Tema 4: Mengelola identitas

Esensi Delapan strategi tercakup

Batasi hak administratif, otentikasi multi-faktor

Manajemen identitas dan izin yang kuat adalah aspek penting dalam mengelola keamanan di cloud. Praktik identitas yang kuat menyeimbangkan akses yang diperlukan dan hak istimewa yang paling sedikit. Ini membantu tim pengembangan bergerak cepat tanpa mengorbankan keamanan.

Gunakan federasi identitas untuk memusatkan manajemen identitas. Ini membuatnya lebih mudah untuk mengelola akses di beberapa aplikasi dan layanan karena Anda mengelola akses dari satu lokasi. Ini juga membantu Anda menerapkan izin sementara dan otentikasi multi-faktor (MFA).

Berikan pengguna hanya izin yang mereka perlukan untuk melakukan tugas mereka. AWS Identity and Access Management Access Analyzer dapat memvalidasi kebijakan dan memverifikasi akses publik dan lintas akun. Fitur seperti kebijakan kontrol AWS Organizations layanan (SCPs), kondisi kebijakan IAM, batas izin IAM, dan set AWS IAM Identity Center izin dapat membantu Anda mengonfigurasi kontrol akses berbutir halus (FGAC).

Saat melakukan jenis otentikasi apa pun, yang terbaik adalah menggunakan kredensil sementara untuk mengurangi atau menghilangkan risiko — seperti kredensil yang secara tidak sengaja diungkapkan, dibagikan, atau dicuri. Gunakan peran IAM alih-alih pengguna IAM.

Gunakan mekanisme masuk yang kuat, seperti MFA, untuk mengurangi risiko di mana kredensi masuk telah diungkapkan secara tidak sengaja atau mudah ditebak. Memerlukan MFA untuk pengguna root, dan Anda juga dapat memerlukannya di tingkat federasi. Jika penggunaan pengguna IAM tidak dapat dihindari, terapkan MFA.

Untuk memantau dan melaporkan kepatuhan, Anda harus terus bekerja untuk mengurangi izin, memantau temuan dari IAM Access Analyzer, dan menghapus sumber daya IAM yang tidak digunakan. Gunakan AWS Config aturan untuk memastikan bahwa mekanisme masuk yang kuat ditegakkan, kredensialnya berumur pendek, dan sumber daya IAM sedang digunakan.

Praktik terbaik terkait dalam Kerangka AWS Well-Architected

• SEC02-BP01 Gunakan mekanisme masuk yang kuat

• SEC02-BP02 Menggunakan kredensial sementara

• SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman

• SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi

• SEC02-BP05 Melakukan audit dan rotasi kredensial secara berkala

• SEC02-BP06 Manfaatkan grup dan atribut pengguna

• SEC03-BP01 Menetapkan persyaratan akses

• SEC03-BP02 Memberikan hak akses paling rendah

• SEC03-BP03 Menetapkan proses akses darurat

• SEC03-BP04 Mengurangi izin secara terus-menerus

• SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda

• SEC03-BP06 Mengelola akses berdasarkan siklus hidup

• SEC03-BP07 Menganalisis akses publik dan lintas akun

• SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda

Menerapkan tema ini

Melaksanakan federasi identitas

• Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara

• Menerapkan akses sementara yang ditinggikan ke AWS lingkungan Anda

Terapkan izin hak istimewa paling sedikit

• Lindungi kredensil pengguna root Anda dan jangan menggunakannya untuk tugas sehari-hari

• Gunakan IAM Access Analyzer untuk menghasilkan kebijakan hak istimewa paling sedikit berdasarkan aktivitas akses

• Verifikasi akses publik dan lintas akun ke sumber daya dengan IAM Access Analyzer

• Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk izin yang aman dan fungsional

• Menetapkan pagar pembatas izin di beberapa akun

• Gunakan batas izin untuk menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas

• Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut

• Secara teratur meninjau dan menghapus pengguna, peran, izin, kebijakan, dan kredensil yang tidak digunakan

• Memulai kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit

• Gunakan fitur set izin di IAM Identity Center

Putar kredensil

• Memerlukan beban kerja untuk menggunakan peran IAM untuk mengakses AWS

• Mengotomatiskan penghapusan peran IAM yang tidak digunakan

• Putar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensil jangka panjang

Menegakkan MFA

• Memerlukan MFA untuk pengguna root

• Memerlukan MFA melalui IAM Identity Center

• Pertimbangkan untuk mewajibkan MFA untuk melakukan tindakan API khusus layanan

Memantau tema ini

Pantau akses hak istimewa paling sedikit

• Kirim temuan IAM Access Analyzer ke AWS Security Hub

• Pertimbangkan untuk menyiapkan pemberitahuan untuk temuan Pusat Identitas IAM yang kritis

• Secara teratur meninjau laporan kredensi untuk Anda Akun AWS

Menerapkan AWS Config aturan berikut

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED