Pertimbangan keamanan Identitas federasi Autentikasi multi-faktor (MFA)Akses terprogram Alternatif untuk kunci akses jangka panjang Mengakses AWS menggunakan kredensi Anda AWS

Kredensial keamanan AWS

Saat Anda berinteraksi dengan AWS, Anda menentukan kredensial keamanan AWS untuk memverifikasi siapa Anda dan apakah memiliki izin untuk mengakses sumber daya yang Anda minta. AWSmenggunakan kredensial keamanan untuk mengautentikasi dan mengotorisasi permintaan Anda.

Misalnya, jika ingin mengunduh file yang dilindungi dari bucket Amazon Simple Storage Service (Amazon S3), kredensial Anda harus mengizinkan akses tersebut. Jika kredensi Anda tidak menunjukkan bahwa Anda berwenang untuk mengunduh file, tolak permintaan AndaAWS. Namun, kredensi AWS keamanan Anda tidak diperlukan bagi Anda untuk mengunduh file di bucket Amazon S3 yang dibagikan secara publik.

Ada berbagai jenis pengguna diAWS. Semua pengguna AWS memiliki kredensial keamanan. Ada pemilik akun (pengguna root), pengguna federasipengguna di Pusat Identitas AWS IAM, dan pengguna IAM.

Pengguna memiliki kredensi keamanan jangka panjang atau sementara. Pengguna root, pengguna IAM, dan kunci akses memiliki kredenal keamanan jangka panjang yang tidak kedaluwarsa. Untuk melindungi kredensi jangka panjang, ada proses untuk mengelola kunci akses, mengubah kata sandi, dan mengaktifkan MFA.

Peran IAM,pengguna di Pusat Identitas AWS IAM, dan pengguna federasi memiliki kredensi keamanan sementara. Kredensi keamanan sementara kedaluwarsa setelah jangka waktu tertentu atau ketika pengguna mengakhiri sesi mereka. Kredensi sementara bekerja hampir identik dengan kredensi jangka panjang, dengan perbedaan berikut:

Kredensial keamanan sementara bersifat jangka pendek, seperti namanya. Konfigurasi dapat berlangsung selama beberapa menit hingga beberapa jam. Setelah kredensial kedaluwarsa, AWS tidak lagi mengenali mereka atau mengizinkan akses apa pun dari permintaan API yang dibuat bersama mereka.
Kredensial keamanan sementara tidak disimpan dengan pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Ketika (atau bahkan sebelum) kredensial keamanan sementara kedaluwarsa, pengguna dapat meminta kredensial baru, selama pengguna yang memintanya masih memiliki izin untuk melakukannya.

Akibatnya, kredensi sementara memiliki keunggulan sebagai berikut dibandingkan kredensi jangka panjang:

Anda tidak perlu mendistribusikan atau menyematkan kredensial keamanan AWS jangka panjang dengan aplikasi.
Anda dapat memberikan akses ke sumber daya AWS Anda kepada pengguna tanpa harus menentukan identitas AWS untuk mereka. Kredensial sementara adalah dasar untuk peran dan federasi identitas.
Kredensi keamanan sementara memiliki masa pakai yang terbatas, jadi Anda tidak perlu memperbaruinya atau mencabutnya secara eksplisit saat tidak lagi diperlukan. Setelah kredensial keamanan sementara berakhir, kredensial tersebut tidak dapat digunakan kembali. Anda dapat menentukan berapa lama kredensial berlaku, hingga batas maksimum.

Pertimbangan keamanan

Kami menyarankan Anda mempertimbangkan informasi berikut saat menentukan ketentuan keamanan untuk AndaAkun AWS:

Saat Anda membuatAkun AWS, kami membuat pengguna root akun. Kredensi pengguna root (pemilik akun) memungkinkan akses penuh ke semua sumber daya di akun. Tugas pertama yang Anda lakukan dengan pengguna root adalah memberikan izin administratif pengguna lain kepada Anda Akun AWS sehingga Anda meminimalkan penggunaan pengguna root.
Anda tidak dapat menggunakan kebijakan IAM untuk menolak akses pengguna root ke sumber daya secara eksplisit. Anda hanya dapat menggunakan kebijakan kontrol layanan (SCP) AWS Organizations untuk membatasi izin pengguna root.
Jika Anda lupa atau kehilangan kata sandi pengguna root Anda, Anda harus memiliki akses ke alamat email yang terkait dengan akun Anda untuk mengatur ulang.
Jika Anda kehilangan kunci akses pengguna root Anda, Anda harus dapat masuk ke akun Anda sebagai pengguna root untuk membuat yang baru.
Jangan gunakan pengguna root untuk tugas sehari-hari Anda. Gunakan untuk melakukan tugas-tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna root.
Kredensial keamanan adalah khusus akun. Jika Anda memiliki akses ke beberapaAkun AWS, Anda memiliki kredensi terpisah untuk setiap akun.
Kebijakan menentukan tindakan apa yang dapat dilakukan pengguna, peran, atau anggota grup pengguna, pada AWS sumber daya mana, dan dalam kondisi apa. Dengan menggunakan kebijakan, Anda dapat mengontrol akses Layanan AWS dan sumber daya dengan aman di situs AndaAkun AWS. Jika Anda harus mengubah atau mencabut izin dalam menanggapi peristiwa keamanan, Anda menghapus atau mengubah kebijakan alih-alih membuat perubahan langsung pada identitas.
Pastikan untuk menyimpan kredensi masuk untuk pengguna IAM Akses Darurat Anda dan kunci akses apa pun yang Anda buat untuk akses terprogram di lokasi yang aman. Jika Anda kehilangan kunci akses, Anda harus masuk ke akun Anda untuk membuat yang baru.
Kami sangat menyarankan agar Anda menggunakan kredensi sementara yang disediakan oleh peran IAM dan pengguna federasi, bukan kredenal jangka panjang yang disediakan oleh pengguna IAM dan kunci akses.

Identitas federasi

Identitas federasi adalah pengguna dengan identitas eksternal yang diberikan AWS kredenal sementara yang dapat mereka gunakan untuk mengakses sumber daya yang aman. Akun AWS Identitas eksternal dapat berasal dari toko identitas perusahaan (seperti LDAP atau Windows Active Directory) atau dari pihak ketiga (seperti Login dengan Amazon, Facebook, atau Google). Identitas federasi tidak masuk dengan portal AWS Management Console atau AWS akses.

Untuk mengaktifkan identitas federasi untuk masuk ke AWS, Anda harus membuat URL khusus yang menyertakan. https://signin.aws.amazon.com/federation Untuk informasi selengkapnya, lihat Mengaktifkan akses broker identitas khusus ke konsol AWS.

Untuk informasi lebih lanjut tentang identitas federasi, lihat. Penyedia dan federasi identitas

Autentikasi multi-faktor (MFA)

Otentikasi multi-faktor (MFA) memberikan tingkat keamanan ekstra bagi pengguna yang dapat mengakses Anda. Akun AWS Untuk keamanan tambahan, kami sarankan Anda memerlukan MFA pada Pengguna root akun AWS kredensi dan semua pengguna IAM. Untuk informasi selengkapnya, lihat Menggunakan otentikasi multi-faktor (MFA) di AWS.

Saat mengaktifkan MFA dan masuk ke MFAAkun AWS, Anda akan diminta untuk mendapatkan kredensi masuk, ditambah respons yang dihasilkan oleh perangkat MFA, seperti kode, sentuhan atau ketukan, atau pemindaian biometrik. Saat Anda menambahkan MFA, Akun AWS pengaturan dan sumber daya Anda lebih aman.

Secara default, MFA tidak diaktifkan. Anda dapat mengaktifkan dan mengelola perangkat MFA untuk Pengguna root akun AWS dengan membuka halaman kredensi Keamanan atau dasbor IAM di. AWS Management Console Untuk informasi selengkapnya tentang mengaktifkan MFA untuk pengguna IAM, lihat. Mengaktifkan perangkat MFA untuk pengguna di AWS

Untuk informasi selengkapnya tentang masuk dengan perangkat autentikasi multi-faktor (MFA), lihat. Menggunakan perangkat MFA dengan halaman masuk IAM Anda

Akses terprogram

Anda memberikan kunci AWS akses Anda untuk melakukan panggilan terprogram ke AWS atau untuk menggunakan AWS Command Line Interface atauAWS Tools for PowerShell. Sebaiknya gunakan kunci akses jangka pendek jika memungkinkan.

