Akses masuk tunggal ke Akun AWS - AWS IAM Identity Center
Tetapkan akses pengguna ke Akun AWSHapus akses pengguna dan grupMencabut sesi set izin aktifDelegasikan siapa yang dapat menetapkan akses masuk tunggal ke pengguna dan grup di akun manajemen

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses masuk tunggal ke Akun AWS

Anda dapat menetapkan pengguna di izin direktori tersambung ke akun manajemen atau akun anggota di organisasi Anda AWS Organizations berdasarkan fungsi pekerjaan umum. Atau Anda dapat menggunakan izin khusus untuk memenuhi persyaratan keamanan spesifik Anda. Misalnya, Anda dapat memberikan izin luas kepada administrator database ke Amazon RDS di akun pengembangan tetapi membatasi izinnya di akun produksi. IAM Identity Center mengonfigurasi semua izin pengguna yang diperlukan di Anda secara otomatis. Akun AWS

catatan

Anda mungkin perlu memberikan izin kepada pengguna atau grup untuk beroperasi di akun AWS Organizations manajemen. Karena ini adalah akun yang sangat istimewa, pembatasan keamanan tambahan mengharuskan Anda untuk memiliki FullAccess kebijakan IAM atau izin yang setara sebelum Anda dapat mengaturnya. Pembatasan keamanan tambahan ini tidak diperlukan untuk akun anggota mana pun di AWS organisasi Anda.

Tetapkan akses pengguna ke Akun AWS

Gunakan prosedur berikut untuk menetapkan akses masuk tunggal ke pengguna dan grup di direktori tersambung Anda dan gunakan set izin untuk menentukan tingkat akses mereka.

Untuk memeriksa akses pengguna dan grup yang ada, lihatLihat tugas pengguna dan grup.

catatan

Untuk menyederhanakan administrasi izin akses, kami menyarankan Anda menetapkan akses langsung ke grup daripada ke pengguna individu. Dengan grup, Anda dapat memberikan atau menolak izin ke grup pengguna daripada harus menerapkan izin tersebut ke setiap individu. Jika pengguna pindah ke organisasi lain, Anda cukup memindahkan pengguna tersebut ke grup yang berbeda dan mereka secara otomatis menerima izin yang diperlukan untuk organisasi baru.

Untuk menetapkan akses pengguna atau grup ke Akun AWS

  1. Buka konsol Pusat Identitas IAM.

    catatan

    Pastikan bahwa konsol IAM Identity Center menggunakan Wilayah tempat AWS Managed Microsoft AD direktori Anda berada sebelum Anda pindah ke langkah berikutnya.

  2. Di panel navigasi, di bawah Izin multi-akun, pilih. Akun AWS

  3. Pada Akun AWShalaman, daftar tampilan pohon organisasi Anda akan muncul. Pilih kotak centang di samping satu atau lebih yang Akun AWS ingin Anda tetapkan akses masuk tunggal.

    catatan

    Anda dapat memilih hingga 10 Akun AWS sekaligus per izin yang ditetapkan saat Anda menetapkan akses masuk tunggal ke pengguna dan grup. Untuk menetapkan lebih dari 10 Akun AWS ke kumpulan pengguna dan grup yang sama, ulangi prosedur ini seperti yang diperlukan untuk akun tambahan. Saat diminta, pilih set pengguna, grup, dan izin yang sama.

  4. Pilih Tetapkan pengguna atau grup.

  5. Untuk Langkah 1: Pilih pengguna dan grup, pada halaman Tetapkan pengguna dan grup ke "AWS-account-name", lakukan hal berikut:

    1. Pada tab Pengguna, pilih satu atau beberapa pengguna yang akan diberikan akses masuk tunggal.

      Untuk memfilter hasil, mulailah mengetik nama pengguna yang Anda inginkan di kotak pencarian.

    2. Pada tab Grup, pilih satu atau beberapa grup yang akan memberikan akses masuk tunggal.

      Untuk memfilter hasil, mulailah mengetik nama grup yang Anda inginkan di kotak pencarian.

    3. Untuk menampilkan pengguna dan grup yang Anda pilih, pilih segitiga menyamping di samping Pengguna dan grup yang dipilih.

    4. Setelah Anda mengonfirmasi bahwa pengguna dan grup yang benar dipilih, pilih Berikutnya.

  6. Untuk Langkah 2: Pilih set izin, pada halaman Tetapkan izin ke halaman "AWS-account-name, lakukan hal berikut:

    1. Pilih satu atau beberapa set izin. Jika diperlukan, Anda dapat membuat dan memilih set izin baru.

      • Untuk memilih satu atau beberapa set izin yang ada, di bawah Set izin, pilih set izin yang ingin Anda terapkan ke pengguna dan grup yang Anda pilih di langkah sebelumnya.

