Manajemen identitas dan akses
Manajemen identitas dan akses adalah bagian penting dari program keamanan informasi, memastikan bahwa hanya pengguna dan komponen yang sah dan diautentikasi yang dapat mengakses sumber daya Anda, dan hanya melalui cara yang Anda izinkan. Misalnya, Anda harus menentukan prinsipal (yaitu, akun, pengguna, peran, dan layanan yang dapat melakukan tindakan di akun Anda), membuat kebijakan yang selaras dengan prinsipal ini, dan menerapkan manajemen kredensial yang kuat. Elemen manajemen hak istimewa ini membentuk inti autentikasi dan otorisasi.
Di AWS, manajemen hak istimewa utamanya didukung oleh layanan AWS Manajemen Identitas dan Akses (IAM), yang dapat Anda gunakan untuk mengontrol akses program dan pengguna ke layanan dan sumber daya AWS. Anda harus menerapkan kebijakan yang terperinci, yang memberikan izin kepada pengguna, grup, peran, atau sumber daya. Anda juga dapat mewajibkan penggunaan kata sandi yang kuat, seperti tingkat kesulitan, agar kata sandi tidak digunakan kembali, dan menerapkan autentikasi multi-faktor (MFA). Anda dapat menggunakan federasi dengan layanan direktori yang ada. Untuk beban kerja yang mengharuskan sistem untuk mengakses AWS, IAM memberikan akses aman melalui peran, profil instans, federasi identitas, dan kredensial sementara.
Pertanyaan berikut ini berfokus pada pertimbangan untuk keamanan ini.
| BAG 2: Bagaimana cara mengelola identitas untuk orang dan mesin? |
|---|
|
Ada dua jenis identitas yang harus Anda kelola ketika mengoperasikan beban kerja AWS yang aman. Memahami jenis identitas yang perlu Anda kelola dan Anda beri akses akan membantu Anda memastikan bahwa suatu identitas dapat mengakses sumber daya yang tepat dalam kondisi yang tepat. Identitas Manusia: Administrator, developer, operator, serta pengguna akhir Anda memerlukan identitas untuk mengakses lingkungan dan aplikasi AWS. Ini adalah anggota organisasi Anda, atau pengguna eksternal yang berkolaborasi dengan Anda, dan yang berinteraksi dengan sumber daya AWS Anda melalui browser web, aplikasi klien, atau alat baris perintah interaktif. Identitas Mesin: Aplikasi layanan, alat operasional, dan beban kerja Anda memerlukan identitas untuk membuat permintaan ke layanan AWS, misalnya, untuk membaca data. Identitas ini mencakup mesin yang berjalan di lingkungan AWS Anda, seperti instans Amazon EC2 atau fungsi AWS Lambda. Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Selain itu, Anda mungkin juga memiliki mesin di luar AWS yang memerlukan akses ke lingkungan AWS Anda. |
| BAG 3: Bagaimana cara mengelola izin untuk orang dan mesin? |
|---|
| Kelola izin untuk mengontrol akses untuk identitas orang dan mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin mengontrol cakupan dan ketentuan akses seseorang. |
Kredensial tidak boleh dibagikan ke pengguna atau sistem lain. Akses pengguna harus diberikan menggunakan pendekatan hak akses paling rendah dan praktik terbaik, termasuk wajib menggunakan kata sandi dan MFA. Akses program, termasuk panggilan API ke layanan AWS harus dilakukan menggunakan kredensial sementara dengan hak istimewa terbatas seperti yang dikeluarkan oleh AWS Security Token Service.
AWS menyediakan sumber daya yang dapat membantu mengelola manajemen identitas dan akses. Untuk membantu mempelajari praktik terbaik, jelajahi lab langsung kami tentang
mengelola kredensial & autentikasi
