Mengatur Akun AWS keamanan - Amazon Nimble Studio
Hapus kunci akses akun AndaMengaktifkan autentikasi multi-faktorAktifkan CloudTrail di semua Wilayah AWSSiapkan Amazon GuardDuty dan notifikasi

Pemberitahuan akhir dukungan: Pada 22 Oktober 2024, AWS akan menghentikan dukungan untuk Amazon Nimble Studio. Setelah 22 Oktober 2024, Anda tidak akan lagi dapat mengakses konsol Nimble Studio atau sumber daya Nimble Studio.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur Akun AWS keamanan

Panduan ini menunjukkan cara mengatur Akun AWS agar Anda menerima pemberitahuan saat sumber daya Anda disusupi, dan untuk memungkinkan Akun AWS pengguna tertentu mengaksesnya. Untuk mengamankan Akun AWS dan melacak sumber daya Anda, selesaikan langkah-langkah berikut.

Hapus kunci akses akun Anda

Anda dapat mengizinkan akses terprogram ke AWS sumber daya Anda dari AWS Command Line Interface (AWS CLI) atau dengan AWS APIs. Namun, AWS menyarankan agar Anda tidak membuat atau menggunakan kunci akses yang terkait dengan akun root Anda untuk akses terprogram.

Jika Anda masih memiliki kunci akses, kami sarankan Anda menghapusnya dan membuat pengguna. Kemudian, berikan pengguna itu hanya izin yang diperlukan untuk APIs yang Anda rencanakan untuk dipanggil. Anda dapat menggunakan pengguna tersebut untuk mengeluarkan kunci akses.

Untuk informasi selengkapnya, lihat Mengelola Kunci Akses untuk Anda Akun AWS di Referensi Umum AWS panduan.

Mengaktifkan autentikasi multi-faktor

Multi-factor authentication (MFA) adalah kemampuan keamanan yang menyediakan lapisan otentikasi selain nama pengguna dan kata sandi Anda.

MFA bekerja seperti ini: Setelah Anda masuk dengan nama pengguna dan kata sandi Anda, Anda juga harus memberikan informasi tambahan yang hanya Anda yang memiliki akses fisik. Informasi ini dapat berasal dari perangkat keras MFA khusus, atau dari aplikasi di ponsel.

Anda harus memilih jenis perangkat MFA yang ingin Anda gunakan dari daftar perangkat MFA yang didukung. Untuk perangkat keras, simpan perangkat MFA di lokasi yang aman.

Jika Anda menggunakan perangkat MFA virtual (seperti aplikasi telepon), pikirkan apa yang mungkin terjadi jika ponsel Anda hilang atau rusak. Salah satu pendekatannya adalah menjaga perangkat MFA virtual yang Anda gunakan di tempat yang aman. Pilihan lain adalah mengaktifkan lebih dari satu perangkat secara bersamaan, atau menggunakan opsi MFA virtual untuk pemulihan kunci perangkat.

Untuk mempelajari lebih lanjut tentang MFA, lihat Mengaktifkan Perangkat Virtual Multi-Factor Authentication (MFA).

Aktifkan CloudTrail di semua Wilayah AWS

Anda dapat melacak semua aktivitas di AWS sumber daya Anda dengan menggunakan AWS CloudTrail. Kami menyarankan Anda menghidupkan CloudTrail sekarang. Ini dapat membantu Dukungan dan arsitek AWS solusi Anda memecahkan masalah keamanan atau konfigurasi, nanti.

Untuk mengaktifkan CloudTrail masuk semua Wilayah AWS, lihat AWS CloudTrail Memperbarui — Aktifkan di Semua Wilayah dan Gunakan Beberapa Jalur.