      • Untuk membuat satu atau beberapa set izin baru, pilih Buat set izin, dan ikuti langkah-langkahnyaBuat set izin. Setelah Anda membuat set izin yang ingin Anda terapkan, di konsol Pusat Identitas IAM, kembali ke Akun AWSdan ikuti instruksi hingga Anda mencapai Langkah 2: Pilih set izin. Ketika Anda mencapai langkah ini, pilih set izin baru yang Anda buat, dan lanjutkan ke langkah berikutnya dalam prosedur ini.

    2. Setelah Anda mengonfirmasi bahwa set izin yang benar dipilih, pilih Berikutnya.

  7. Untuk Langkah 3: Tinjau dan Kirim, pada Tinjau dan kirimkan tugas ke halaman “AWS-account-name, lakukan hal berikut:

    1. Tinjau set pengguna, grup, dan izin yang dipilih.

    2. Setelah Anda mengonfirmasi bahwa pengguna, grup, dan kumpulan izin yang benar dipilih, pilih Kirim.

      penting

      Proses penugasan pengguna dan grup mungkin membutuhkan waktu beberapa menit untuk diselesaikan. Biarkan halaman ini terbuka sampai proses berhasil diselesaikan.

      catatan

      Anda mungkin perlu memberikan izin kepada pengguna atau grup untuk beroperasi di akun AWS Organizations manajemen. Karena ini adalah akun yang sangat istimewa, pembatasan keamanan tambahan mengharuskan Anda untuk memiliki FullAccess kebijakan IAM atau izin yang setara sebelum Anda dapat mengaturnya. Pembatasan keamanan tambahan ini tidak diperlukan untuk akun anggota mana pun di AWS organisasi Anda.

Hapus akses pengguna dan grup

Gunakan prosedur ini untuk menghapus akses masuk tunggal ke satu atau Akun AWS beberapa pengguna dan grup di direktori Anda yang terhubung.

Untuk menghapus akses pengguna dan grup ke Akun AWS

  1. Buka konsol Pusat Identitas IAM.

  2. Di panel navigasi, di bawah Izin multi-akun, pilih. Akun AWS

  3. Pada Akun AWShalaman, daftar tampilan pohon organisasi Anda akan muncul. Pilih nama Akun AWS yang berisi pengguna dan grup yang ingin Anda hapus akses masuk tunggal.

  4. Pada halaman Ringkasan untuk Akun AWS, di bawah Pengguna dan grup yang ditugaskan, pilih nama satu atau beberapa pengguna atau grup, lalu pilih Hapus akses.

  5. Dalam kotak dialog Hapus akses, konfirmasikan bahwa nama pengguna atau grup sudah benar, dan pilih Hapus akses.

Cabut sesi peran IAM aktif yang dibuat oleh set izin

Berikut ini adalah prosedur umum untuk mencabut sesi set izin aktif untuk pengguna IAM Identity Center. Prosedur ini mengasumsikan bahwa Anda ingin menghapus semua akses untuk pengguna yang telah dikompromikan kredensialnya atau untuk aktor jahat yang ada di sistem. Prasyaratnya adalah mengikuti petunjuk masuk. Bersiaplah untuk mencabut sesi peran IAM aktif yang dibuat oleh set izin Kami berasumsi bahwa kebijakan penolakan semua ada dalam kebijakan kontrol layanan (SCP).

catatan

AWS merekomendasikan Anda membangun otomatisasi untuk menangani semua langkah kecuali operasi khusus konsol.

  1. Dapatkan ID pengguna dari orang yang aksesnya harus Anda cabut. Anda dapat menggunakan API toko identitas untuk menemukan pengguna dengan nama pengguna mereka.

  2. Perbarui kebijakan Tolak untuk menambahkan ID pengguna dari langkah 1 dalam kebijakan kontrol layanan (SCP) Anda. Setelah menyelesaikan langkah ini, pengguna target kehilangan akses dan tidak dapat mengambil tindakan dengan peran apa pun yang dipengaruhi kebijakan tersebut.

  3. Hapus semua penetapan set izin untuk pengguna. Jika akses ditetapkan melalui keanggotaan grup, hapus pengguna dari semua grup dan semua penetapan set izin langsung. Langkah ini mencegah pengguna mengasumsikan peran IAM tambahan apa pun. Jika pengguna memiliki sesi portal AWS akses aktif dan Anda menonaktifkan pengguna, mereka dapat terus mengambil peran baru sampai Anda menghapus aksesnya.

  4. Jika Anda menggunakan penyedia identitas (iDP) atau Microsoft Active Directory sebagai sumber identitas, nonaktifkan pengguna di sumber identitas. Menonaktifkan pengguna mencegah pembuatan sesi portal AWS akses tambahan. Gunakan dokumentasi IDP atau Microsoft Active Directory API untuk mempelajari cara mengotomatiskan langkah ini. Jika Anda menggunakan direktori IAM Identity Center sebagai sumber identitas, jangan nonaktifkan akses pengguna. Anda akan menonaktifkan akses pengguna di langkah 6.

  5. Di konsol Pusat Identitas IAM, temukan pengguna dan hapus sesi aktif mereka.

    1. Pilih Pengguna.

    2. Pilih pengguna yang sesi aktifnya ingin Anda hapus.

    3. Pada halaman detail pengguna, pilih tab Sesi aktif.

    4. Pilih kotak centang di samping sesi yang ingin Anda hapus dan pilih Hapus sesi.

    Ini memastikan sesi portal AWS akses pengguna berhenti dalam waktu sekitar 60 menit. Pelajari tentang durasi sesi.

  6. Di konsol Pusat Identitas IAM, nonaktifkan akses pengguna.

    1. Pilih Pengguna.

    2. Pilih pengguna yang aksesnya ingin Anda nonaktifkan.

    3. Pada halaman detail pengguna, perluas Informasi umum dan pilih tombol Nonaktifkan akses pengguna untuk mencegah login lebih lanjut dari pengguna.

  7. Biarkan kebijakan Deny di tempat setidaknya selama 12 jam. Jika tidak, pengguna dengan sesi peran IAM aktif akan memulihkan tindakan dengan peran IAM. Jika Anda menunggu 12 jam, sesi aktif akan kedaluwarsa dan pengguna tidak akan dapat mengakses peran IAM lagi.

penting

Jika Anda menonaktifkan akses pengguna sebelum menghentikan sesi pengguna (Anda menyelesaikan langkah 6 tanpa menyelesaikan langkah 5), Anda tidak dapat lagi menghentikan sesi pengguna melalui konsol Pusat Identitas IAM. Jika Anda secara tidak sengaja menonaktifkan akses pengguna sebelum menghentikan sesi pengguna, Anda dapat mengaktifkan kembali pengguna, menghentikan sesi mereka, dan kemudian menonaktifkan akses mereka lagi.

Anda sekarang dapat mengubah kredensi pengguna jika kata sandi mereka disusupi dan memulihkan tugas mereka.

Delegasikan siapa yang dapat menetapkan akses masuk tunggal ke pengguna dan grup di akun manajemen

Menetapkan akses masuk tunggal ke akun manajemen menggunakan konsol Pusat Identitas IAM adalah tindakan istimewa. Secara default, hanya pengguna yang memiliki AWSSSOMasterAccountAdministratordan IAMFullAccess AWS mengelola kebijakan yang dilampirkan, yang dapat menetapkan akses masuk tunggal ke akun manajemen. Pengguna root akun AWS IAMFullAccessKebijakan AWSSSOMasterAccountAdministratordan mengelola akses masuk tunggal ke akun manajemen dalam suatu AWS Organizations organisasi.

Gunakan langkah-langkah berikut untuk mendelegasikan izin untuk mengelola akses masuk tunggal ke pengguna dan grup di direktori Anda.

Untuk memberikan izin untuk mengelola akses masuk tunggal ke pengguna dan grup di direktori Anda

  1. Masuk ke konsol Pusat Identitas IAM sebagai pengguna root akun manajemen atau dengan pengguna lain yang memiliki izin administrator ke akun manajemen.

  2. Ikuti langkah-langkah Buat set izin untuk membuat set izin, lalu lakukan hal berikut:

    1. Pada halaman Buat set izin baru, pilih kotak centang Buat set izin khusus, lalu pilih Berikutnya: Detail.

    2. Pada halaman Buat set izin baru, tentukan nama untuk set izin khusus dan opsional, deskripsi. Jika diperlukan, ubah durasi sesi dan tentukan URL status relai.

      catatan

      Untuk URL status relai, Anda harus menentukan URL yang ada di AWS Management Console. Sebagai contoh:

      https://console.aws.amazon.com/ec2/

      Untuk informasi selengkapnya, lihat Atur status relai.

    3. Di bawah Kebijakan apa yang ingin Anda sertakan dalam set izin Anda? , pilih kotak centang Lampirkan kebijakan AWS terkelola.

    4. Dalam daftar kebijakan IAM, pilih kebijakan AWSSSOMasterAccountAdministratordan kebijakan yang IAMFullAccess AWS dikelola. Kebijakan ini memberikan izin kepada pengguna dan grup mana pun yang diberi akses ke izin ini yang ditetapkan di masa mendatang.

    5. Pilih Berikutnya: Tanda.

    6. Di bawah Tambahkan tag (opsional), tentukan nilai untuk Kunci dan Nilai (opsional), lalu pilih Berikutnya: Ulasan. Untuk informasi selengkapnya tentang tag, lihat Penandaan pada sumber daya AWS IAM Identity Center.

    7. Tinjau pilihan yang Anda buat, lalu pilih Buat.

  3. Ikuti langkah-langkah Tetapkan akses pengguna ke Akun AWS untuk menetapkan pengguna dan grup yang sesuai ke set izin yang baru saja Anda buat.

  4. Komunikasikan hal berikut kepada pengguna yang ditetapkan: Saat mereka masuk ke portal AWS akses dan memilih tab Akun, mereka harus memilih nama peran yang sesuai untuk diautentikasi dengan izin yang baru saja Anda delegasikan.