ACCT.03 - Konfigurasikan akses konsol untuk setiap pengguna - AWS Panduan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

ACCT.03 - Konfigurasikan akses konsol untuk setiap pengguna

Sebagai praktik terbaik, AWS merekomendasikan penggunaan kredensil sementara untuk memberikan akses Akun AWS dan sumber daya. Kredensi sementara memiliki masa pakai yang terbatas, jadi Anda tidak perlu memutarnya atau mencabutnya secara eksplisit saat tidak lagi diperlukan. Untuk informasi selengkapnya, lihat Kredensial keamanan sementara (dokumentasi IAM).

Untuk pengguna manusia, AWS rekomendasikan untuk menggunakan identitas federasi dari penyedia identitas terpusat (iDP), seperti, Okta, Active Directory AWS IAM Identity Center, atau Ping Identity. Pengguna federasi memungkinkan Anda menentukan identitas di satu lokasi terpusat, dan pengguna dapat mengautentikasi dengan aman ke beberapa aplikasi dan situs web, termasuk AWS, hanya dengan menggunakan satu set kredensil. Untuk informasi lebih lanjut, lihat Federasi identitas di AWS dan Pusat Identitas IAM (AWS situs web).

catatan

Federasi identitas dapat mempersulit transisi dari arsitektur akun tunggal ke arsitektur multi-akun. Adalah umum bagi startup untuk menunda implementasi federasi identitas sampai mereka telah membentuk arsitektur multi-akun yang dikelola. AWS Organizations

Untuk mengatur federasi identitas
  1. Jika Anda menggunakan Pusat Identitas IAM, lihat Memulai (dokumentasi Pusat Identitas IAM).

    Jika Anda menggunakan iDP eksternal atau pihak ketiga, lihat Membuat penyedia identitas IAM (dokumentasi IAM).

  2. Pastikan bahwa IDP Anda memberlakukan otentikasi multi-faktor (MFA).

  3. Terapkan izin sesuai dengan. ACCT.04 - Tetapkan izin

Untuk startup yang tidak siap untuk mengkonfigurasi federasi identitas, Anda dapat membuat pengguna langsung di IAM. Ini bukan praktik terbaik keamanan yang direkomendasikan karena ini adalah kredensil jangka panjang yang tidak pernah kedaluwarsa. Namun, ini adalah praktik umum untuk startup dalam operasi awal untuk mencegah kesulitan transisi ke arsitektur multi-akun ketika mereka siap secara operasional.

Sebagai baseline, Anda dapat membuat pengguna IAM untuk setiap orang yang perlu mengakses. AWS Management Console Jika Anda mengonfigurasi pengguna IAM, jangan bagikan kredensil di seluruh pengguna, dan putar kredenal jangka panjang secara teratur.

Awas

Pengguna IAM memiliki kredensi jangka panjang, yang menghadirkan risiko keamanan. Untuk membantu mengurangi risiko ini, kami menyarankan agar Anda memberikan pengguna ini hanya izin yang mereka perlukan untuk melakukan tugas dan menghapus pengguna ini ketika mereka tidak lagi diperlukan.

Untuk membuat pengguna IAM
  1. Buat pengguna IAM (dokumentasi IAM).

  2. Terapkan izin sesuai dengan. ACCT.04 - Tetapkan izin