Akun Manajemen Org

Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat.

Diagram berikut menggambarkan layanan keamanan AWS yang dikonfigurasi di akun Manajemen Org.

Bagian Menggunakan AWS Organizations untuk keamanan dan Akun manajemen, akses tepercaya, dan administrator yang didelegasikan sebelumnya dalam panduan ini membahas tujuan dan tujuan keamanan akun Manajemen Org secara mendalam. Ikuti praktik terbaik keamanan untuk akun Manajemen Org Anda. Ini termasuk menggunakan alamat email yang dikelola oleh bisnis Anda, menjaga informasi kontak administratif dan keamanan yang benar (seperti melampirkan nomor telepon ke akun jika AWS perlu menghubungi pemilik akun), mengaktifkan otentikasi multi-faktor (MFA) untuk semua pengguna, dan secara teratur meninjau siapa yang memiliki akses ke akun Manajemen Org. Layanan yang digunakan di akun Manajemen Organisasi harus dikonfigurasi dengan peran yang sesuai, kebijakan kepercayaan, dan izin lainnya sehingga administrator layanan tersebut (yang harus mengaksesnya di akun Manajemen Org) juga tidak dapat mengakses layanan lain secara tidak tepat.

Kebijakan kontrol layanan

Dengan AWS Organizations, Anda dapat mengelola kebijakan secara terpusat di beberapa akun AWS. Misalnya, Anda dapat menerapkan kebijakan kontrol layanan (SCP) di beberapa akun AWS yang merupakan anggota organisasi. SCP memungkinkan Anda menentukan API layanan AWS mana yang dapat dan tidak dapat dijalankan oleh entitas AWS Identity and Access Management (IAM) (seperti pengguna dan peran IAM) di akun AWS anggota organisasi Anda. SCP dibuat dan diterapkan dari akun manajemen Org, yang merupakan akun AWS yang Anda gunakan saat membuat organisasi. Baca selengkapnya tentang SCP di bagian Menggunakan AWS Organizations for security sebelumnya dalam referensi ini. 

Jika Anda menggunakan AWS Control Tower untuk mengelola organisasi AWS Anda, AWS akan menerapkan serangkaian SCP sebagai pagar pembatas pencegahan (dikategorikan sebagai wajib, sangat disarankan, atau elektif). Pagar pembatas ini membantu Anda mengatur sumber daya Anda dengan menegakkan kontrol keamanan di seluruh organisasi. SCP ini secara otomatis menggunakan aws-control-tower tag yang memiliki nilai. managed-by-control-tower 

Pertimbangan desain

• SCP hanya memengaruhi akun anggota di organisasi AWS. Meskipun mereka diterapkan dari akun Manajemen Org, mereka tidak berpengaruh pada pengguna atau peran dalam akun itu. Untuk mempelajari cara kerja logika evaluasi SCP, dan untuk melihat contoh struktur yang direkomendasikan, lihat postingan blog AWS Cara Menggunakan Kebijakan Kontrol Layanan di AWS Organizations.

Pusat Identitas IAM

AWS IAM Identity Center (penerus AWS Single Sign-On) adalah layanan federasi identitas yang membantu Anda mengelola akses SSO secara terpusat ke semua akun AWS, prinsipal, dan beban kerja cloud Anda. IAM Identity Center juga membantu Anda mengelola akses dan izin ke aplikasi perangkat lunak pihak ketiga sebagai layanan (SaaS) yang umum digunakan. Penyedia identitas terintegrasi dengan IAM Identity Center dengan menggunakan SAMP 2.0. Massal dan just-in-time penyediaan dapat dilakukan dengan menggunakan System for Cross-Domain Identity Management (SCIM). Pusat Identitas IAM juga dapat berintegrasi dengan domain Microsoft Active Directory (AD) lokal atau yang dikelola AWS sebagai penyedia identitas melalui penggunaan AWS Directory Service. Pusat Identitas IAM menyertakan portal pengguna tempat pengguna akhir Anda dapat menemukan dan mengakses akun AWS yang ditetapkan, peran, aplikasi cloud, dan aplikasi khusus mereka di satu tempat.

IAM Identity Center terintegrasi secara native dengan AWS Organizations dan berjalan di akun Manajemen Org secara default. Namun, untuk menggunakan hak istimewa paling sedikit dan mengontrol akses ke akun manajemen dengan ketat, administrasi Pusat Identitas IAM dapat didelegasikan ke akun anggota tertentu. Di AWS SRA, akun Layanan Bersama adalah akun administrator yang didelegasikan untuk Pusat Identitas IAM. Sebelum Anda mengaktifkan administrasi yang didelegasikan untuk IAM Identity Center, tinjau pertimbangan ini. Anda akan menemukan informasi lebih lanjut tentang delegasi di bagian akun Layanan Bersama. Bahkan setelah Anda mengaktifkan delegasi, Pusat Identitas IAM masih perlu dijalankan di akun Manajemen Org untuk melakukan tugas terkait Pusat Identitas IAM tertentu, yang mencakup mengelola set izin yang disediakan di akun Manajemen Org. 

Dalam konsol Pusat Identitas IAM, akun ditampilkan oleh OU enkapsulasi mereka. Ini memungkinkan Anda menemukan akun AWS dengan cepat, menerapkan set izin umum, dan mengelola akses dari lokasi pusat. 

IAM Identity Center mencakup toko identitas tempat informasi pengguna tertentu harus disimpan. Namun, IAM Identity Center tidak harus menjadi sumber otoritatif untuk informasi tenaga kerja. Dalam kasus di mana perusahaan Anda sudah memiliki sumber otoritatif, IAM Identity Center mendukung jenis penyedia identitas berikut ()IdPs.

• Toko Identitas Pusat Identitas IAM - Pilih opsi ini jika dua opsi berikut tidak tersedia. Pengguna dibuat, penugasan grup dibuat, dan izin ditetapkan di toko identitas. Bahkan jika sumber otoritatif Anda berada di luar Pusat Identitas IAM, salinan atribut utama akan disimpan dengan toko identitas.

• Microsoft Active Directory (AD) — Pilih opsi ini jika Anda ingin terus mengelola pengguna di direktori Anda di AWS Directory Service untuk Microsoft Active Directory atau direktori yang dikelola sendiri di Active Directory.

• Penyedia identitas eksternal - Pilih opsi ini jika Anda lebih suka mengelola pengguna di pihak ketiga eksternal, IDP berbasis SAML.

Anda dapat mengandalkan IDP yang sudah ada yang sudah ada di perusahaan Anda. Ini membuatnya lebih mudah untuk mengelola akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Misalnya, jika seseorang meninggalkan tim Anda, Anda dapat mencabut aksesnya ke semua aplikasi dan layanan (termasuk akun AWS) dari satu lokasi. Ini mengurangi kebutuhan akan banyak kredensyal dan memberi Anda kesempatan untuk berintegrasi dengan proses sumber daya manusia (SDM) Anda.

Pertimbangan desain

• Gunakan iDP eksternal jika opsi itu tersedia untuk perusahaan Anda. Jika IDP Anda mendukung System for Cross-Domain Identity Management (SCIM), manfaatkan kemampuan SCIM di IAM Identity Center untuk mengotomatiskan penyediaan pengguna, grup, dan izin (sinkronisasi). Hal ini memungkinkan akses AWS untuk tetap sinkron dengan alur kerja perusahaan Anda untuk karyawan baru, karyawan yang pindah ke tim lain, dan karyawan yang meninggalkan perusahaan. Pada waktu tertentu, Anda hanya dapat memiliki satu direktori atau satu penyedia identitas SAMP 2.0 yang terhubung ke IAM Identity Center. Namun, Anda dapat beralih ke penyedia identitas lain.

Penasihat akses IAM

Penasihat akses IAM menyediakan data keterlacakan dalam bentuk layanan informasi yang terakhir diakses untuk akun AWS dan OU Anda. Gunakan kontrol detektif ini untuk berkontribusi pada strategi hak istimewa yang paling tidak. Untuk entitas IAM, Anda dapat melihat dua jenis informasi yang terakhir diakses: informasi layanan AWS yang diizinkan dan informasi tindakan yang diizinkan. Informasi tersebut meliputi tanggal dan waktu saat percobaan dilakukan. 

Akses IAM dalam akun Manajemen Org memungkinkan Anda melihat data layanan yang terakhir diakses untuk akun Manajemen Org, OU, akun anggota, atau kebijakan IAM di organisasi AWS Anda. Informasi ini tersedia di konsol IAM dalam akun manajemen dan juga dapat diperoleh secara terprogram dengan menggunakan API penasihat akses IAM di AWS Command Line Interface (AWS CLI) atau klien terprogram. Informasi tersebut menunjukkan penanggung jawab mana dalam suatu organisasi atau akun yang terakhir kali mencoba mengakses layanan dan kapan. Informasi yang diakses terakhir memberikan wawasan untuk penggunaan layanan aktual (lihat contoh skenario), sehingga Anda dapat mengurangi izin IAM hanya untuk layanan yang benar-benar digunakan.

AWS Systems Manager

Quick Setup dan Explorer, yang merupakan kemampuan AWS Systems Manager, keduanya mendukung AWS Organizations dan beroperasi dari akun Manajemen Org. 

