Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Administrator yang didelegasikan
Administrasi yang didelegasikan menyediakan cara yang nyaman bagi pengguna yang ditugaskan di akun anggota terdaftar untuk melakukan sebagian besar tugas administratif Pusat Identitas IAM. Saat Anda mengaktifkan Pusat Identitas IAM, instans Pusat Identitas IAM Anda dibuat di akun manajemen secara AWS Organizations default. Ini awalnya dirancang dengan cara ini sehingga Pusat Identitas IAM dapat menyediakan, menghilangkan penyediaan, dan memperbarui peran di semua akun anggota organisasi Anda. Meskipun instans Pusat Identitas IAM Anda harus selalu berada di akun manajemen, Anda dapat memilih untuk mendelegasikan administrasi Pusat Identitas IAM ke akun anggota AWS Organizations, sehingga memperluas kemampuan untuk mengelola Pusat Identitas IAM dari luar akun manajemen.
Mengaktifkan administrasi yang didelegasikan memberikan manfaat berikut:
-
Meminimalkan jumlah orang yang memerlukan akses ke akun manajemen untuk membantu mengurangi masalah keamanan
-
Memungkinkan administrator tertentu untuk menetapkan pengguna dan grup ke aplikasi dan ke akun anggota organisasi Anda
Untuk informasi selengkapnya tentang cara kerja IAM Identity Center AWS Organizations, lihatAkun AWS akses. Untuk informasi tambahan dan untuk meninjau contoh skenario perusahaan yang menunjukkan cara mengonfigurasi administrasi yang didelegasikan, lihat Memulai administrasi delegasi Pusat Identitas IAM di Blog
Topik
Praktik terbaik
Berikut adalah beberapa praktik terbaik yang perlu dipertimbangkan sebelum Anda mengonfigurasi administrasi yang didelegasikan:
-
Berikan hak istimewa paling sedikit ke akun manajemen - Mengetahui bahwa akun manajemen adalah akun yang sangat istimewa dan untuk mematuhi prinsip hak istimewa paling sedikit, kami sangat menyarankan Anda membatasi akses ke akun manajemen kepada sesedikit mungkin orang. Fitur administrator yang didelegasikan dimaksudkan untuk meminimalkan jumlah orang yang memerlukan akses ke akun manajemen. Anda juga dapat mempertimbangkan untuk menggunakan akses tinggi sementara untuk memberikan akses ini hanya jika diperlukan.
-
Set izin khusus untuk akun manajemen — Gunakan set izin khusus untuk akun manajemen. Untuk alasan keamanan, set izin yang digunakan untuk akses ke akun manajemen hanya dapat dimodifikasi oleh administrator Pusat Identitas IAM dari akun manajemen. Administrator yang didelegasikan tidak dapat mengubah set izin yang disediakan di akun manajemen.
-
Tetapkan pengguna saja (bukan grup) ke set izin di akun manajemen — Karena akun manajemen memiliki hak istimewa khusus, Anda harus berhati-hati saat menetapkan akses ke akun ini di konsol atau ( AWS Command Line Interface CLI). Jika Anda menetapkan grup ke set izin dengan akses ke akun manajemen, siapa pun yang memiliki izin untuk mengubah keanggotaan dalam grup tersebut dapat add/remove pengguna to/from grup tersebut, dan dengan demikian memengaruhi siapa yang memiliki akses ke akun manajemen. Ini adalah admin grup dengan kontrol atas sumber identitas Anda, termasuk administrator penyedia identitas (IDP) Anda, administrator Microsoft Active Directory Domain Service (AD DS), atau administrator Pusat Identitas IAM. Oleh karena itu, Anda harus menetapkan pengguna secara langsung ke set izin yang memberikan akses di akun manajemen, dan menghindari grup. Jika Anda menggunakan grup untuk mengelola akses ke akun manajemen, pastikan bahwa kontrol yang tepat ada di IDP untuk membatasi siapa yang memiliki kemampuan untuk memodifikasi grup tersebut, dan memastikan bahwa perubahan pada grup tersebut (atau perubahan kredensional untuk pengguna di akun manajemen) dicatat dan ditinjau seperlunya.
-
Pertimbangkan lokasi Direktori Aktif Anda — Jika Anda berencana menggunakan Active Directory sebagai sumber identitas Pusat Identitas IAM Anda, cari direktori di akun anggota tempat Anda mengaktifkan fitur administrator yang didelegasikan IAM Identity Center. Jika Anda memutuskan untuk mengubah sumber identitas IAM Identity Center dari sumber lain ke Active Directory, atau mengubahnya dari Active Directory ke sumber lain, direktori harus berada di akun anggota administrator yang didelegasikan IAM Identity Center. Jika Anda ingin Direktori Aktif Anda berada di akun manajemen, Anda harus melakukan pengaturan di akun manajemen karena administrator yang didelegasikan tidak akan memiliki izin yang diperlukan untuk menyelesaikannya.
