Sumber daya IAM

Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat

Meskipun AWS Identity and Access Management (IAM) bukan layanan yang disertakan dalam diagram arsitektur tradisional, AWS menyentuh setiap aspek organisasi AWS, akun AWS, dan layanan AWS. Anda tidak dapat menerapkan layanan AWS apa pun tanpa membuat entitas IAM dan memberikan izin terlebih dahulu. Penjelasan lengkap tentang IAM berada di luar cakupan dokumen ini, tetapi bagian ini memberikan ringkasan penting dari rekomendasi praktik terbaik dan petunjuk ke sumber daya tambahan.

Untuk praktik terbaik IAM, lihat Praktik terbaik keamanan di IAM dalam dokumentasi AWS, artikel IAM di blog AWS Security, dan presentasi AWS re:invent.
Pilar keamanan AWS Well-Architected menguraikan langkah-langkah kunci dalam proses manajemen izin: menentukan pagar pembatas izin, memberikan akses hak istimewa paling sedikit, menganalisis akses publik dan lintas akun, berbagi sumber daya dengan aman, mengurangi izin terus menerus, dan membuat proses akses darurat.
Tabel berikut dan catatan yang menyertainya memberikan gambaran tingkat tinggi tentang panduan yang direkomendasikan tentang jenis kebijakan izin IAM yang tersedia dan cara menggunakannya dalam arsitektur keamanan Anda. Untuk mempelajari lebih lanjut, lihat video AWS re:Invent 2020 tentang memilih campuran kebijakan IAM yang tepat.

Kasus penggunaan atau kebijakan	Efek	Dikelola oleh	Tujuan	Berkaitan dengan	Mempengaruhi	Dikerahkan di
Kebijakan kontrol layanan (SCP)	Membatasi	Tim pusat, seperti platform atau tim keamanan [1]	Pagar pembatas, tata kelola	Organisasi, OU, akun	Semua kepala sekolah di Organisasi, OU, dan akun	Akun Manajemen Org [2]
Kebijakan otomatisasi akun dasar (peran IAM yang digunakan oleh platform untuk mengoperasikan akun)	Hibah dan batasi	Tim pusat, seperti platform, keamanan, atau tim IAM [1]	Izin untuk peran otomatisasi non-beban kerja (dasar) [3]	Akun tunggal [4]	Prinsipal yang digunakan oleh otomatisasi dalam akun anggota	Akun anggota
Kebijakan manusia dasar (peran IAM yang memberikan izin kepada pengguna untuk melakukan pekerjaan mereka)	Hibah dan batasi	Tim pusat, seperti platform, keamanan, atau tim IAM [1]	Izin untuk peran manusia [5]	Akun tunggal [4]	Prinsipal federasi [5] dan pengguna IAM [6]	Akun anggota
Batas izin (izin maksimum yang dapat ditetapkan oleh pengembang yang diberdayakan ke prinsipal lain)	Membatasi	Tim pusat, seperti platform, keamanan, atau tim IAM [1]	Pagar pembatas untuk peran aplikasi (harus diterapkan)	Akun tunggal [4]	Peran individu untuk aplikasi atau beban kerja di akun ini [7]	Akun anggota
Kebijakan peran mesin untuk aplikasi (peran yang melekat pada infrastruktur yang digunakan oleh pengembang)	Hibah dan batasi	Delegasikan ke pengembang [8]	Izin untuk aplikasi atau beban kerja [9]	Akun tunggal	Prinsipal dalam akun ini	Akun anggota
Kebijakan sumber daya	Hibah dan batasi	Delegasikan ke pengembang [8,10]	Izin untuk sumber daya	Akun tunggal	Seorang kepala sekolah dalam sebuah akun [11]	Akun anggota

Catatan dari tabel:

Perusahaan memiliki banyak tim terpusat (seperti platform cloud, operasi keamanan, atau tim manajemen identitas dan akses) yang membagi tanggung jawab kontrol independen ini, dan peer review kebijakan satu sama lain. Contoh dalam tabel adalah placeholder. Anda perlu menentukan pemisahan tugas yang paling efektif untuk perusahaan Anda.
Untuk menggunakan SCP, Anda harus mengaktifkan semua fitur dalam AWS Organizations.
Peran dan kebijakan dasar umum umumnya diperlukan untuk mengaktifkan otomatisasi, seperti izin untuk pipeline, alat penerapan, alat pemantauan (misalnya, aturan AWS Lambda dan AWS Config), dan izin lainnya. Konfigurasi ini biasanya dikirimkan saat akun disediakan.
Meskipun ini berkaitan dengan sumber daya (seperti peran atau kebijakan) dalam satu akun, mereka dapat direplikasi atau digunakan ke beberapa akun dengan menggunakan AWS. CloudFormation StackSets
Tentukan seperangkat inti peran manusia dasar dan kebijakan yang diterapkan ke semua akun anggota oleh tim pusat (seringkali selama penyediaan akun). Contohnya termasuk pengembang di tim platform, tim IAM, dan tim audit keamanan.
Gunakan federasi identitas (bukan pengguna IAM lokal) bila memungkinkan.
Batas izin digunakan oleh administrator yang didelegasikan. Kebijakan IAM ini menentukan izin maksimum dan mengesampingkan kebijakan lain (termasuk “*:*” kebijakan yang mengizinkan semua tindakan pada sumber daya). Batas izin harus diperlukan dalam kebijakan dasar manusia sebagai syarat untuk membuat peran (seperti peran kinerja beban kerja) dan untuk melampirkan kebijakan. Konfigurasi tambahan seperti SCP memberlakukan lampiran batas izin.
Ini mengasumsikan bahwa pagar pembatas yang cukup (misalnya, SCP dan batas izin) telah digunakan.
Kebijakan opsional ini dapat disampaikan selama penyediaan akun atau sebagai bagian dari proses pengembangan aplikasi. Izin untuk membuat dan melampirkan kebijakan ini akan diatur oleh izin pengembang aplikasi sendiri.
Selain izin akun lokal, tim terpusat (seperti tim platform cloud atau tim operasi keamanan) sering mengelola beberapa kebijakan berbasis sumber daya untuk mengaktifkan akses lintas akun untuk mengoperasikan akun (misalnya, untuk menyediakan akses ke bucket S3 untuk pencatatan).
Kebijakan IAM berbasis sumber daya dapat merujuk pada prinsipal apa pun di akun apa pun untuk mengizinkan atau menolak akses ke sumber dayanya. Bahkan dapat merujuk ke kepala sekolah anonim untuk mengaktifkan akses publik.

Memastikan bahwa identitas IAM hanya memiliki izin yang diperlukan untuk serangkaian tugas yang digambarkan dengan baik sangat penting untuk mengurangi risiko penyalahgunaan izin yang berbahaya atau tidak disengaja. Membangun dan mempertahankan model hak istimewa terkecil membutuhkan rencana yang disengaja untuk terus memperbarui, mengevaluasi, dan mengurangi kelebihan hak istimewa. Berikut adalah beberapa rekomendasi tambahan untuk rencana itu:

Gunakan model tata kelola organisasi Anda dan selera risiko yang ditetapkan untuk menetapkan pagar pembatas dan batas izin tertentu.
Menerapkan hak istimewa terkecil melalui proses berulang yang terus-menerus. Ini bukan latihan satu kali.
Gunakan SCP untuk mengurangi risiko yang dapat ditindaklanjuti. Ini dimaksudkan untuk menjadi pagar pembatas yang luas, bukan kontrol yang ditargetkan secara sempit.
Gunakan batas izin untuk mendelegasikan administrasi IAM dengan cara yang lebih aman.
- Pastikan bahwa administrator yang didelegasikan melampirkan kebijakan batas IAM yang sesuai ke peran dan pengguna yang mereka buat.
Sebagai defense-in-depth pendekatan (dalam hubungannya dengan kebijakan berbasis identitas), gunakan kebijakan IAM berbasis sumber daya untuk menolak akses luas ke sumber daya.
Gunakan penasihat akses IAM, AWS, CloudTrail AWS IAM Access Analyzer, dan perkakas terkait untuk menganalisis penggunaan historis dan izin yang diberikan secara berkala. Segera pulihkan izin berlebih yang jelas.
Cakupan tindakan luas ke sumber daya tertentu jika berlaku alih-alih menggunakan tanda bintang sebagai wildcard untuk menunjukkan semua sumber daya.
Menerapkan mekanisme untuk mengidentifikasi, meninjau, dan menyetujui pengecualian kebijakan IAM dengan cepat berdasarkan permintaan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membangun arsitektur keamanan Anda — Pendekatan bertahap

Repositori kode untuk contoh AWS SRA