Ketika Anda membuat kunci akses jangka panjang, Anda membuat ID kunci akses (misalnya,AKIAIOSFODNN7EXAMPLE) dan kunci akses rahasia (misalnya,wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) sebagai satu set. Secret access key hanya tersedia untuk diunduh saat Anda membuatnya. Jika tidak mengunduh secret access key atau kehilangannya, Anda harus membuat yang baru.

Dalam banyak skenario, Anda tidak memerlukan kunci akses jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda miliki saat membuat kunci akses untuk pengguna IAM). Sebagai gantinya, Anda dapat membuat IAM role dan membuat kredensial keamanan sementara. Kredensi keamanan sementara termasuk ID kunci akses dan kunci akses rahasia, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensialnya kedaluwarsa. Setelah kedaluwarsa, mereka tidak lagi valid.

ID kunci akses yang dimulai dengan AKIA adalah kunci akses jangka panjang untuk pengguna IAM atau pengguna Akun AWS root. ID kunci akses yang dimulai dengan ASIA adalah kunci akses kredensional sementara yang Anda buat menggunakan AWS STS operasi.

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengaksesAWS.

Untuk memberikan akses terprogram kepada pengguna, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses terprogram?	Ke	oleh
Identitas tenaga kerja (Pengguna dikelola di Pusat Identitas IAM)	Gunakan kredenal sementara untuk menandatangani permintaan terprogram keAWS CLI, AWS SDK, atau API. AWS	Mengikuti instruksi untuk antarmuka yang ingin Anda gunakan. UntukAWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDK, alat, dan AWS API, lihat autentikasi Pusat Identitas IAM di Panduan Referensi AWSSDK dan Alat.
IAM	Gunakan kredenal sementara untuk menandatangani permintaan terprogram keAWS CLI, AWS SDK, atau API. AWS	Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di Panduan Pengguna IAM.
IAM	(Tidak disarankan) Gunakan kredenal jangka panjang untuk menandatangani permintaan terprogram keAWS CLI, AWS SDK, atau API. AWS	Mengikuti instruksi untuk antarmuka yang ingin Anda gunakan. Untuk mengetahuiAWS CLI, lihat Mengautentikasi menggunakan kredensi pengguna IAM di Panduan Pengguna. AWS Command Line Interface Untuk AWS SDK dan alat bantu, lihat Mengautentikasi menggunakan kredensi jangka panjang di Panduan Referensi AWS SDK dan Alat. Untuk AWS API, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Pengguna mana yang membutuhkan akses terprogram?

oleh

Identitas tenaga kerja

(Pengguna dikelola di Pusat Identitas IAM)

Gunakan kredenal sementara untuk menandatangani permintaan terprogram keAWS CLI, AWS SDK, atau API. AWS

Mengikuti instruksi untuk antarmuka yang ingin Anda gunakan.

UntukAWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna.
Untuk AWS SDK, alat, dan AWS API, lihat autentikasi Pusat Identitas IAM di Panduan Referensi AWSSDK dan Alat.

IAM

Gunakan kredenal sementara untuk menandatangani permintaan terprogram keAWS CLI, AWS SDK, atau API. AWS

Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di Panduan Pengguna IAM.

IAM

(Tidak disarankan)

Gunakan kredenal jangka panjang untuk menandatangani permintaan terprogram keAWS CLI, AWS SDK, atau API. AWS

Mengikuti instruksi untuk antarmuka yang ingin Anda gunakan.

Untuk mengetahuiAWS CLI, lihat Mengautentikasi menggunakan kredensi pengguna IAM di Panduan Pengguna. AWS Command Line Interface
Untuk AWS SDK dan alat bantu, lihat Mengautentikasi menggunakan kredensi jangka panjang di Panduan Referensi AWS SDK dan Alat.
Untuk AWS API, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Alternatif untuk kunci akses jangka panjang

Untuk banyak kasus penggunaan umum, ada alternatif untuk kunci akses jangka panjang. Untuk meningkatkan keamanan akun Anda, pertimbangkan hal berikut.

Jangan menanamkan kunci akses jangka panjang dan kunci akses rahasia dalam kode aplikasi Anda atau dalam repositori kode — Sebagai gantinya, gunakanAWS Secrets Manager, atau solusi manajemen rahasia lainnya, sehingga Anda tidak perlu melakukan hardcode kunci dalam teks biasa. Aplikasi atau klien kemudian dapat mengambil rahasia bila diperlukan. Untuk informasi lebih lanjut, lihat Apa AWS Secrets Manager? dalam AWS Secrets Manager Panduan Pengguna.

