SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi

Untuk identitas tenaga kerja (karyawan dan kontraktor), andalkan penyedia identitas yang memungkinkan Anda mengelola identitas di sebuah tempat yang tersentralisasi. Hal ini akan mempermudah Anda dalam melakukan pengelolaan akses di beberapa aplikasi dan sistem, karena Anda membuat, menetapkan, mengelola, mencabut, dan mengaudit akses dari satu lokasi.

Hasil yang diinginkan: Anda memiliki penyedia identitas terpusat tempat Anda mengelola pengguna tenaga kerja, kebijakan autentikasi (misalnya mengharuskan autentikasi multi-faktor (MFA)), dan otorisasi ke sistem dan aplikasi (misalnya menetapkan akses berdasarkan keanggotaan atau atribut grup pengguna) secara terpusat. Pengguna tenaga kerja Anda masuk ke penyedia identitas pusat dan melakukan penggabungan (federasi) (masuk tunggal) ke aplikasi internal dan eksternal, sehingga pengguna tidak perlu mengingat lebih dari satu kredensial. Penyedia identitas Anda terintegrasi dengan sistem sumber daya manusia (SDM) Anda sehingga perubahan personel secara otomatis akan disinkronkan ke penyedia identitas Anda. Misalnya, jika ada seseorang yang keluar dari organisasi Anda, maka Anda dapat secara otomatis mencabut akses ke aplikasi dan sistem gabungan (termasuk AWS) yang dimiliki orang tersebut. Anda telah mengaktifkan pencatatan log audit mendetail di penyedia identitas Anda dan memantau log tersebut untuk mendeteksi perilaku pengguna yang tidak biasa.

Anti-pola umum:

• Anda tidak menggunakan federasi dan masuk tunggal. Pengguna tenaga kerja Anda membuat akun dan kredensial pengguna terpisah di beberapa aplikasi dan sistem.

• Anda belum melakukan otomatisasi siklus hidup identitas untuk pengguna tenaga kerja, seperti dengan mengintegrasikan penyedia identitas Anda dengan sistem SDM Anda. Saat pengguna keluar dari organisasi atau beralih jabatan, Anda harus mengikuti proses manual untuk menghapus atau memperbarui catatan mereka di beberapa aplikasi dan sistem.

Manfaat menjalankan praktik terbaik ini: Dengan menggunakan penyedia identitas yang terpusat, Anda memiliki satu tempat untuk mengelola identitas dan kebijakan pengguna tenaga kerja, kemampuan untuk menetapkan akses aplikasi kepada pengguna dan grup, dan kemampuan untuk memantau aktivitas masuk pengguna. Dengan melakukan integrasi dengan sistem sumber daya manusia (SDM), ketika ada seorang pengguna beralih jabatan, perubahan ini akan disinkronkan dengan penyedia identitas yang secara otomatis memperbarui aplikasi dan izin yang ditetapkan. Ketika ada pengguna yang keluar dari organisasi Anda, maka identitas mereka pun secara otomatis dinonaktifkan di penyedia identitas, sehingga akses mereka ke aplikasi dan sistem gabungan dicabut.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Panduan untuk pengguna tenaga kerja yang mengakses AWS: Pengguna tenaga kerja seperti karyawan dan kontraktor yang ada di organisasi Anda mungkin memerlukan akses ke AWS dengan menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI) untuk menjalankan fungsi pekerjaan mereka. Anda dapat memberikan akses AWS kepada pengguna tenaga kerja Anda dengan melakukan federasi dari penyedia identitas terpusat Anda ke AWS pada dua tingkat: federasi langsung ke setiap Akun AWS atau melakukan federasi ke beberapa akun di organisasi AWS Anda.

