama, kami sarankan agar Anda tidak segera menghapus access key pertama. Alih-alih, ubah status access key pertama ke Inactive dengan operasi ini:

   • UpdateAccessKey

5. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengubah statusnya kembali Active untuk mengaktifkan kembali kunci akses pertama. Lalu kembali ke langkah Tahap 2 dan perbarui aplikasi ini untuk menggunakan kunci baru.

6. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama dengan memanggil operasi ini:

   • DeleteAccessKey

Mengamankan kunci akses

Siapa pun yang memiliki kunci akses Anda memiliki tingkat akses yang sama ke AWS sumber daya Anda seperti yang Anda lakukan. Akibatnya, AWS berupaya keras untuk melindungi kunci akses Anda, dan, sesuai dengan model tanggung jawab bersama kami, Anda juga harus melakukannya.

Perluas bagian berikut untuk panduan untuk membantu Anda melindungi kunci akses Anda.

catatan

Organisasi Anda mungkin memiliki persyaratan dan kebijakan keamanan yang berbeda dari yang dijelaskan dalam topik ini. Saran yang diberikan di sini dimaksudkan sebagai pedoman umum.

Hapus (atau jangan buat) kunci Pengguna root akun AWS akses

Salah satu cara terbaik untuk melindungi akun Anda adalah dengan tidak memiliki kunci akses untuk Anda Pengguna root akun AWS. Kecuali Anda harus memiliki kunci akses pengguna root (yang jarang terjadi), yang terbaik adalah tidak membuatnya. Sebagai gantinya, buat pengguna administratif AWS IAM Identity Center untuk tugas administratif harian.Untuk informasi tentang cara membuat pengguna administratif di Pusat Identitas IAM, lihat Memulai di Panduan Pengguna Pusat Identitas IAM.

Jika Anda sudah memiliki kunci akses pengguna root untuk akun Anda, kami sarankan yang berikut: Temukan tempat di aplikasi Anda di mana Anda saat ini menggunakan kunci akses (jika ada), dan ganti kunci akses pengguna root dengan kunci akses pengguna IAM. Kemudian nonaktifkan dan hapus kunci akses pengguna root. Untuk informasi selengkapnya tentang cara memperbarui kunci akses, lihat Memperbarui kunci akses

Gunakan kredensil keamanan sementara (peran IAM) alih-alih kunci akses jangka panjang

Dalam banyak skenario, Anda tidak memerlukan access key jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda lakukan dengan pengguna IAM). Sebagai gantinya, Anda dapat membuat IAM role dan membuat kredensial keamanan sementara. Kredensial keamanan sementara terdiri dari access key ID dan secret access key, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensial kedaluwarsa.

Kunci akses jangka panjang, seperti yang terkait dengan pengguna IAM dan pengguna root, tetap valid sampai Anda mencabutnya secara manual. Namun, kredensi keamanan sementara yang diperoleh melalui peran IAM dan fitur lain dari AWS Security Token Service kedaluwarsa setelah periode waktu yang singkat. Gunakan kredensial keamanan sementara untuk membantu mengurangi risiko Anda jika kredensial terekspos secara tidak sengaja.

Gunakan IAM role dan kredensial keamanan sementara dalam skenario berikut:

• Anda memiliki aplikasi atau AWS CLI skrip yang berjalan pada instans Amazon EC2. Jangan gunakan kunci akses langsung di aplikasi Anda. Jangan memberikan access key ke aplikasi, menyematkannya di aplikasi, atau membiarkan aplikasi membaca access key dari sumber mana pun. Sebagai gantinya, tentukan peran IAM yang memiliki izin yang sesuai untuk aplikasi Anda dan luncurkan instans Amazon Elastic Compute Cloud (Amazon EC2) dengan peran untuk EC2. Melakukan hal ini akan mengaitkan IAM role dengan instans Amazon EC2. Praktik ini juga memungkinkan aplikasi untuk mendapatkan kredensil keamanan sementara yang pada gilirannya dapat digunakan untuk melakukan panggilan terprogram. AWS AWS SDK dan AWS Command Line Interface (AWS CLI) bisa mendapatkan kredensi sementara dari peran secara otomatis.

• Anda perlu memberikan akses lintas akun. Gunakan IAM role untuk membangun kepercayaan antar akun, lalu berikan izin terbatas kepada pengguna dalam satu akun untuk mengakses akun tepercaya. Untuk informasi selengkapnya, lihat Tutorial IAM: Delegasikan akses di seluruh AWS akun menggunakan peran IAM.

• Anda memiliki aplikasi seluler. Jangan menyematkan kunci akses dengan aplikasi, bahkan di penyimpanan terenkripsi. Sebagai gantinya, gunakan Amazon Cognito untuk mengelola identitas pengguna di aplikasi Anda. Layanan ini memungkinkan Anda mengautentikasi pengguna menggunakan Login with Amazon, Facebook, Google, atau penyedia identitas yang kompatibel dengan OpenID Connect (OIDC). Anda kemudian dapat menggunakan penyedia kredensial Amazon Cognito untuk mengelola kredensial yang digunakan aplikasi Anda untuk membuat permintaan ke AWS.

• Anda ingin bergabung ke dalam AWS dan organisasi Anda mendukung SAFL 2.0. Jika Anda bekerja untuk organisasi yang memiliki penyedia identitas yang mendukung SAML 2.0, konfigurasi penyedia untuk menggunakan SAML. Anda dapat menggunakan SALL untuk bertukar informasi otentikasi dengan AWS dan mendapatkan kembali satu set kredensi keamanan sementara. Untuk informasi selengkapnya, lihat Federasi SAML 2.0.

• Anda ingin bergabung ke dalam AWS dan organisasi Anda memiliki toko identitas lokal. Jika pengguna dapat mengautentikasi di dalam organisasi Anda, Anda dapat menulis aplikasi yang dapat mengeluarkan kredensi keamanan sementara untuk akses ke sumber daya. AWS Untuk informasi selengkapnya, lihat Mengaktifkan akses broker identitas khusus ke konsol AWS.

catatan

Apakah Anda menggunakan instans Amazon EC2 dengan aplikasi yang memerlukan akses terprogram ke sumber daya? AWS Jika demikian, gunakan peran IAM untuk EC2.

Kelola kunci akses pengguna IAM dengan benar

Jika Anda harus membuat kunci akses untuk akses terprogram AWS, buat mereka untuk pengguna IAM, memberikan pengguna hanya izin yang mereka butuhkan.

Perhatikan tindakan pencegahan ini untuk membantu melindungi kunci akses pengguna IAM:

• Jangan menanamkan kunci akses langsung ke kode. AWS SDK dan AWS Command Line Tools memungkinkan Anda untuk menempatkan kunci akses di lokasi yang diketahui sehingga Anda tidak perlu menyimpannya dalam kode.

  Letakkan access key di salah satu lokasi berikut:

  • File AWS kredensialnya. AWS SDK dan AWS CLI secara otomatis menggunakan kredensil yang Anda simpan di file kredensial. AWS

    Untuk informasi tentang menggunakan file AWS kredensial, lihat dokumentasi untuk SDK Anda. Contohnya termasuk Set AWS Credentials dan Region dalam Panduan AWS SDK for Java Pengembang dan Konfigurasi dan file kredensi di Panduan Pengguna.AWS Command Line Interface

    Untuk menyimpan kredensil untuk AWS SDK for .NET dan AWS Tools for Windows PowerShell, kami sarankan Anda menggunakan SDK Store. Untuk informasi selengkapnya, lihat Menggunakan Penyimpanan SDK di Panduan Developer AWS SDK for .NET .

  • Variabel lingkungan. Pada sistem multi-tenant, pilih variabel lingkungan pengguna, bukan variabel lingkungan sistem.

    Untuk informasi selengkapnya tentang menggunakan variabel lingkungan untuk menyimpan kredensial, lihat Variabel Lingkungan di Panduan Pengguna AWS Command Line Interface .

• Gunakan tombol akses yang berbeda untuk aplikasi yang berbeda. Lakukan ini sehingga Anda dapat mengisolasi izin dan mencabut kunci akses untuk aplikasi individual jika diekspos. Memiliki kunci akses terpisah untuk aplikasi yang berbeda juga menghasilkan entri yang berbeda dalam file AWS CloudTraillog. Konfigurasi ini memudahkan Anda untuk menentukan aplikasi mana yang melakukan tindakan tertentu.

• Perbarui tombol akses bila diperlukan. Jika ada risiko bahwa kunci akses dapat dikompromikan, perbarui kunci akses dan hapus kunci akses sebelumnya. Untuk detailnya, lihat Memperbarui kunci akses

• Hapus kunci akses yang tidak digunakan. Jika pengguna keluar dari organisasi Anda, hapus pengguna IAM yang sesuai sehingga pengguna tidak dapat lagi mengakses sumber daya Anda. Untuk mengetahui kapan kunci akses terakhir digunakan, gunakan GetAccessKeyLastUsedAPI (AWS CLI command: aws iam get-access-key-last-used).

• Gunakan kredenal sementara dan konfigurasikan autentikasi multi-faktor untuk operasi API Anda yang paling sensitif. Dengan kebijakan IAM, Anda dapat menentukan operasi API mana yang diizinkan untuk dipanggil oleh pengguna. Dalam beberapa kasus, Anda mungkin menginginkan keamanan tambahan yang mengharuskan pengguna diautentikasi dengan AWS MFA sebelum Anda mengizinkan mereka melakukan tindakan yang sangat sensitif. Misalnya, Anda mungkin memiliki kebijakan yang memungkinkan pengguna untuk melakukan Amazon EC2 RunInstances, DescribeInstances, dan StopInstances. Tetapi Anda mungkin ingin membatasi tindakan destruktif seperti TerminateInstances dan memastikan bahwa pengguna dapat melakukan tindakan itu hanya jika mereka mengautentikasi dengan perangkat AWS MFA. Untuk informasi selengkapnya, lihat Mengonfigurasi akses API yang dilindungi MFA.

Akses aplikasi seluler menggunakan tombol AWS akses

Anda dapat mengakses serangkaian AWS layanan dan fitur terbatas menggunakan aplikasi AWS seluler. Aplikasi seluler membantu Anda mendukung respons insiden saat bepergian. Untuk informasi selengkapnya dan untuk mengunduh aplikasi, lihat AWS Console Mobile Application.

Anda dapat masuk ke aplikasi seluler menggunakan kata sandi konsol atau access key Anda. Sebagai praktik terbaik, jangan gunakan access key pengguna root. Sebagai gantinya, kami sangat menyarankan bahwa selain menggunakan kata sandi atau kunci biometrik pada perangkat seluler Anda, Anda membuat pengguna IAM khusus untuk mengelola AWS sumber daya menggunakan aplikasi seluler. Jika perangkat seluler hilang, Anda dapat menghapus akses pengguna IAM.

Untuk masuk menggunakan access key (aplikasi seluler)

1. Buka aplikasi di perangkat seluler Anda.

2. Jika ini pertama kalinya Anda menambahkan identitas ke perangkat, pilih Add an identity (Tambahkan identitas), lalu pilih Access key.

   Jika Anda telah masuk menggunakan identitas lain, pilih ikon menu dan pilih Switch identity (Ganti identitas). Kemudian pilih Sign in as a different identity (Masuk sebagai identitas yang berbeda), lalu Access key.

3. Di halaman Access key, masukkan informasi Anda:

   • Access key ID – Masukkan access key ID Anda.

   • Secret access key – Masukkan secret access key Anda.

   • Nama identitas – Masukkan nama identitas yang akan muncul di aplikasi seluler. Ini tidak harus cocok dengan nama pengguna IAM Anda.

   • PIN Identitas – Buat nomor identifikasi pribadi (PIN) yang akan Anda gunakan untuk masuk di masa mendatang.

     catatan

     Jika Anda mengaktifkan biometrik untuk aplikasi AWS seluler, Anda akan diminta untuk menggunakan sidik jari atau pengenalan wajah untuk verifikasi, bukan PIN. Jika biometrik gagal, Anda mungkin diminta memasukkan PIN.

4. Pilih Verify and add keys (Verifikasi dan tambahkan kunci).

   Sekarang Anda dapat mengakses set sumber daya tertentu menggunakan aplikasi seluler.

Informasi terkait

Topik berikut memberikan panduan untuk menyiapkan AWS SDK dan kunci AWS CLI akses yang akan digunakan:

• Menetapkan AWS kredensial dan Wilayah dalam Panduan Pengembang AWS SDK for Java

• Menggunakan SDK Store di Panduan AWS SDK for .NET Pengembang

• Memberikan Kredensi ke SDK di Panduan Pengembang AWS SDK for PHP

• Konfigurasi dalam dokumentasi Boto 3 (AWS SDK untuk Python)

• Menggunakan AWS Kredensial di Panduan Pengguna AWS Tools for Windows PowerShell

• File konfigurasi dan kredensi di AWS Command Line Interface Panduan Pengguna

• Memberikan akses menggunakan peran IAM dalam Panduan Pengembang AWS SDK for .NET

• Konfigurasikan peran IAM untuk Amazon EC2 di AWS SDK for Java 2.x

Mengaudit access key

Anda dapat meninjau kunci AWS akses dalam kode Anda untuk menentukan apakah kunci tersebut berasal dari akun yang Anda miliki. Anda dapat meneruskan ID kunci akses menggunakan aws sts get-access-key-info AWS CLI perintah atau operasi GetAccessKeyInfo AWS API.

Operasi AWS CLI dan AWS API mengembalikan ID dari Akun AWS kunci akses milik. ID kunci akses yang dimulai dengan AKIA adalah kredensil jangka panjang untuk pengguna IAM atau pengguna. Pengguna root akun AWS ID kunci akses yang dimulai dengan ASIA adalah kredensil sementara yang dibuat menggunakan AWS STS operasi. Jika akun dalam tanggapan ini adalah milik Anda, Anda dapat masuk sebagai pengguna utama dan meninjau kunci akses pengguna utama Anda. Lalu, Anda dapat menarik laporan kredensial untuk mempelajari pengguna IAM mana yang memilikinya. Untuk mengetahui siapa yang meminta kredensi sementara untuk kunci ASIA akses, lihat AWS STS peristiwa di log Anda CloudTrail .

Untuk tujuan keamanan, Anda dapat meninjau AWS CloudTrail log untuk mengetahui siapa yang melakukan tindakan AWS. Anda dapat menggunakan kunci syarat sts:SourceIdentity dalam peran kebijakan kepercayaan untuk mengharuskan pengguna menentukan identias saat mereka mengasumsikan sebuah peran. Misalnya, Anda dapat meminta agar pengguna IAM menentukan nama pengguna mereka sendiri sebagai identitas sumber mereka. Ini dapat membantu Anda menentukan pengguna mana yang melakukan tindakan tertentu di AWS. Untuk informasi selengkapnya, lihat sts:SourceIdentity.

Operasi ini tidak menunjukkan status access key. Kuncinya mungkin aktif, tidak aktif, atau dihapus. Kunci aktif mungkin tidak memiliki izin untuk melakukan operasi. Memberikan access key yang dihapus mungkin akan kembali sebagai kesalahan bahwa kunci tidak ada.