Batasi tindakan penyimpanan identitas Pusat Identitas IAM di akun administrasi yang didelegasikan dengan sumber identitas eksternal
Jika Anda menggunakan sumber identitas eksternal seperti IDP atau AWS Directory Service, Anda harus menerapkan kebijakan yang membatasi tindakan penyimpanan identitas yang dapat diambil oleh admin Pusat Identitas IAM dari dalam akun administrasi yang didelegasikan. Operasi tulis dan hapus harus dipertimbangkan dengan cermat. Umumnya, sumber identitas eksternal adalah sumber kebenaran bagi pengguna dan atribut mereka, dan untuk keanggotaan grup. Jika Anda memodifikasinya menggunakan penyimpanan identitas APIs atau konsol, perubahan Anda akan ditimpa selama siklus sinkronisasi normal. Yang terbaik adalah menyerahkan operasi ini ke kontrol eksklusif atas sumber kebenaran identitas Anda. Ini juga melindungi administrator Pusat Identitas IAM yang memodifikasi keanggotaan grup untuk memberikan akses ke set izin atau aplikasi yang ditetapkan grup, daripada menyerahkan kontrol keanggotaan grup ke admin iDP Anda. Anda juga harus menjaga siapa yang dapat membuat token pembawa SCIM dari akun administrasi yang didelegasikan, karena ini dapat memungkinkan admin akun anggota untuk memodifikasi grup dan pengguna melalui klien SCIM.
Mungkin ada saat-saat ketika menulis atau menghapus operasi sesuai dari akun admin yang didelegasikan. Misalnya, Anda dapat membuat grup tanpa menambahkan anggota, lalu membuat tugas ke set izin tanpa harus menunggu admin iDP untuk membuat grup. Tidak ada yang akan memiliki akses ke tugas itu sampai admin iDP menyediakan grup dan proses sinkronisasi iDP menetapkan anggota grup. Mungkin juga tepat untuk menghapus pengguna atau grup untuk mencegah masuk atau otorisasi selama waktu ketika Anda tidak dapat menunggu proses sinkronisasi iDP untuk menghapus akses oleh pengguna atau grup. Namun, penyalahgunaan izin ini dapat mengganggu pengguna. Anda harus menggunakan prinsip hak istimewa paling sedikit saat menetapkan izin penyimpanan identitas. Anda dapat mengontrol tindakan penyimpanan identitas mana yang diizinkan oleh admin akun administrasi yang didelegasikan menggunakan kebijakan kontrol layanan (SCP).
Contoh SCP di bawah ini mencegah penetapan pengguna ke grup melalui Identity Store API dan AWS Management Console, yang direkomendasikan ketika sumber identitas Anda eksternal. Ini tidak memengaruhi sinkronisasi pengguna dari AWS Directory Service atau dari iDP eksternal (melalui SCIM).
catatan
Ada kemungkinan bahwa, meskipun Anda menggunakan sumber identitas eksternal, organisasi Anda bergantung, sepenuhnya atau sebagian, pada Toko Identitas APIs untuk penyediaan pengguna dan grup. Oleh karena itu, sebelum mengaktifkan SCP ini, Anda harus mengonfirmasi bahwa proses penyediaan pengguna Anda tidak menggunakan operasi Identity Store API ini. Juga, lihat bagian selanjutnya untuk informasi tentang cara membatasi pengelolaan keanggotaan grup ke grup tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ "*" ] } ] }
Jika Anda ingin mencegah penambahan pengguna hanya ke grup yang memberikan akses ke akun manajemen, Anda dapat mereferensikan grup tertentu tersebut menggunakan ARN grup dalam format berikut:. arn:${Partition}:identitystore:::group/${GroupId} Jenis sumber daya ini dan lainnya yang tersedia di Identity Store didokumentasikan dalam tipe Resource yang ditentukan oleh AWS Identity Store di Referensi Otorisasi Layanan. Anda juga dapat mempertimbangkan untuk memasukkan Toko Identitas tambahan APIs di SCP. Untuk informasi selengkapnya, lihat Tindakan di Referensi API Toko Identitas.
Dengan menambahkan pernyataan kebijakan berikut ke SCP Anda, Anda dapat mencegah pembuatan token pembawa SCIM oleh admin yang didelegasikan. Anda dapat menerapkan ini untuk kedua sumber identitas eksternal.
catatan
Jika admin yang didelegasikan perlu menyiapkan penyediaan pengguna dengan SCIM, atau melakukan rotasi token pembawa SCIM berkala, Anda perlu mengizinkan sementara akses ke API ini untuk memungkinkan admin yang didelegasikan menyelesaikan tugas tersebut.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Batasi tindakan penyimpanan identitas Pusat Identitas IAM di akun administrasi yang didelegasikan untuk pengguna yang dikelola secara lokal
Jika Anda membuat pengguna dan grup langsung di IAM Identity Center, daripada menggunakan iDP eksternal AWS Directory Service atau, maka Anda harus mengambil tindakan pencegahan untuk siapa yang dapat membuat pengguna, mengatur ulang kata sandi, dan mengontrol keanggotaan grup. Tindakan ini memberi administrator kekuatan besar untuk siapa yang dapat masuk dan siapa yang dapat memperoleh akses melalui keanggotaan dalam grup. Kebijakan ini paling baik diterapkan sebagai kebijakan in-line dalam set izin yang Anda gunakan untuk administrator Pusat Identitas IAM Anda, bukan sebagai. SCPs Contoh kebijakan inline berikut memiliki dua tujuan. Pertama, mencegah penambahan pengguna ke grup tertentu. Anda dapat menggunakan ini untuk mencegah admin yang didelegasikan menambahkan pengguna ke grup yang memberikan akses ke akun manajemen. Kedua, mencegah penerbitan token pembawa SCIM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, arn:${Partition}:identitystore:::group/${GroupId2} ] } ], { "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] } ] }
Pisahkan manajemen konfigurasi Pusat Identitas IAM dari manajemen PermissionSet
Pisahkan tugas administratif termasuk modifikasi sumber identitas eksternal, manajemen token SCIM, konfigurasi batas waktu sesi dari tugas untuk membuat, memodifikasi, dan menetapkan set izin dengan membuat set izin admin yang berbeda dari akun manajemen Anda.
Batasi penerbitan token pembawa SCIM
Token pembawa SCIM memungkinkan sumber identitas eksternal untuk menyediakan pengguna, grup, dan keanggotaan grup melalui protokol SCIM ketika sumber identitas Pusat Identitas IAM Anda adalah iDP eksternal seperti Okta atau Entra ID. Anda dapat mengatur SCP berikut untuk mencegah pembuatan token pembawa SCIM oleh administrator yang didelegasikan. Jika administrator yang didelegasikan perlu menyiapkan penyediaan pengguna dengan SCIM, atau melakukan rotasi token pembawa SCIM berkala, Anda perlu mengizinkan akses sementara ke API ini untuk memungkinkan administrator yang didelegasikan menyelesaikan tugas-tugas tersebut.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Gunakan tag set izin dan daftar akun untuk mendelegasikan administrasi akun tertentu
Anda dapat membuat set izin yang Anda tetapkan ke administrator Pusat Identitas IAM untuk mendelegasikan siapa yang dapat membuat set izin, dan siapa yang dapat menetapkan set izin di akun mana. Hal ini dilakukan dengan menandai set izin dan menggunakan kondisi kebijakan dalam set izin yang Anda tetapkan ke administrator Anda. Misalnya, Anda dapat membuat set izin yang memungkinkan pengguna membuat set izin asalkan diberi tag dengan cara tertentu. Anda juga dapat membuat kebijakan yang memungkinkan administrator menetapkan set izin yang memiliki tag tertentu di akun tertentu. Ini dapat membantu Anda mendelegasikan manajemen melalui akun tanpa memberikan administrator hak istimewa untuk mengubah akses dan hak istimewa mereka atas akun administrasi yang didelegasikan. Misalnya, dengan menandai set izin yang hanya Anda gunakan di akun administrasi yang didelegasikan, Anda dapat menentukan kebijakan yang hanya memberi orang tertentu izin untuk mengubah set izin dan penetapan yang memengaruhi akun administrasi yang didelegasikan. Anda juga dapat memberikan izin kepada orang lain untuk mengelola daftar akun di luar akun administrasi yang didelegasikan. Untuk mempelajari selengkapnya, lihat Mendelegasikan pengelolaan set izin dan penetapan akun AWS IAM Identity Center di
Prasyarat
Sebelum Anda dapat mendaftarkan akun sebagai administrator yang didelegasikan, Anda harus terlebih dahulu menerapkan lingkungan berikut:
-
AWS Organizations harus diaktifkan dan dikonfigurasi dengan setidaknya satu akun anggota selain akun manajemen default Anda.
-
Jika sumber identitas Anda disetel ke Active Directory, Pusat Identitas IAM sinkronisasi AD yang dapat dikonfigurasi fitur tersebut harus diaktifkan.