Untuk mempelajari selengkapnya CloudTrail, lihat Aktifkan Aktivitas API CloudTrail Log di Aktivitas Anda Akun AWS. Untuk mempelajari cara CloudTrail memonitor Nimble Studio, lihat. Logging panggilan Nimble Studio menggunakan AWS CloudTrail

Siapkan Amazon GuardDuty dan notifikasi

Amazon GuardDuty adalah layanan pemantauan keamanan berkelanjutan yang menganalisis dan memproses hal-hal berikut:

  • Sumber data

  • Log Aliran VPC Amazon

  • AWS CloudTrail log acara manajemen

  • CloudTrail Log peristiwa data S3

  • Log DNS

Amazon GuardDuty mengidentifikasi aktivitas yang tidak terduga dan berpotensi tidak sah dan berbahaya dalam lingkungan Anda AWS . Aktivitas berbahaya dapat mencakup masalah seperti eskalasi hak istimewa, penggunaan kredensyal yang terbuka, atau komunikasi dengan alamat IP atau domain berbahaya. Untuk mengidentifikasi aktivitas ini, GuardDuty gunakan umpan intelijen ancaman, seperti daftar alamat IP dan domain berbahaya, dan pembelajaran mesin. Misalnya, GuardDuty dapat mendeteksi EC2 instans Amazon yang disusupi yang melayani malware atau menambang bitcoin.

GuardDuty juga memantau perilaku Akun AWS akses untuk tanda-tanda kompromi. Ini termasuk penerapan infrastruktur yang tidak sah, seperti instance yang diterapkan di sebuah Wilayah AWS yang belum pernah digunakan. Ini juga mencakup panggilan API yang tidak biasa, seperti perubahan kebijakan kata sandi untuk mengurangi kekuatan kata sandi.

GuardDuty memberi tahu Anda tentang status AWS lingkungan Anda dengan menghasilkan temuan keamanan. Anda dapat melihat temuan ini di GuardDuty konsol atau melalui CloudWatch acara Amazon.

Siapkan topik dan titik akhir Amazon SNS

Ikuti petunjuk dalam Setup an Amazon SNS topik dan endpoint tutorial.

Siapkan EventBridge acara untuk GuardDuty temuan

Buat aturan EventBridge untuk mengirim acara untuk semua temuan yang GuardDuty dihasilkan.

Untuk membuat EventBridge acara untuk GuardDuty temuan

  1. Masuk ke EventBridge konsol Amazon: https://console.aws.amazon.com/events/

  2. Di panel navigasi, pilih Aturan. Kemudian, pilih Buat aturan.

  3. Masukkan Nama dan Deskripsi untuk aturan baru. Lalu pilih Berikutnya.

  4. Biarkan AWS acara atau acara EventBridge mitra dipilih untuk sumber Acara.

  5. Dalam pola Event, pilih AWS layanan untuk sumber Event. Kemudian GuardDutyuntuk AWS layanan, dan GuardDuty Finding untuk jenis Event. Ini adalah topik yang Anda buatSiapkan topik dan titik akhir Amazon SNS.

  6. Pilih Berikutnya.

  7. Untuk Target 1, pilih AWS layanan. Pilih topik SNS di menu tarik-turun Pilih target. Kemudian pilih topik GuardDuty_to_email Anda.

  8. Di bagian Pengaturan tambahan: Gunakan menu tarik-turun Konfigurasi input target untuk memilih Transformator input. Pilih Konfigurasikan transformator input.

  9. Masukkan kode berikut ke dalam bidang jalur Input di bagian Transformator input target.

    {
    "severity": "$.detail.severity",
    "Account_ID": "$.detail.accountId",
    "Finding_ID": "$.detail.id",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}

  10. Untuk memformat email, masukkan kode berikut ke dalam bidang Template.

    "AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region."
"Finding Description:"
"<Finding_description>. "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>"

  11. Pilih Buat. Lalu pilih Berikutnya.

  12. (Opsional) Tambahkan tag jika Anda menggunakan tag untuk melacak AWS sumber daya Anda.

  13. Pilih Berikutnya.

  14. Tinjau aturan Anda. Kemudian, pilih Buat aturan.

Setelah mengatur Akun AWS keamanan, Anda dapat memberikan akses ke pengguna tertentu dan menerima pemberitahuan saat sumber daya Anda disusupi.