Untuk menggabungkan pengguna tenaga kerja Anda secara langsung dengan masing-masing Akun AWS, Anda dapat menggunakan penyedia identitas terpusat untuk digabungkan ke AWS Identity and Access Management yang ada di akun tersebut. Fleksibilitas IAM dapat memungkinkan Anda mengaktifkan SAMP 2.0 atau Penyedia Identitas Open ID Connect (OIDC) terpisah untuk setiap Akun AWS dan menggunakan atribut-atribut pengguna gabungan untuk kontrol akses. Pengguna tenaga kerja Anda akan menggunakan browser webnya untuk masuk ke penyedia identitas dengan memberikan kredensialnya (seperti kata sandi dan kode token MFA). Penyedia identitas mengeluarkan pernyataan SAFL ke browser mereka yang dikirimkan ke URL masuk AWS Management Console agar pengguna dapat melakukan masuk tunggal ke AWS Management Console dengan menggunakan Peran IAM. Pengguna Anda juga dapat memperoleh kredensial API AWS sementara untuk digunakan di AWS CLI atau SDK AWS dari AWS STS dengan mengambil peran IAM menggunakan pernyataan SAML dari penyedia identitas.

Untuk melakukan federasi terhadap pengguna tenaga kerja Anda dengan beberapa akun di organisasi AWS Anda, Anda dapat menggunakan Pusat Identitas AWS IAM untuk mengelola akses secara terpusat bagi pengguna tenaga kerja Anda ke Akun AWS dan aplikasi. Anda mengaktifkan Pusat Identitas untuk organisasi Anda dan mengonfigurasi sumber identitas Anda. Pusat Identitas IAM menyediakan direktori sumber identitas default yang dapat Anda gunakan untuk mengelola pengguna dan grup Anda. Atau, Anda dapat memilih sumber identitas eksternal dengan menghubungkan ke penyedia identitas eksternal Anda menggunakan SAML 2.0 dan secara otomatis menyediakan pengguna dan grup menggunakan SCIM, atau menghubungkan ke Microsoft AD Directory Anda dengan menggunakan AWS Directory Service. Setelah Anda mengonfigurasi sumber identitas, Anda dapat menetapkan akses kepada pengguna dan grup ke Akun AWS dengan menentukan kebijakan hak akses paling rendah di rangkaian izin Anda. Pengguna tenaga kerja Anda dapat melakukan autentikasi melalui penyedia identitas pusat Anda untuk masuk ke portal akses AWS dan melakukan masuk tunggal ke aplikasi cloud Akun AWS dan yang ditetapkan untuknya. Pengguna Anda dapat mengonfigurasi AWS CLI v2 untuk melakukan autentikasi dengan Pusat Identitas dan mendapatkan kredensial untuk menjalankan perintah AWS CLI. Pusat Identitas juga dapat memungkinkan akses masuk tunggal ke aplikasi AWS seperti Amazon SageMaker AI Studio dan portal AWS IoT Sitewise Monitor.

Setelah Anda mengikuti panduan di atas, pengguna tenaga kerja Anda tidak perlu lagi menggunakan pengguna IAM dan grup IAM untuk operasi normal saat mengelola beban kerja di AWS. Sebaliknya, pengguna dan grup Anda dikelola di luar AWS dan pengguna dapat mengakses sumber daya AWS sebagai sebuah identitas gabungan. Identitas gabungan (terfederasi) menggunakan grup yang ditentukan oleh penyedia identitas terpusat Anda. Anda harus mengidentifikasi dan menghapus grup IAM, pengguna IAM, dan kredensial pengguna jangka panjang (kata sandi dan kunci akses) yang sudah tidak lagi diperlukan di Akun AWS Anda. Anda dapat menemukan kredensial yang tidak digunakan dengan menggunakan laporan kredensial IAM, menghapus pengguna IAM yang sesuai dan menghapus grup IAM. Anda dapat menerapkan Kebijakan Kontrol Layanan (SCP) ke organisasi Anda yang akan membantu Anda dalam mencegah pembuatan pengguna dan grup IAM baru, sehingga memberlakukan bahwa akses ke AWS harus melalui identitas terfederasi.

catatan

Anda bertanggung jawab untuk menangani rotasi token akses SCIM seperti yang dijelaskan dalam dokumentasi Penyediaan otomatis. Selain itu, Anda bertanggung jawab untuk merotasi sertifikat yang mendukung federasi identitas Anda.

