Manajemen identitas dan akses di AWS Control Tower

Untuk melakukan operasi apa pun di landing zone Anda, seperti menyediakan akun di Account Factory atau membuat unit organisasi (OU) baru di konsol AWS Control Tower, baik AWS Identity and Access Management (IAM) atau AWS IAM Identity Center mengharuskan Anda untuk mengautentikasi bahwa Anda adalah pengguna yang disetujui. AWS Misalnya, jika Anda menggunakan konsol AWS Control Tower, Anda mengautentikasi identitas Anda dengan memberikan AWS kredensil Anda, seperti yang disediakan oleh administrator Anda.

Setelah Anda mengautentikasi identitas Anda, IAM mengontrol akses Anda AWS dengan sekumpulan izin yang ditentukan pada serangkaian operasi dan sumber daya tertentu. Jika Anda seorang administrator akun, Anda dapat menggunakan IAM untuk mengontrol akses pengguna IAM lainnya ke sumber daya yang terkait dengan akun Anda.

Topik

• Autentikasi
• Kontrol akses
• Bekerja dengan AWS IAM Identity Center dan AWS Control Tower
• Gambaran umum tentang mengelola izin akses ke sumber daya AWS Control Tower Anda
• Mencegah peniruan identitas lintas layanan
• Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower

Autentikasi

Anda memiliki akses ke AWS salah satu jenis identitas berikut:

• AWS pengguna root akun — Ketika Anda pertama kali membuat AWS akun, Anda mulai dengan identitas yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Identitas ini disebut pengguna root AWS akun. Anda memiliki akses ke identitas ini ketika Anda masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari, bahkan tugas administratif. Sebagai gantinya, patuhi praktik terbaik menggunakan pengguna root hanya untuk membuat pengguna Pusat Identitas IAM pertama Anda (disarankan) atau pengguna IAM (bukan praktik terbaik dalam sebagian besar kasus penggunaan). Kemudian, kunci kredensial pengguna akar dengan aman dan gunakan kredensial itu untuk melakukan beberapa tugas manajemen akun dan layanan saja. Untuk informasi selengkapnya, lihat Kapan harus masuk sebagai pengguna root.

• Pengguna IAM — Pengguna IAM adalah identitas dalam AWS akun Anda yang memiliki izin khusus dan disesuaikan. Anda dapat menggunakan kredensil pengguna IAM untuk masuk guna mengamankan AWS halaman web seperti Konsol AWS Manajemen, Forum AWS Diskusi, atau Pusat Dukungan. AWS AWS praktik terbaik merekomendasikan agar Anda membuat pengguna IAM Identity Center alih-alih pengguna IAM, karena ada lebih banyak risiko keamanan saat Anda membuat pengguna IAM yang memiliki kredensi jangka panjang.

  Jika Anda harus membuat pengguna IAM untuk tujuan tertentu, selain kredensi masuk, Anda dapat membuat kunci akses untuk setiap pengguna IAM. Anda dapat menggunakan kunci ini ketika Anda memanggil AWS layanan secara terprogram, baik melalui salah satu dari beberapa SDK atau dengan menggunakan AWS Command Line Interface (CLI). Alat SDK dan CLI menggunakan access key untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. AWS Control Tower mendukung Signature Version 4, protokol untuk mengautentikasi permintaan API masuk. Untuk informasi selengkapnya tentang mengautentikasi permintaan, lihat Proses Penandatanganan Versi Tanda Tangan 4 di Referensi AWS Umum.

• IAM role – IAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. Peran IAM mirip dengan pengguna IAM karena merupakan AWS identitas, dan memiliki kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, kredensial keamanan sementara untuk sesi peran Anda akan diberikan. Peran IAM dengan kredensial sementara berguna dalam situasi berikut:

  • Akses pengguna federasi — Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas yang ada dari AWS Directory Service, direktori pengguna perusahaan Anda, atau penyedia identitas web. Ini dikenal sebagai pengguna federasi. AWS memberikan peran kepada pengguna federasi ketika akses diminta melalui penyedia identitas. Untuk informasi lebih lanjut tentang pengguna gabungan, lihat Pengguna Gabungan dan Peran di Panduan Pengguna IAM.

  • AWS Akses layanan — Peran layanan adalah peran IAM yang diasumsikan oleh layanan untuk melakukan tindakan di akun Anda atas nama Anda. Ketika Anda mengatur beberapa lingkungan AWS layanan, Anda harus menentukan peran untuk layanan untuk mengambil alih. Peran layanan ini harus mencakup semua izin yang diperlukan untuk layanan untuk mengakses AWS sumber daya yang dibutuhkan. Peran layanan bervariasi dari layanan ke layanan, tetapi banyak yang memungkinkan Anda memilih izin selama Anda memenuhi persyaratan yang didokumentasikan untuk layanan tersebut. Peran layanan hanya menyediakan akses dalam akun Anda dan tidak dapat digunakan untuk memberikan akses ke layanan dalam akun lain. Anda dapat membuat, memodifikasi, dan menghapus peran layanan dari dalam IAM. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk mengakses bucket Amazon S3 atas nama Anda dan kemudian memuat data yang tersimpan di bucket ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna IAM.

  • Aplikasi yang berjalan di Amazon EC2 - Anda dapat menggunakan peran IAM untuk mengelola kredensi sementara untuk aplikasi yang berjalan pada instans Amazon EC2 dan membuat permintaan CLI atau API. AWS AWS Ini lebih baik untuk menyimpan kunci akses dalam instans Amazon EC2. Untuk menetapkan AWS peran ke instans Amazon EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instans yang dilampirkan ke instans. Profil instans berisi peran dan memungkinkan program yang berjalan di instans Amazon EC2 untuk mendapatkan kredensi sementara. Untuk informasi selengkapnya, lihat Menggunakan IAM role untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2 dalam Panduan pengguna IAM.

• Otentikasi pengguna IAM Identity Center ke portal pengguna IAM Identity Center dikendalikan oleh direktori yang telah Anda sambungkan ke IAM Identity Center. Namun, otorisasi ke AWS akun yang tersedia untuk pengguna akhir dari dalam portal pengguna ditentukan oleh dua faktor:

  • Siapa yang telah diberi akses ke AWS akun tersebut di konsol Pusat AWS Identitas IAM. Untuk informasi selengkapnya, lihat Akses Masuk Tunggal di AWS IAM Identity Center Panduan Pengguna.

  • Tingkat izin apa yang telah diberikan kepada pengguna akhir di konsol Pusat Identitas AWS IAM untuk memungkinkan mereka akses yang sesuai ke akun tersebut. AWS Untuk informasi selengkapnya, lihat Set Izin di Panduan AWS IAM Identity Center Pengguna.

Kontrol akses

Untuk membuat, memperbarui, menghapus, atau mencantumkan sumber daya AWS Control Tower, atau AWS sumber daya lain di landing zone, Anda memerlukan izin untuk melakukan operasi, dan Anda memerlukan izin untuk mengakses sumber daya terkait. Selain itu, untuk melakukan operasi secara terprogram, Anda memerlukan kunci akses yang valid.

Bagian berikut menjelaskan cara mengelola izin untuk AWS Control Tower:

Topik

• Gambaran umum tentang mengelola izin akses ke sumber daya AWS Control Tower Anda

• Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower