Tema 5: Menetapkan perimeter data - AWS Bimbingan Preskriptif
Praktik-praktik terbaik terkaitMenerapkan tema iniMemantau tema ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tema 5: Menetapkan perimeter data

Esensi Delapan strategi tercakup

Batasi hak administratif

Perimeter data adalah seperangkat pagar pembatas pencegahan di AWS lingkungan Anda yang membantu memastikan bahwa hanya identitas tepercaya yang mengakses sumber daya tepercaya dari jaringan yang diharapkan. Pagar pembatas ini berfungsi sebagai batas yang selalu aktif yang membantu melindungi data Anda di seluruh rangkaian dan sumber daya yang luas. Akun AWS Pagar pembatas di seluruh organisasi ini tidak menggantikan kontrol akses berbutir halus yang ada. Sebaliknya, mereka membantu meningkatkan strategi keamanan Anda dengan memastikan bahwa semua pengguna, peran, dan sumber daya AWS Identity and Access Management (IAM) mematuhi seperangkat standar keamanan yang ditetapkan.

Anda dapat membuat perimeter data dengan menggunakan kebijakan yang mencegah akses dari luar batas organisasi, yang biasanya dibuat. AWS Organizations Tiga kondisi otorisasi perimeter utama yang digunakan untuk membuat perimeter data adalah:

  • Identitas tepercaya — Kepala Sekolah (peran atau pengguna IAM) dalam diri Anda Akun AWS, atau Layanan AWS bertindak atas nama Anda.

  • Sumber daya tepercaya — Sumber daya yang ada di Anda Akun AWS atau dikelola dengan Layanan AWS bertindak atas nama Anda.

  • Jaringan yang diharapkan — Pusat data lokal Anda dan awan pribadi virtual (VPCs), atau jaringan yang Layanan AWS bertindak atas nama Anda.

Pertimbangkan untuk menerapkan batas data antara lingkungan dengan klasifikasi data yang berbeda, seperti OFFICIAL:SENSITIVE atauPROTECTED, atau tingkat risiko yang berbeda, seperti pengembangan, pengujian, atau produksi. Untuk informasi selengkapnya, lihat Membangun perimeter data pada AWS (AWS whitepaper) dan Membuat perimeter data pada AWS: Ikhtisar (posting AWS blog).

Praktik terbaik terkait dalam Kerangka AWS Well-Architected

Menerapkan tema ini

Menerapkan kontrol identitas

  • Izinkan hanya identitas tepercaya untuk mengakses sumber daya Anda — Gunakan kebijakan berbasis sumber daya dengan kunci kondisi dan. aws:PrincipalOrgID aws:PrincipalIsAWSService Ini hanya memungkinkan prinsipal dari AWS organisasi Anda dan dari AWS untuk mengakses sumber daya Anda.

  • Izinkan identitas tepercaya hanya dari jaringan Anda — Gunakan kebijakan titik akhir VPC dengan kunci kondisi dan. aws:PrincipalOrgID aws:PrincipalIsAWSService Ini hanya memungkinkan prinsipal dari AWS organisasi Anda dan dari AWS untuk mengakses layanan melalui titik akhir VPC.

Menerapkan kontrol sumber daya

  • Izinkan identitas Anda hanya mengakses sumber daya tepercaya — Gunakan kebijakan kontrol layanan (SCPs) dengan kunci aws:ResourceOrgID kondisi. Ini memungkinkan identitas Anda hanya mengakses sumber daya di AWS organisasi Anda.

  • Izinkan akses ke sumber daya tepercaya hanya dari jaringan Anda — Gunakan kebijakan titik akhir VPC dengan kunci kondisi. aws:ResourceOrgID Ini memungkinkan identitas Anda untuk mengakses layanan hanya melalui titik akhir VPC yang merupakan bagian dari organisasi Anda. AWS

Menerapkan kontrol jaringan

  • Izinkan identitas mengakses sumber daya hanya dari jaringan yang diharapkan — Gunakan SCPs dengan tombol kondisiaws:SourceIp,, aws:SourceVpcaws:SourceVpce, danaws:ViaAWSService. Ini memungkinkan identitas Anda untuk mengakses sumber daya hanya dari alamat IP yang diharapkan, VPCs, dan titik akhir VPC, dan melalui. Layanan AWS

  • Izinkan akses ke sumber daya Anda hanya dari jaringan yang diharapkan — Gunakan kebijakan berbasis sumber daya dengan kunci kondisiaws:SourceIp,,,aws:SourceVpc, aws:SourceVpce dan. aws:ViaAWSService aws:PrincipalIsAWSService Ini memungkinkan akses ke sumber daya Anda hanya dari yang diharapkan IPs, dari yang diharapkan VPCs, dari titik akhir VPC yang diharapkan, melalui Layanan AWS, atau ketika identitas panggilan adalah file. Layanan AWS

Memantau tema ini

Pantau kebijakan

  • Menerapkan mekanisme untuk meninjau SCPs, kebijakan IAM, dan kebijakan titik akhir VPC

Menerapkan AWS Config aturan berikut

  • SERVICE_VPC_ENDPOINT_ENABLED