Panduan implementasi Langkah implementasi Sumber daya

SEC01-BP01 Memisahkan beban kerja menggunakan akun

Terapkan pagar pembatas umum dan isolasi antarlingkungan (seperti produksi, pengembangan, dan pengujian) dan beban kerja melalui strategi multiakun. Pemisahan di tingkat akun sangat disarankan karena hal ini dapat memberikan batasan isolasi yang kuat untuk keamanan, tagihan, dan akses.

Hasil yang diinginkan: Struktur akun yang mengisolasi operasi cloud, beban kerja yang tidak saling berkaitan, dan lingkungan dalam akun terpisah, sehingga meningkatkan keamanan di seluruh infrastruktur cloud.

Antipola umum:

Menempatkan beberapa beban kerja yang tidak saling berkaitan dengan berbagai tingkat sensitivitas data ke dalam akun yang sama.
Struktur unit organisasi (OU) yang tidak ditentukan dengan baik.

Manfaat menjalankan praktik terbaik ini:

Mengurangi cakupan dampak jika beban kerja tidak sengaja diakses.
Tata kelola akses secara terpusat ke layanan, sumber daya, dan Wilayah AWS.
Keamanan infrastruktur cloud terjaga dengan kebijakan dan administrasi terpusat pada layanan keamanan.
Pembuatan akun dan proses pemeliharaan otomatis.
Audit infrastruktur terpusat untuk persyaratan kepatuhan dan peraturan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Akun AWS memberikan batas isolasi keamanan di antara beban kerja atau sumber daya yang beroperasi pada tingkat sensitivitas yang berbeda. AWS menyediakan alat untuk mengelola beban kerja cloud Anda dalam skala besar melalui strategi multiakun untuk memanfaatkan batasan isolasi ini. Untuk panduan tentang konsep, pola, dan implementasi strategi multiakun di AWS, lihat Mengelola Lingkungan AWS Anda Menggunakan Beberapa Akun.

Ketika Anda memiliki beberapa Akun AWS di bawah manajemen pusat, akun Anda harus dikelola dalam hierarki yang ditentukan oleh lapisan unit organisasi (OU). Kontrol keamanan kemudian dapat diatur dan diterapkan ke OU dan akun anggota, yang menciptakan kontrol pencegahan yang konsisten pada akun anggota di organisasi. Kontrol keamanan diwariskan, memungkinkan Anda memfilter izin yang tersedia untuk akun anggota yang berada di tingkat yang lebih rendah dalam hierarki OU. Untuk membuat desain yang baik, memanfaatkan pewarisan ini untuk mengurangi jumlah dan kerumitan kebijakan keamanan yang diperlukan untuk mencapai kontrol keamanan yang diinginkan untuk setiap akun anggota.

AWS Organizations dan AWS Control Tower adalah dua layanan yang dapat Anda gunakan untuk mengimplementasikan dan mengelola struktur multiakun ini di lingkungan AWS Anda. Dengan AWS Organizations, Anda bisa mengatur akun ke dalam hierarki yang ditentukan oleh satu atau beberapa lapisan OU, dan setiap OU berisi sejumlah akun anggota. Kebijakan kontrol layanan (SCP) memungkinkan administrator organisasi untuk menetapkan kontrol pencegahan terperinci pada akun anggota, dan AWS Config dapat digunakan untuk membuat kontrol proaktif dan detektif pada akun anggota. Banyak layanan AWS berintegrasi dengan AWS Organizations untuk memberikan kontrol administratif terdelegasi dan melakukan tugas khusus layanan di semua akun anggota dalam organisasi.

Selain AWS Organizations, AWS Control Tower menyediakan penyiapan praktik terbaik sekali klik untuk lingkungan AWS multiakun dengan zona landasan. Zona landasan adalah titik masuk ke lingkungan multiakun yang dibuat oleh Control Tower. Control Tower memiliki beberapa manfaat dibanding AWS Organizations. Tiga manfaat yang memberikan tata kelola akun yang lebih baik adalah:

Pagar pembatas wajib terintegrasi yang diterapkan secara otomatis ke akun yang diterima di organisasi.
Pagar pembatas opsional yang dapat diaktifkan atau dinonaktifkan untuk serangkaian OU tertentu.
AWS Control Tower Account Factory menyediakan deployment otomatis untuk akun yang berisi dasar dan opsi konfigurasi yang telah disetujui sebelumnya di dalam organisasi Anda.

Langkah implementasi

Rancang struktur unit organisasi: Rancangan struktur organisasi yang tepat dapat mengurangi beban manajemen yang diperlukan untuk membuat dan mengelola kebijakan kontrol layanan dan kontrol keamanan lainnya. Struktur unit organisasi Anda harus selaras dengan struktur beban kerja, sensitivitas data, dan kebutuhan bisnis Anda.
Buat zona landasan untuk lingkungan multiakun: Zona landasan membentuk konsistensi keamanan dan landasan infrastruktur, sehingga organisasi Anda dapat dengan cepat mengembangkan, meluncurkan, dan melakukan deployment beban kerja. Anda dapat menggunakan zona landasan kustom atau AWS Control Tower untuk mengatur lingkungan Anda.
Terapkan pagar pembatas: Implementasikan pagar pembatas yang stabil untuk lingkungan Anda melalui zona landasan. AWS Control Tower menyediakan sederet kontrol wajib dan opsional yang dapat di-deploy. Deployment kontrol wajib dilakukan secara otomatis saat mengimplementasikan Control Tower. Lihat daftar kontrol yang sangat direkomendasikan dan opsional, kemudian implementasikan kontrol yang sesuai dengan kebutuhan Anda.
Batasi akses ke Wilayah yang baru ditambahkan: Untuk Wilayah AWS baru, sumber daya IAM seperti pengguna dan peran hanya disebarkan ke Wilayah yang Anda tentukan. Tindakan ini dapat dilakukan melalui konsol saat menggunakan Control Tower, atau dengan menyesuaikan kebijakan izin IAM di AWS Organizations.
Pertimbangkan AWS CloudFormation StackSets: StackSets membantu Anda saat melakukan deployment kebijakan, peran, dan grup IAM ke Wilayah dan Akun AWS yang berbeda dari templat yang disetujui.

Sumber daya

Praktik Terbaik Terkait:

SEC02-BP04 Andalkan penyedia identitas terpusat

Dokumen terkait:

Video terkait:

Lokakarya terkait:

Control Tower Immersion Day (Hari Imersi Control Tower)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC 1 Bagaimana cara mengoperasikan beban kerja Anda secara aman?

SEC01-BP02 Mengamankan properti dan pengguna root akun