Infrastruktur OU - Akun Layanan Bersama

Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat.

Diagram berikut menggambarkan layanan keamanan AWS yang dikonfigurasi di akun Layanan Bersama.

Akun Layanan Bersama adalah bagian dari Infrastruktur OU, dan tujuannya adalah untuk mendukung layanan yang digunakan beberapa aplikasi dan tim untuk memberikan hasil mereka. Misalnya, layanan direktori (Active Directory), layanan pesan, dan layanan metadata berada dalam kategori ini. AWS SRA menyoroti layanan bersama yang mendukung kontrol keamanan. Meskipun akun Jaringan juga merupakan bagian dari Infrastruktur OU, mereka dihapus dari akun Layanan Bersama untuk mendukung pemisahan tugas. Tim yang akan mengelola layanan ini tidak memerlukan izin atau akses ke akun Jaringan.

AWS Systems Manager

AWS Systems Manager (yang juga disertakan dalam akun Manajemen Org dan akun Aplikasi) menyediakan kumpulan kemampuan yang memungkinkan visibilitas dan kontrol sumber daya AWS Anda. Salah satu kemampuan ini, Systems Manager Explorer, adalah dasbor operasi yang dapat disesuaikan yang melaporkan informasi tentang sumber daya AWS Anda. Anda dapat menyinkronkan data operasi di semua akun di organisasi AWS Anda dengan menggunakan AWS Organizations and Systems Manager Explorer. Systems Manager diterapkan di akun Layanan Bersama melalui fungsionalitas administrator yang didelegasikan di AWS Organizations.

Systems Manager membantu Anda bekerja untuk menjaga keamanan dan kepatuhan dengan memindai instans dan pelaporan terkelola Anda (atau mengambil tindakan korektif) pada setiap pelanggaran kebijakan yang dideteksi. Dengan memasangkan Systems Manager dengan penerapan yang sesuai di masing-masing akun AWS anggota (misalnya, akun Aplikasi), Anda dapat mengoordinasikan pengumpulan data inventaris instans dan memusatkan otomatisasi seperti patch dan pembaruan keamanan.

AWS Dikelola Microsoft AD

AWS Directory Service untuk Microsoft Active Directory, juga dikenal sebagai AWS Managed Microsoft AD, memungkinkan beban kerja sadar direktori dan sumber daya AWS Anda untuk menggunakan Active Directory terkelola di AWS. Anda dapat menggunakan AWS Managed Microsoft AD untuk bergabung dengan Amazon EC2 untuk Windows Server, Amazon EC2 untuk Linux, dan instans Amazon RDS for SQL Server ke domain Anda, dan menggunakan layanan komputasi pengguna akhir AWS (EUC), seperti Amazon WorkSpaces, dengan pengguna dan grup Active Directory. 

AWS Managed Microsoft AD membantu Anda memperluas Direktori Aktif yang ada ke AWS dan menggunakan kredensyal pengguna lokal yang ada untuk mengakses sumber daya cloud. Anda juga dapat mengelola pengguna, grup, aplikasi, dan sistem lokal tanpa kerumitan menjalankan dan memelihara Active Directory lokal yang sangat tersedia. Anda dapat menggabungkan komputer, laptop, dan printer yang ada ke domain AWS Managed Microsoft AD. 

AWS Managed Microsoft AD dibangun di Microsoft Active Directory dan tidak mengharuskan Anda untuk menyinkronkan atau mereplikasi data dari Active Directory yang ada ke cloud. Anda dapat menggunakan alat dan fitur administrasi Direktori Aktif yang sudah dikenal, seperti Objek Kebijakan Grup (GPO), kepercayaan domain, kebijakan kata sandi berbutir halus, grup Akun Layanan Terkelola (GMSAs), ekstensi skema, dan sistem masuk tunggal berbasis Kerberos. Anda juga dapat mendelegasikan tugas administratif dan mengotorisasi akses menggunakan grup keamanan Active Directory. 