Panduan untuk para pengguna aplikasi Anda: Anda dapat mengelola identitas pengguna aplikasi Anda, seperti aplikasi seluler, menggunakan Amazon Cognito sebagai penyedia identitas tersentralisasi Anda. Amazon Cognito memungkinkan autentikasi, otorisasi, dan pengelolaan pengguna, baik untuk aplikasi web maupun aplikasi seluler Anda. Amazon Cognito menyediakan toko identitas yang menskalakan jutaan pengguna, mendukung federasi identitas sosial dan organisasi, serta menawarkan fitur-fitur keamanan canggih untuk membantu Anda melindungi para pengguna dan bisnis Anda. Anda dapat mengintegrasikan aplikasi web atau seluler kustom Anda dengan Amazon Cognito untuk menambahkan autentikasi pengguna dan kontrol akses ke aplikasi Anda dalam hitungan menit. Dibangun di atas standar identitas terbuka seperti SAFL dan Open ID Connect (OIDC), Amazon Cognito mendukung berbagai peraturan kepatuhan dan terintegrasi dengan sumber daya pengembangan frontend dan backend.

Langkah-langkah implementasi

Langkah-langkah untuk pengguna tenaga kerja yang mengakses AWS

• Lakukan penggabungan (federasi) terhadap pengguna tenaga kerja Anda ke AWS dengan menggunakan penyedia identitas terpusat melalui salah satu pendekatan berikut:

  • Gunakan Pusat Identitas IAM untuk mengaktifkan masuk tunggal ke beberapa Akun AWS di organisasi AWS Anda dengan cara menggabungkan dengan penyedia identitas Anda.

  • Gunakan IAM untuk menghubungkan penyedia identitas Anda secara langsung ke setiap Akun AWS, sehingga memungkinkan akses mendetail gabungan.

• Identifikasikan dan hapus pengguna IAM dan grup IAM yang digantikan dengan identitas gabungan.

Langkah-langkah untuk pengguna aplikasi Anda

• Gunakan Amazon Cognito sebagai penyedia identitas terpusat menuju aplikasi Anda.

• Integrasikan aplikasi kustom Anda dengan Amazon Cognito menggunakan OpenID Connect dan OAuth. Anda dapat mengembangkan aplikasi kustom menggunakan pustaka Amplify yang menyediakan antarmuka sederhana untuk diintegrasikan dengan berbagai layanan AWS, seperti Amazon Cognito untuk autentikasi.

Sumber daya

Praktik-praktik terbaik terkait:

• SEC02-BP06 Manfaatkan grup dan atribut pengguna

• SEC03-BP02 Memberikan hak akses paling rendah

• SEC03-BP06 Mengelola akses berdasarkan siklus hidup

Dokumen terkait:

• Federasi identitas di AWS

• Praktik terbaik keamanan di IAM

• Praktik terbaik AWS Identity and Access Management

• Memulai administrasi terdelegasi Pusat Identitas IAM

• Cara menggunakan kebijakan yang dikelola pelanggan di Pusat Identitas IAM untuk kasus penggunaan lanjutan

• AWS CLI v2: Penyedia kredensial Pusat Identitas IAM

Video terkait:

• AWS re:Inforce 2022 - Pembahasan mendalam tentang AWS Identity and Access Management (IAM)

• AWS re:Invent 2022 - Menyederhanakan akses tenaga kerja Anda dengan Pusat Identitas IAM

• AWS re:Invent 2018: Menguasai Identitas di Setiap Lapisan Susunan

Contoh terkait:

• Lokakarya: Menggunakan Pusat Identitas AWS IAM untuk mencapai manajemen identitas yang kuat

• Lokakarya: Identitas nirserver

Alat terkait:

• Mitra Kompetensi Keamanan AWS: Manajemen Identitas dan Akses

• saml2aws