SEC03-BP07 Menganalisis akses lintas akun dan publik

Pantau secara terus-menerus temuan yang menyoroti akses lintas akun dan publik. Kurangi akses publik dan akses lintas akun hanya ke sumber daya yang memerlukan akses ini.

Hasil yang diinginkan: Mengetahui mana sumber daya AWS yang dapat dibagikan dan kepada siapa. Pantau secara terus-menerus dan audit sumber daya bersama untuk memastikan sumber daya tersebut hanya dibagikan kepada pengguna utama yang sah.

Antipola umum:

Tidak menyimpan inventaris sumber daya bersama.
Tidak mengikuti proses persetujuan akses lintas akun atau publik ke sumber daya.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Rendah

Panduan implementasi

Jika akun Anda berada di AWS Organizations, Anda dapat memberikan akses sumber daya ke seluruh organisasi, unit organisasi tertentu, atau akun individu. Jika akun Anda bukan anggota suatu organisasi, Anda dapat berbagi sumber daya dengan akun individu. Anda dapat memberikan akses lintas akun langsung menggunakan kebijakan berbasis sumber daya — contohnya, kebijakan bucket Amazon Simple Storage Service (Amazon S3) — atau dengan mengizinkan pengguna utama di akun lain menggunakan suatu peran IAM di akun Anda. Saat menggunakan kebijakan sumber daya, pastikan bahwa akses tersebut hanya diberikan kepada pengguna utama yang sah. Tentukan proses untuk menyetujui semua sumber daya yang diperlukan untuk tersedia secara publik.

AWS Identity and Access Management Access Analyzer menggunakan keamanan yang dapat dibuktikan untuk mengidentifikasi semua jalur akses ke sumber daya dari luar akunnya. Keamanan tersebut meninjau kebijakan sumber daya secara terus-menerus, dan melaporkan temuan akses lintas akun dan publik untuk memudahkan Anda menganalisis potensi akses yang meluas. Pertimbangkan untuk mengonfigurasi IAM Access Analyzer dengan AWS Organizations untuk memastikan Anda memiliki visibilitas ke semua akun Anda. IAM Access Analyzer juga mendukung Anda untuk melakukan pratinjau temuan sebelum melakukan deployment izin sumber daya. Hal ini memungkinkan Anda untuk memvalidasi bahwa perubahan kebijakan hanya memberikan akses lintas akun dan publik tertentu ke sumber daya Anda. Saat merancang akses multiakun, Anda dapat menggunakan kebijakan kepercayaan untuk mengontrol dalam kasus seperti apa suatu peran bisa didapatkan. Misalnya, Anda dapat menggunakan kunci kondisi PrincipalOrgId untuk menolak upaya untuk mendapatkan peran dari luar AWS Organizations Anda.

AWS Config dapat melaporkan sumber daya yang konfigurasinya salah, dan melalui pemeriksaan kebijakan AWS Config, dapat mendeteksi sumber daya dengan konfigurasi akses publik. Layanan seperti AWS Control Tower dan AWS Security Hub menyederhanakan deployment kontrol deteksi dan pagar pembatas di seluruh AWS Organizations untuk mengidentifikasi dan memulihkan sumber daya yang terekspos ke publik. Misalnya, AWS Control Tower memiliki pagar pembatas terkelola yang dapat mendeteksi adanya snapshot Amazon EBS yang dapat dipulihkan di Akun AWS.

Langkah implementasi

Pertimbangkan untuk mengaktifkan AWS Config untuk AWS Organizations: AWS Config memungkinkan Anda mengumpulkan temuan dari banyak akun di dalam satu AWS Organizations ke akun administrator yang ditunjuk. Layanan ini memberikan tampilan komprehensif dan membantu Anda melakukan deployment Aturan AWS Config di seluruh akun untuk mendeteksi sumber daya yang dapat diakses publik.
Konfigurasikan AWS Identity and Access Management Access Analyzer: IAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon S3 atau peran IAM yang dibagikan kepada entitas eksternal.
Gunakan perbaikan otomatis di AWS Config untuk merespons perubahan dalam konfigurasi akses publik di bucket Amazon S3: Anda dapat secara otomatis mengaktifkan kembali pengaturan blokir akses publik untuk bucket Amazon S3.
Implementasikan pemantauan dan peringatan untuk mengidentifikasi apakah Amazon S3 dapat diakses publik: Anda harus menerapkan pemantauan dan peringatan untuk mengidentifikasi saat Amazon S3 Blokir Akses Publik dinonaktifkan, dan saat bucket Amazon S3 dapat diakses publik. Selain itu, jika Anda menggunakan AWS Organizations, Anda dapat membuat kebijakan kontrol layanan yang mencegah perubahan pada kebijakan akses publik Amazon S3. AWS Trusted Advisor memeriksa apakah ada bucket Amazon S3 yang memiliki izin akses terbuka. Izin bucket yang memberikan, mengunggah, atau menghapus akses ke semua orang akan menciptakan potensi masalah keamanan dengan mengizinkan siapa pun untuk menambahkan, mengubah, atau menghapus item dalam bucket. Pemeriksaan Trusted Advisor memeriksa izin bucket eksplisit dan kebijakan bucket terkait yang mungkin mengganti izin bucket. Anda juga dapat menggunakan AWS Config untuk memantau bucket Amazon S3 Anda untuk akses publik. Untuk informasi selengkapnya, kunjungi Cara Menggunakan AWS Config untuk Memantau dan Merespons Bucket Amazon S3 yang Mengizinkan Akses Publik. Saat meninjau akses, penting untuk mengetahui jenis data yang ada di bucket Amazon S3. Amazon Macie membantu menemukan dan melindungi data sensitif seperti PII, PHI, dan kredensial seperti kunci AWS atau privat.

Sumber daya

Dokumen terkait:

Video terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC03-BP06 Mengelola akses berdasarkan siklus hidup

SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda