Rekomendasi kontrol keamanan untuk mengelola identitas dan akses

Anda dapat membuat identitas di AWS, atau Anda dapat menghubungkan sumber identitas eksternal. Melalui kebijakan AWS Identity and Access Management (IAM), Anda memberi pengguna izin yang diperlukan sehingga mereka dapat mengakses atau mengelola AWS sumber daya dan aplikasi terintegrasi. Manajemen identitas dan akses yang efektif membantu memvalidasi bahwa orang dan mesin yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat. The AWS Well-Architected Framework menyediakan praktik terbaik untuk mengelola identitas dan izinnya. Contoh praktik terbaik termasuk mengandalkan penyedia identitas terpusat dan menggunakan mekanisme masuk yang kuat, seperti otentikasi multi-faktor (MFA). Kontrol keamanan di bagian ini dapat membantu Anda menerapkan praktik terbaik ini.

Pantau dan konfigurasikan notifikasi untuk aktivitas pengguna root

Saat pertama kali membuat Akun AWS, Anda mulai dengan identitas masuk tunggal yang disebut pengguna root. Secara default, pengguna root memiliki akses penuh ke semua Layanan AWS dan sumber daya di akun. Anda harus mengontrol dan memantau pengguna root dengan ketat, dan Anda harus menggunakannya hanya untuk tugas-tugas yang memerlukan kredenal pengguna root.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Berikan akses hak istimewa paling sedikit dalam Kerangka Well-Architected AWS

• Pantau aktivitas pengguna root IAM dalam Panduan AWS Preskriptif

Jangan membuat kunci akses untuk pengguna root

Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Menonaktifkan akses terprogram ke pengguna root membantu mengurangi risiko paparan kredenal pengguna yang tidak disengaja dan kompromi lingkungan cloud selanjutnya. Kami menyarankan Anda membuat dan menggunakan peran IAM sebagai kredensi sementara untuk mengakses sumber daya dan sumber daya Anda. Akun AWS

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Kunci akses pengguna root IAM seharusnya tidak ada dalam dokumentasi AWS Security Hub

• Menghapus kunci akses untuk pengguna root dalam dokumentasi IAM

• Peran IAM dalam dokumentasi IAM

Aktifkan MFA untuk pengguna root

Kami menyarankan Anda mengaktifkan beberapa perangkat otentikasi multi-faktor (MFA) untuk pengguna Akun AWS root dan pengguna IAM. Ini meningkatkan bilah keamanan Akun AWS dan dapat menyederhanakan manajemen akses. Karena pengguna root adalah pengguna yang sangat istimewa yang dapat melakukan tindakan istimewa, sangat penting untuk meminta MFA untuk pengguna root. Anda dapat menggunakan perangkat MFA perangkat keras yang menghasilkan kode numerik berdasarkan algoritma kata sandi satu kali berbasis waktu (TOTP), kunci keamanan perangkat keras FIDO, atau aplikasi otentikator virtual.

Pada tahun 2024, MFA akan diminta untuk mengakses pengguna root apa pun. Akun AWS Untuk informasi lebih lanjut, lihat Aman menurut Desain: AWS untuk meningkatkan persyaratan MFA pada tahun 2024 di Blog Keamanan. AWS Kami sangat menganjurkan Anda untuk memperluas praktik keamanan ini dan mewajibkan MFA untuk semua jenis pengguna di lingkungan Anda AWS .

Jika memungkinkan, kami menyarankan Anda menggunakan perangkat MFA perangkat keras untuk pengguna root. MFA virtual mungkin tidak memberikan tingkat keamanan yang sama dengan perangkat MFA perangkat keras. Anda dapat menggunakan MFA virtual sambil menunggu persetujuan atau pengiriman pembelian perangkat keras.

Dalam situasi di mana Anda mengelola ratusan akun AWS Organizations, tergantung pada toleransi risiko organisasi Anda, mungkin tidak dapat diskalakan untuk menggunakan MFA berbasis perangkat keras untuk pengguna root dari setiap akun di unit organisasi (OU). Dalam hal ini, Anda dapat memilih satu akun di OU yang bertindak sebagai akun manajemen OU, dan kemudian menonaktifkan pengguna root untuk akun lain di OU itu. Secara default, akun manajemen OU tidak memiliki akses ke akun lain. Dengan mengatur akses lintas akun terlebih dahulu, Anda dapat mengakses akun lain dari akun manajemen OU dalam keadaan darurat. Untuk mengatur akses lintas akun, Anda membuat peran IAM di akun anggota, dan Anda menentukan kebijakan sehingga hanya pengguna root di akun manajemen OU yang dapat mengambil peran ini. Untuk informasi selengkapnya, lihat Tutorial: Mendelegasikan akses Akun AWS menggunakan peran IAM dalam dokumentasi IAM.

Kami menyarankan Anda mengaktifkan beberapa perangkat MFA untuk kredensi pengguna root Anda. Anda dapat mendaftarkan hingga delapan perangkat MFA dari kombinasi apa pun.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Mengaktifkan token TOTP perangkat keras dalam dokumentasi IAM

• Mengaktifkan perangkat otentikasi multi-faktor virtual (MFA) dalam dokumentasi IAM

• Mengaktifkan kunci keamanan FIDO dalam dokumentasi IAM

• Amankan login pengguna root Anda dengan otentikasi multi-faktor (MFA) dalam dokumentasi IAM

Ikuti praktik terbaik keamanan untuk IAM

Dokumentasi IAM mencakup daftar praktik terbaik yang dirancang untuk membantu Anda mengamankan sumber daya Akun AWS dan sumber daya Anda. Ini termasuk rekomendasi untuk mengonfigurasi akses dan izin sesuai dengan prinsip hak istimewa paling sedikit. Contoh praktik terbaik keamanan IAM termasuk mengonfigurasi federasi identitas, mewajibkan MFA, dan menggunakan kredensil sementara.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Praktik terbaik keamanan di IAM dalam dokumentasi IAM

• Menggunakan kredensi sementara dengan AWS sumber daya dalam dokumentasi IAM

Berikan izin hak istimewa paling sedikit

Keistimewaan paling sedikit adalah praktik pemberian hanya izin yang diperlukan untuk melakukan tugas. Anda melakukan ini dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu.

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut, seperti tag mereka. Anda dapat menggunakan atribut grup, identitas, dan sumber daya untuk menentukan izin secara dinamis dalam skala besar, daripada menentukan izin untuk pengguna individual. Misalnya, Anda dapat menggunakan ABAC untuk mengizinkan sekelompok pengembang mengakses hanya sumber daya yang memiliki tag tertentu yang terkait dengan proyek mereka.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Terapkan izin hak istimewa paling sedikit dalam dokumentasi IAM

• Untuk apa ABAC AWS dalam dokumentasi IAM

Tentukan pagar pembatas izin di tingkat beban kerja

Ini adalah praktik terbaik untuk menggunakan strategi multi-akun karena memberikan fleksibilitas untuk menentukan pagar pembatas pada tingkat beban kerja. Arsitektur Referensi AWS Keamanan menawarkan panduan preskriptif tentang cara menyusun akun Anda. Akun-akun ini dikelola sebagai organisasi di AWS Organizations, dan akun dikelompokkan ke dalam unit organisasi (OUs).

Layanan AWS, seperti AWS Control Tower, dapat membantu Anda mengelola kontrol secara terpusat di seluruh organisasi. Kami menyarankan Anda menentukan tujuan yang jelas untuk setiap akun atau OU dalam organisasi, dan menerapkan kontrol sesuai dengan tujuan itu. AWS Control Tower menerapkan kontrol preventif, detektif, dan proaktif yang membantu Anda mengatur sumber daya dan memantau kepatuhan. Kontrol preventif dirancang untuk mencegah suatu peristiwa terjadi. Kontrol detektif dirancang untuk mendeteksi, mencatat, dan memperingatkan setelah suatu peristiwa terjadi. Kontrol proaktif dirancang untuk mencegah penyebaran sumber daya yang tidak sesuai dengan memindai sumber daya sebelum disediakan.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Pisahkan beban kerja menggunakan akun di AWS Well-Architected Framework

• AWS Arsitektur Referensi Keamanan (AWS SRA) dalam Panduan AWS Preskriptif

• Tentang kontrol AWS Control Tower di dalam AWS Control Tower dokumentasi

• Menerapkan kontrol keamanan di AWS dalam Panduan AWS Preskriptif

• Gunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun di AWS Organisasi Anda di Blog Keamanan AWS

Putar tombol akses IAM secara berkala

Ini adalah praktik terbaik untuk memperbarui kunci akses untuk kasus penggunaan yang memerlukan kredensi jangka panjang. Kami merekomendasikan memutar kunci akses setiap 90 hari atau kurang. Memutar kunci akses mengurangi risiko bahwa kunci akses yang terkait dengan akun yang disusupi atau dihentikan digunakan. Ini juga mencegah akses dengan menggunakan kunci lama yang mungkin telah hilang, disusupi, atau dicuri. Selalu perbarui aplikasi setelah memutar tombol akses.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Perbarui kunci akses bila diperlukan untuk kasus penggunaan yang memerlukan kredensi jangka panjang dalam dokumentasi IAM

• Secara otomatis memutar kunci akses pengguna IAM pada skala besar dengan AWS Organizations dan AWS Secrets Manager dalam Panduan AWS Preskriptif

• Memperbarui kunci akses dalam dokumentasi IAM

Identifikasi sumber daya yang dibagikan dengan entitas eksternal

Entitas eksternal adalah sumber daya, aplikasi, layanan, atau pengguna yang berada di luar AWS organisasi Anda, seperti pengguna lain Akun AWS, pengguna root, pengguna atau peran IAM, pengguna federasi, atau pengguna anonim (atau tidak diautentikasi). Layanan AWS Merupakan praktik keamanan terbaik untuk menggunakan IAM Access Analyzer untuk mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM, yang dibagikan dengan entitas eksternal. Ini membantu Anda mengidentifikasi akses yang tidak diinginkan ke sumber daya dan data, yang merupakan risiko keamanan.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Verifikasi akses publik dan lintas akun ke sumber daya dengan IAM Access Analyzer dalam dokumentasi IAM

• Menganalisis akses publik dan lintas akun di AWS Well-Architected Framework

• Menggunakan AWS Identity and Access Management Access Analyzer dalam dokumentasi IAM