Gunakan peran IAM untuk menghasilkan kredenal keamanan sementara bila memungkinkan — Selalu gunakan mekanisme untuk mengeluarkan kredensi keamanan sementara bila memungkinkan, bukan kunci akses jangka panjang. Kredensi keamanan sementara lebih aman karena tidak disimpan bersama pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Kredensi keamanan sementara memiliki masa pakai yang terbatas sehingga Anda tidak perlu mengelola atau memperbaruinya. Mekanisme yang menyediakan kunci akses sementara termasuk peran IAM atau otentikasi pengguna Pusat Identitas IAM. Untuk mesin yang berjalan di luar AWS Anda dapat menggunakan AWS Identity and Access ManagementPeran Di Mana Saja.
Gunakan alternatif untuk kunci akses jangka panjang untuk AWS Command Line Interface (AWS CLI) atau aws-shell — Alternatif termasuk yang berikut ini.
- AWS CloudShelladalah shell pra-otentikasi berbasis browser yang dapat Anda luncurkan langsung dari file. AWS Management Console Anda dapat menjalankan AWS CLI perintah melawan Layanan AWS melalui shell pilihan Anda (Bash, Powershell, atau Z shell). Ketika Anda melakukan ini, Anda tidak perlu mengunduh atau menginstal alat baris perintah. Untuk informasi lebih lanjut, lihat Apa AWS CloudShell? dalam AWS CloudShell Panduan Pengguna.
- AWS CLIIntegrasi versi 2 dengan AWS IAM Identity Center (IAM Identity Center). Anda dapat mengautentikasi pengguna dan memberikan kredensi jangka pendek untuk menjalankan perintah. AWS CLI Untuk mempelajari lebih lanjut, lihat Mengintegrasikan AWS CLI dengan Pusat Identitas IAM di Panduan AWS IAM Identity Center Pengguna dan Mengonfigurasi Pusat Identitas IAM AWS CLI untuk menggunakan di Panduan Pengguna. AWS Command Line Interface
Jangan membuat kunci akses jangka panjang untuk pengguna manusia yang memerlukan akses ke aplikasi atau Layanan AWS — IAM Identity Center dapat menghasilkan kredenal akses sementara untuk diakses oleh pengguna iDP eksternal Anda. Layanan AWS Ini menghilangkan kebutuhan untuk membuat dan mengelola kredensi jangka panjang di IAM. Di Pusat Identitas IAM, buat set izin Pusat Identitas IAM yang memberikan akses pengguna iDP eksternal. Kemudian tetapkan grup dari IAM Identity Center ke set izin yang dipilih. Akun AWS Untuk informasi selengkapnya, lihat Apa itu AWS IAM Identity Center, Connect ke penyedia identitas eksternal Anda, dan set Izin di Panduan AWS IAM Identity Center Pengguna.
Jangan menyimpan kunci akses jangka panjang dalam layanan AWS komputasi — Sebagai gantinya, tetapkan peran IAM untuk menghitung sumber daya. Ini secara otomatis memasok kredenal sementara untuk memberikan akses. Misalnya, saat membuat profil instans yang dilampirkan ke instans Amazon EC2, Anda dapat menetapkan AWS peran ke instans dan membuatnya tersedia untuk semua aplikasinya. Profil instans berisi peran dan memungkinkan program yang berjalan di instans Amazon EC2 untuk mendapatkan kredensi sementara. Untuk mempelajari lebih lanjut, lihat Menggunakan peran IAM untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2.

Mengakses AWS menggunakan kredensi Anda AWS

AWSmemerlukan berbagai jenis kredensi keamanan, tergantung pada bagaimana Anda mengakses AWS dan jenis AWS pengguna Anda. Misalnya, Anda menggunakan kredenal masuk untuk AWS Management Console sementara Anda menggunakan kunci akses untuk melakukan panggilan terprogram. AWS Selain itu, setiap identitas yang Anda gunakan, apakah itu pengguna root akun, pengguna AWS Identity and Access Management (IAM), pengguna, atau identitas federasi, memiliki kredensi unik di dalamnya. AWS IAM Identity Center AWS

Untuk step-by-step petunjuk tentang cara masuk AWS sesuai dengan jenis pengguna, lihat Cara masuk AWS di Panduan Pengguna AWS Masuk.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Keamanan

AWS pedoman audit keamanan