Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Control Tower
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan ini sebagai keamanan cloud dan keamanan di cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk AWS Control Tower, lihat [AWS Layanan dalam Lingkup menurut Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, termasuk sensitivitas data, persyaratan perusahaan, serta hukum dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Control Tower. Topik berikut menunjukkan cara mengonfigurasi AWS Control Tower untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya AWS Control Tower Anda.
# Perlindungan Data di AWS Control Tower
[Model tanggung jawab AWS bersama model tanggung](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Control Tower. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan AWS Control Tower atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
**catatan**
Pencatatan aktivitas pengguna ditangani AWS CloudTrail secara otomatis di AWS Control Tower saat Anda mengatur landing zone.
Untuk informasi selengkapnya tentang perlindungan data, lihat postingan blog [Model Tanggung Jawab Bersama AWS dan GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) di *Blog Keamanan AWS *. AWS Control Tower menyediakan opsi berikut yang dapat Anda gunakan untuk membantu mengamankan konten yang ada di landing zone Anda:
**Topics**
+ [Enkripsi saat Data Tidak Berpindah](#data-protection-encryption-rest)
+ [Enkripsi Saat Data Berpindah](#data-protection-encryption-in-transit)
+ [Batasi Akses ke Konten](#data-protection-restrict-access)
## Enkripsi saat Data Tidak Berpindah
AWS Control Tower menggunakan bucket Amazon S3 dan database Amazon DynamoDB yang dienkripsi saat istirahat menggunakan Amazon S3-Managed Keys (SSE-S3) untuk mendukung landing zone Anda. Enkripsi ini dikonfigurasi secara default saat Anda mengatur landing zone. Secara opsional, Anda dapat mengonfigurasi landing zone untuk mengenkripsi sumber daya dengan kunci enkripsi KMS. Anda juga dapat membuat enkripsi saat istirahat untuk layanan yang Anda gunakan di landing zone Anda untuk layanan yang mendukungnya. Untuk informasi selengkapnya, lihat bagian keamanan dokumentasi online layanan tersebut.
## Enkripsi Saat Data Berpindah
AWS Control Tower menggunakan Transport Layer Security (TLS) dan enkripsi sisi klien untuk enkripsi saat transit guna mendukung landing zone Anda. Selain itu, mengakses AWS Control Tower memerlukan penggunaan konsol, yang hanya dapat diakses melalui titik akhir HTTPS. Enkripsi ini dikonfigurasi secara default saat Anda mengatur landing zone.
## Batasi Akses ke Konten
Sebagai praktik terbaik, Anda harus membatasi akses ke subset pengguna yang sesuai. Dengan AWS Control Tower, Anda dapat melakukan ini dengan memastikan bahwa administrator cloud pusat dan pengguna akhir Anda memiliki izin IAM yang tepat atau, dalam kasus pengguna IAM Identity Center, bahwa mereka berada dalam grup yang benar.
+ Untuk informasi selengkapnya tentang peran dan kebijakan untuk entitas IAM, lihat *[Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
+ Untuk informasi selengkapnya tentang grup Pusat Identitas IAM yang dibuat saat Anda menyiapkan landing zone, lihat[Grup Pusat Identitas IAM untuk AWS Control Tower](sso-groups.md).
# Validasi Kepatuhan untuk AWS Control Tower
AWS Control Tower adalah layanan yang dirancang dengan baik yang dapat membantu organisasi Anda memenuhi kebutuhan kepatuhan Anda dengan kontrol dan praktik terbaik. Selain itu, auditor pihak ketiga menilai keamanan dan kepatuhan sejumlah layanan yang dapat Anda gunakan di landing zone Anda sebagai bagian dari beberapa program AWS kepatuhan. Program ini mencakup SOC, PCI, FedRAMP, HIPAA, dan lainnya.
Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/). Untuk informasi umum, lihat [Program Kepatuhan AWS](https://aws.amazon.com/compliance/programs/).
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifak](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) di *AWS Artifact Panduan Pengguna*.
Tanggung jawab kepatuhan Anda saat menggunakan AWS Control Tower ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, serta hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Memulai Cepat Keamanan dan Kepatuhan — Panduan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) penerapan ini membahas pertimbangan arsitektur dan memberikan langkah-langkah untuk menerapkan lingkungan dasar yang berfokus pada keamanan dan kepatuhan. AWS
+ [Arsitektur untuk Keamanan dan Kepatuhan HIPAA di Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) — Whitepaper ini menjelaskan bagaimana perusahaan dapat menggunakan AWS untuk membuat aplikasi yang sesuai dengan HIPAA.
+ [AWS Sumber Daya Kepatuhan](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) AWS Layanan ini menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
# Ketahanan di AWS Control Tower
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan.
AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung melalui latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Availability Zones memungkinkan Anda merancang dan mengoperasikan aplikasi dan database yang secara otomatis gagal di antara Availability Zone tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat[Bagaimana AWS Wilayah Bekerja Dengan AWS Control Tower](region-how.md).
*Wilayah asal* Anda didefinisikan sebagai AWS Wilayah tempat landing zone Anda didirikan.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan Infrastruktur di AWS Control Tower
AWS Control Tower dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam [whitepaper Amazon Web Services: Tinjauan Proses Keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Anda menggunakan panggilan API yang AWS dipublikasikan untuk akses ke AWS layanan dan sumber daya dalam landing zone Anda melalui jaringan. Kami memerlukan Transport Layer Security (TLS) 1.2 dan merekomendasikan Transport Layer Security (TLS) 1.3 atau yang lebih baru. Klien juga harus mendukung cipher suite dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern seperti Java 7 dan sistem yang lebih baru mendukung mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
Anda dapat mengatur grup keamanan untuk menyediakan keamanan infrastruktur jaringan tambahan untuk beban kerja landing zone AWS Control Tower Anda. Lihat informasi yang lebih lengkap di [Panduan: Mengatur Grup Keamanan di AWS Control Tower Dengan AWS Firewall Manager](firewall-setup-walkthrough.md).