Replikasi Multi-Wilayah memungkinkan Anda menerapkan dan menggunakan satu direktori AWS Managed Microsoft AD di beberapa Wilayah AWS. Ini membuatnya lebih mudah dan lebih hemat biaya bagi Anda untuk menyebarkan dan mengelola beban kerja Microsoft Windows dan Linux Anda secara global. Saat Anda menggunakan kemampuan replikasi Multi-wilayah otomatis, Anda mendapatkan ketahanan yang lebih tinggi saat aplikasi Anda menggunakan direktori lokal untuk kinerja optimal. 

AWS Managed Microsoft AD mendukung Lightweight Directory Access Protocol (LDAP) melalui SSL/TLS, juga dikenal sebagai LDAPS, baik dalam peran klien maupun server. Saat bertindak sebagai server, AWS Managed Microsoft AD mendukung LDAPS melalui port 636 (SSL) dan 389 (TLS). Anda mengaktifkan komunikasi LDAPS sisi server dengan menginstal sertifikat pada pengontrol domain AWS Managed Microsoft AD Anda dari otoritas sertifikat Active Directory Certificate Services (AD CS) berbasis AWS. Saat bertindak sebagai klien, AWS Managed Microsoft AD mendukung LDAPS melalui port 636 (SSL). Anda dapat mengaktifkan komunikasi LDAPS sisi klien dengan mendaftarkan sertifikat CA dari penerbit sertifikat server Anda ke AWS, lalu mengaktifkan LDAPS di direktori Anda.  

Di AWS SRA, AWS Directory Service digunakan dalam akun Shared Services untuk menyediakan layanan domain untuk beban kerja yang sadar Microsoft di beberapa akun anggota AWS. 

Pertimbangan desain

• Anda dapat memberikan akses kepada pengguna Active Directory lokal untuk masuk ke AWS Management Console dan AWS Command Line Interface (AWS CLI) dengan kredensyal Active Directory yang ada dengan menggunakan IAM Identity Center dan memilih AWS Managed Microsoft AD sebagai sumber identitas. Hal ini memungkinkan pengguna Anda untuk mengambil salah satu peran yang ditetapkan saat login, dan untuk mengakses dan mengambil tindakan pada sumber daya sesuai dengan izin yang ditentukan untuk peran tersebut. Opsi alternatifnya adalah menggunakan AWS Managed Microsoft AD untuk memungkinkan pengguna Anda mengambil peran AWS Identity and Access Management (IAM).

Pusat Identitas IAM

AWS SRA menggunakan fitur administrator yang didelegasikan yang didukung oleh IAM Identity Center untuk mendelegasikan sebagian besar administrasi Pusat Identitas IAM ke akun Layanan Bersama. Ini membantu membatasi jumlah pengguna yang memerlukan akses ke akun Manajemen Org. Pusat Identitas IAM masih perlu diaktifkan di akun Manajemen Org untuk melakukan tugas-tugas tertentu, termasuk pengelolaan set izin yang disediakan dalam akun Manajemen Org.

Alasan utama untuk menggunakan akun Layanan Bersama sebagai administrator yang didelegasikan untuk Pusat Identitas IAM adalah lokasi Direktori Aktif. Jika Anda berencana untuk menggunakan Active Directory sebagai sumber identitas Pusat Identitas IAM Anda, Anda harus menemukan direktori di akun anggota yang telah Anda tetapkan sebagai akun administrator yang didelegasikan IAM Identity Center Anda. Di AWS SRA, akun Layanan Bersama menghosting AWS Managed Microsoft AD, sehingga akun tersebut dijadikan administrator yang didelegasikan untuk IAM Identity Center. 

IAM Identity Center mendukung pendaftaran akun anggota tunggal sebagai administrator yang didelegasikan pada satu waktu. Anda dapat mendaftarkan akun anggota hanya ketika Anda masuk dengan kredensyal dari akun manajemen. Untuk mengaktifkan delegasi, Anda harus mempertimbangkan prasyarat yang tercantum dalam dokumentasi IAM Identity Center. Akun administrator yang didelegasikan dapat melakukan sebagian besar tugas manajemen Pusat Identitas IAM, tetapi dengan beberapa batasan, yang tercantum dalam dokumentasi Pusat Identitas IAM. Akses ke akun administrator yang didelegasikan IAM Identity Center harus dikontrol dengan ketat. 

Pertimbangan desain

• Jika Anda memutuskan untuk mengubah sumber identitas IAM Identity Center dari sumber lain ke Active Directory, atau mengubahnya dari Active Directory ke sumber lain, direktori harus berada di (dimiliki oleh) akun anggota administrator yang didelegasikan IAM Identity Center, jika ada; jika tidak, itu harus berada di akun manajemen.

• Anda dapat meng-host AWS Managed Microsoft AD Anda dalam VPC khusus di akun lain dan kemudian menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi subnet dari akun lain ini ke akun administrator yang didelegasikan. Dengan begitu, instans AWS Managed Microsoft AD dikontrol di akun administrator yang didelegasikan, tetapi dari perspektif jaringan, instans tersebut bertindak seolah-olah digunakan di VPC akun lain. Ini sangat membantu jika Anda memiliki beberapa instans AWS Managed Microsoft AD dan Anda ingin menerapkannya secara lokal ke tempat beban kerja Anda berjalan tetapi mengelolanya secara terpusat melalui satu akun.

• Jika Anda memiliki tim identitas khusus yang melakukan aktivitas manajemen identitas dan akses reguler atau memiliki persyaratan keamanan yang ketat untuk memisahkan fungsi manajemen identitas dari fungsi layanan bersama lainnya, Anda dapat meng-host akun AWS khusus untuk manajemen identitas. Dalam skenario ini, Anda menetapkan akun ini sebagai administrator yang didelegasikan untuk IAM Identity Center, dan akun ini juga menghosting direktori AWS Managed Microsoft AD Anda. Anda dapat mencapai tingkat isolasi logis yang sama antara beban kerja manajemen identitas dan beban kerja layanan bersama lainnya dengan menggunakan izin IAM berbutir halus dalam satu akun layanan bersama.

• Pusat Identitas IAM saat ini tidak menyediakan dukungan Multi-wilayah. (Untuk mengaktifkan Pusat Identitas IAM di Wilayah yang berbeda, Anda harus terlebih dahulu menghapus konfigurasi Pusat Identitas IAM Anda saat ini.) Selain itu, ini tidak mendukung penggunaan sumber identitas yang berbeda untuk kumpulan akun yang berbeda atau memungkinkan Anda mendelegasikan manajemen izin ke berbagai bagian organisasi Anda (yaitu, beberapa administrator yang didelegasikan) atau ke grup administrator yang berbeda. Jika Anda memerlukan salah satu fitur ini, Anda dapat menggunakan federasi IAM untuk mengelola identitas pengguna Anda dalam penyedia identitas (iDP) di luar AWS dan memberikan izin identitas pengguna eksternal ini untuk menggunakan sumber daya AWS di akun Anda. Dukungan IAM IdPs yang kompatibel dengan OpenID Connect (OIDC) atau SAMP 2.0. Sebagai praktik terbaik, gunakan federasi SAMP 2.0 dengan penyedia identitas pihak ketiga seperti Active Directory Federation Service (AD FS), Okta, Azure Active Directory (Azure AD), atau Ping Identity untuk menyediakan kemampuan masuk tunggal bagi pengguna untuk masuk ke AWS Management Console atau untuk memanggil operasi AWS API. Untuk informasi selengkapnya tentang federasi IAM dan penyedia identitas, lihat Tentang federasi berbasis SAMP 2.0 dalam dokumentasi IAM dan lokakarya AWS Identity Federation.