Quick Setup adalah fitur otomatisasi Systems Manager. Ini memungkinkan akun Manajemen Org untuk dengan mudah menentukan konfigurasi bagi Systems Manager untuk terlibat atas nama Anda di seluruh akun di organisasi AWS Anda. Anda dapat mengaktifkan Pengaturan Cepat di seluruh organisasi AWS atau memilih OU tertentu. Penyiapan Cepat dapat menjadwalkan Agen AWS Systems Manager (Agen SSM) untuk menjalankan pembaruan dua mingguan pada instans EC2 Anda dan dapat mengatur pemindaian harian instans tersebut untuk mengidentifikasi tambalan yang hilang. 

Explorer adalah dasbor operasi yang dapat disesuaikan yang melaporkan informasi tentang sumber daya AWS Anda. Explorer menampilkan tampilan agregat data operasi untuk akun AWS Anda dan di seluruh Wilayah AWS. Ini termasuk data tentang instans EC2 Anda dan detail kepatuhan tambalan. Setelah menyelesaikan Penyiapan Terpadu (yang juga mencakup Systems Manager OpsCenter) dalam AWS Organizations, Anda dapat mengumpulkan data di Explorer oleh OU atau untuk seluruh organisasi AWS. Systems Manager menggabungkan data ke akun AWS Org Management sebelum menampilkannya di Explorer.

Bagian Workloads OU nanti dalam panduan ini membahas penggunaan Agen Systems Manager (Agen SSM) pada instans EC2 di akun Aplikasi.

AWS Control Tower

AWS Control Tower menyediakan cara mudah untuk mengatur dan mengatur lingkungan AWS multi-akun yang aman, yang disebut landing zone. AWS Control Tower membuat landing zone Anda dengan menggunakan AWS Organizations, dan menyediakan pengelolaan dan tata kelola akun yang berkelanjutan serta praktik terbaik implementasi. Anda dapat menggunakan AWS Control Tower untuk menyediakan akun baru dalam beberapa langkah sambil memastikan bahwa akun tersebut sesuai dengan kebijakan organisasi Anda. Anda bahkan dapat menambahkan akun yang ada ke lingkungan AWS Control Tower baru. 

AWS Control Tower memiliki serangkaian fitur yang luas dan fleksibel. Fitur utamanya adalah kemampuannya untuk mengatur kemampuan beberapa layanan AWS lainnya, termasuk AWS Organizations, AWS Service Catalog, dan IAM Identity Center, untuk membangun landing zone. Misalnya, secara default AWS Control Tower menggunakan AWS CloudFormation untuk membuat baseline, kebijakan kontrol layanan AWS Organizations (SCP) untuk mencegah perubahan konfigurasi, dan aturan AWS Config untuk terus mendeteksi ketidaksesuaian. AWS Control Tower menggunakan cetak biru yang membantu Anda menyelaraskan lingkungan AWS multi-akun dengan cepat dengan prinsip desain dasar keamanan AWS Well Architected. Di antara fitur tata kelola, AWS Control Tower menawarkan pagar pembatas yang mencegah penyebaran sumber daya yang tidak sesuai dengan kebijakan yang dipilih. 

Anda dapat mulai menerapkan panduan AWS SRA dengan AWS Control Tower. Misalnya, AWS Control Tower membuat organisasi AWS dengan arsitektur multi-akun yang direkomendasikan. Ini menyediakan cetak biru untuk menyediakan manajemen identitas, menyediakan akses federasi ke akun, memusatkan logging, membuat audit keamanan lintas akun, menentukan alur kerja untuk penyediaan akun baru, dan menerapkan dasar akun dengan konfigurasi jaringan. 

Di AWS SRA, AWS Control Tower berada dalam akun Manajemen Org karena AWS Control Tower menggunakan akun ini untuk menyiapkan organisasi AWS secara otomatis dan menetapkan akun tersebut sebagai akun manajemen. Akun ini digunakan untuk penagihan di seluruh organisasi AWS Anda. Ini juga digunakan untuk penyediaan akun Account Factory, untuk mengelola OU, dan mengelola pagar pembatas. Jika Anda meluncurkan AWS Control Tower di organisasi AWS yang ada, Anda dapat menggunakan akun manajemen yang ada. AWS Control Tower akan menggunakan akun tersebut sebagai akun manajemen yang ditunjuk.

Pertimbangan desain

• Jika Anda ingin melakukan baselining tambahan kontrol dan konfigurasi di seluruh akun Anda, Anda dapat menggunakan Kustomisasi untuk AWS Control Tower (CFCT). Dengan CFCT, Anda dapat menyesuaikan zona landing zone AWS Control Tower dengan menggunakan CloudFormation templat AWS dan kebijakan kontrol layanan (SCP). Anda dapat menerapkan templat dan kebijakan khusus ke akun individual dan OU dalam organisasi Anda. CFCT terintegrasi dengan peristiwa siklus hidup AWS Control Tower untuk memastikan bahwa penerapan sumber daya tetap sinkron dengan landing zone Anda. 

AWS Artifact

AWS Artifact menyediakan akses sesuai permintaan ke laporan keamanan dan kepatuhan AWS serta perjanjian online tertentu. Laporan yang tersedia di AWS Artifact mencakup laporan Sistem dan Kontrol Organisasi (SOC), laporan Industri Kartu Pembayaran (PCI), dan sertifikasi dari badan akreditasi di seluruh geografi dan vertikal kepatuhan yang memvalidasi implementasi dan efektivitas pengoperasian kontrol keamanan AWS. AWS Artifact membantu Anda melakukan uji tuntas AWS dengan transparansi yang ditingkatkan ke dalam lingkungan kontrol keamanan kami. Ini juga memungkinkan Anda terus memantau keamanan dan kepatuhan AWS dengan akses langsung ke laporan baru. 

Perjanjian Artifact AWS memungkinkan Anda meninjau, menerima, dan melacak status perjanjian AWS seperti Business Associate Addendum (BAA) untuk akun individual dan untuk akun yang merupakan bagian dari organisasi Anda di AWS Organizations. 

Anda dapat memberikan artefak audit AWS kepada auditor atau regulator Anda sebagai bukti kontrol keamanan AWS. Anda juga dapat menggunakan panduan tanggung jawab yang disediakan oleh beberapa artefak audit AWS untuk mendesain arsitektur cloud Anda. Panduan ini membantu menentukan kontrol keamanan tambahan yang dapat Anda lakukan untuk mendukung kasus penggunaan spesifik sistem Anda. 

AWS Artifacts di-host di akun Manajemen Org untuk menyediakan lokasi pusat tempat Anda dapat meninjau, menerima, dan mengelola perjanjian dengan AWS. Ini karena perjanjian yang diterima di akun manajemen mengalir ke akun anggota. 

Pertimbangan desain

• Pengguna dalam akun Manajemen Org harus dibatasi untuk hanya menggunakan fitur Perjanjian AWS Artifact dan tidak ada yang lain. Untuk menerapkan pemisahan tugas, Artifact AWS juga dihosting di akun Alat Keamanan tempat Anda dapat mendelegasikan izin kepada pemangku kepentingan kepatuhan dan auditor eksternal untuk mengakses artefak audit. Anda dapat menerapkan pemisahan ini dengan mendefinisikan kebijakan izin IAM berbutir halus. Sebagai contoh, lihat Contoh kebijakan IAM dalam dokumentasi AWS.

Pagar pembatas layanan keamanan terdistribusi dan terpusat

Di AWS SRA, AWS Security Hub, Amazon, AWS Config GuardDuty, IAM Access Analyzer, jalur organisasi CloudTrail AWS, dan seringkali Amazon Macie digunakan dengan administrasi atau agregasi yang didelegasikan yang sesuai ke akun Security Tooling. Ini memungkinkan serangkaian pagar pembatas yang konsisten di seluruh akun dan juga menyediakan pemantauan, manajemen, dan tata kelola terpusat di seluruh organisasi AWS Anda. Anda akan menemukan grup layanan ini di setiap jenis akun yang diwakili dalam AWS SRA. Ini harus menjadi bagian dari layanan AWS yang harus disediakan sebagai bagian dari proses orientasi dan baselining akun Anda. Repositori GitHub kode menyediakan contoh implementasi layanan yang berfokus pada keamanan AWS di seluruh akun Anda, termasuk akun AWS Org Management. 

Selain layanan ini, AWS SRA mencakup dua layanan yang berfokus pada keamanan, Amazon Detective dan AWS Audit Manager, yang mendukung integrasi dan fungsionalitas administrator yang didelegasikan di AWS Organizations. Namun, itu tidak termasuk sebagai bagian dari layanan yang direkomendasikan untuk baselining akun. Kami telah melihat bahwa layanan ini paling baik digunakan dalam skenario berikut:

• Anda memiliki tim atau kelompok sumber daya khusus yang menjalankan fungsi forensik digital dan audit TI tersebut. Amazon Detective paling baik digunakan oleh tim analis keamanan, dan AWS Audit Manager sangat membantu tim audit atau kepatuhan internal Anda.

• Anda ingin fokus pada seperangkat alat inti seperti GuardDuty dan Security Hub di awal proyek Anda, dan kemudian membangunnya dengan menggunakan layanan yang menyediakan kemampuan tambahan.