SEC02-BP04 Mengandalkan penyedia identitas terpusat

Untuk identitas tenaga kerja (karyawan dan kontraktor), andalkan penyedia identitas yang memungkinkan Anda mengelola identitas di tempat terpusat. Ini akan mempermudah pengelolaan akses di beberapa aplikasi dan sistem, karena Anda membuat, menetapkan, mengelola, mencabut, dan mengaudit akses dari satu lokasi.

Hasil yang diinginkan: Anda memiliki penyedia identitas terpusat tempat Anda mengelola pengguna tenaga kerja, kebijakan autentikasi (misalnya mengharuskan autentikasi multifaktor (MFA)), dan otorisasi ke sistem dan aplikasi (misalnya menetapkan akses berdasarkan keanggotaan atau atribut grup pengguna) secara terpusat. Pengguna tenaga kerja Anda masuk ke penyedia identitas pusat dan melakukan penggabungan (masuk tunggal) ke aplikasi internal dan eksternal, sehingga pengguna tidak perlu mengingat lebih dari satu kredensial. Penyedia identitas Anda terintegrasi dengan sistem sumber daya manusia (SDM) Anda sehingga perubahan personel secara otomatis disinkronkan ke penyedia identitas Anda. Misalnya, jika seseorang keluar dari organisasi Anda, Anda dapat secara otomatis mencabut akses ke aplikasi dan sistem gabungan (termasuk AWS). Anda telah mengaktifkan pencatatan log audit mendetail di penyedia identitas Anda dan memantau log tersebut untuk perilaku pengguna yang tidak biasa.

Antipola umum:

• Anda tidak menggunakan federasi dan masuk tunggal. Pengguna tenaga kerja Anda membuat akun dan kredensial pengguna terpisah di beberapa aplikasi dan sistem.

• Anda belum mengotomatiskan siklus hidup identitas untuk pengguna tenaga kerja, seperti dengan mengintegrasikan penyedia identitas Anda dengan sistem SDM Anda. Saat pengguna keluar dari organisasi atau beralih jabatan, Anda mengikuti proses manual untuk menghapus atau memperbarui catatan mereka di beberapa aplikasi dan sistem.

Manfaat menjalankan praktik terbaik ini: Dengan menggunakan penyedia identitas yang terpusat, Anda memiliki satu tempat untuk mengelola identitas dan kebijakan pengguna tenaga kerja, kemampuan untuk menetapkan akses aplikasi kepada pengguna dan grup, dan kemampuan untuk memantau aktivitas masuk pengguna. Melalui integrasi dengan sistem sumber daya manusia (SDM), ketika pengguna beralih jabatan, perubahan ini disinkronkan dengan penyedia identitas yang secara otomatis memperbarui aplikasi dan izin yang ditetapkan. Ketika pengguna keluar dari organisasi Anda, identitas mereka secara otomatis dinonaktifkan di penyedia identitas, sehingga akses mereka ke aplikasi dan sistem gabungan dicabut.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Panduan untuk pengguna tenaga kerja yang mengakses AWS

Pengguna tenaga kerja seperti karyawan dan kontraktor di organisasi Anda mungkin memerlukan akses ke AWS menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI) untuk menjalankan fungsi pekerjaan mereka. Anda dapat memberikan akses AWS kepada pengguna tenaga kerja Anda dengan melakukan federasi dari penyedia identitas terpusat Anda ke AWS pada dua tingkat: federasi langsung ke setiap Akun AWS atau federasi ke beberapa akun di organisasi AWS.

• Untuk menggabungkan pengguna tenaga kerja Anda secara langsung dengan setiap Akun AWS, Anda dapat menggunakan penyedia identitas terpusat untuk digabungkan ke AWS Identity and Access Management dalam akun tersebut. Fleksibilitas IAM memungkinkan Anda mengaktifkan Penyedia Identitas SAML 2.0 atau Open ID Connect (OIDC) secara terpisah untuk setiap Akun AWS dan gunakan atribut pengguna gabungan untuk kontrol akses. Pengguna tenaga kerja Anda akan menggunakan browser web mereka untuk masuk ke penyedia identitas dengan memberikan kredensialnya (seperti kata sandi dan kode token MFA). Penyedia identitas mengeluarkan pernyataan SAFL ke browser mereka yang dikirimkan ke URL masuk AWS Management Console agar pengguna dapat melakukan masuk tunggal ke AWS Management Console dengan mengambil Peran IAM. Pengguna Anda juga dapat memperoleh kredensial API AWS sementara untuk digunakan di AWS CLI atau SDK AWS dari AWS STS dengan mengambil peran IAM menggunakan pernyataan SAFL dari penyedia identitas.

• Untuk menggabungkan pengguna tenaga kerja Anda dengan beberapa akun di organisasi AWS Anda, Anda dapat menggunakan AWS IAM Identity Center untuk mengelola akses secara terpusat bagi pengguna tenaga kerja Anda ke Akun AWS dan aplikasi. Anda mengaktifkan Pusat Identitas untuk organisasi Anda dan mengonfigurasi sumber identitas Anda. IAM Identity Center menyediakan direktori sumber identitas default yang dapat Anda gunakan untuk mengelola pengguna dan grup Anda. Atau, Anda dapat memilih sumber identitas eksternal dengan terhubung ke penyedia identitas eksternal Anda menggunakan SAFL 2.0 dan secara otomatis menyediakan pengguna dan grup menggunakan SCIM, atau terhubung ke Direktori Microsoft AD Anda menggunakan AWS Directory Service. Setelah sumber identitas dikonfigurasi, Anda dapat menetapkan akses kepada pengguna dan grup ke Akun AWS dengan menentukan kebijakan hak akses paling rendah di seperangkat izin. Pengguna tenaga kerja Anda dapat melakukan autentikasi melalui penyedia identitas pusat Anda untuk masuk ke portal akses AWS dan melakukan masuk tunggal ke Akun AWS dan aplikasi cloud yang ditetapkan untuk mereka. Pengguna Anda dapat mengonfigurasi AWS CLI v2 untuk mengautentikasi dengan Pusat Identitas dan mendapatkan kredensial untuk menjalankan perintah AWS CLI. Pusat Identitas juga memungkinkan akses masuk tunggal ke aplikasi AWS seperti Amazon SageMaker Studio dan portal AWS IoT Sitewise Monitor.

Setelah Anda mengikuti panduan di atas, pengguna tenaga kerja Anda tidak perlu lagi menggunakan IAM users dan grup IAM untuk operasi normal saat mengelola beban kerja di AWS. Sebaliknya, pengguna dan grup Anda dikelola di luar AWS dan pengguna dapat mengakses sumber daya AWS sebagai identitas gabungan. Identitas gabungan menggunakan grup yang ditentukan oleh penyedia identitas terpusat Anda. Anda harus mengidentifikasi dan menghapus grup IAM, IAM users, dan kredensial pengguna jangka panjang (kata sandi dan kunci akses) yang sudah tidak diperlukan di situs Akun AWS Anda. Anda dapat menemukan kredensial yang tidak digunakan menggunakan laporan kredensial IAM, menghapus IAM users terkait, dan menghapus grup IAM. Anda dapat menerapkan Kebijakan Kontrol Layanan (SCP) ke organisasi Anda yang membantu mencegah pembuatan IAM users dan grup IAM baru, sehingga memaksa akses ke AWS hanya terjadi melalui identitas gabungan.

Panduan untuk pengguna aplikasi Anda

Anda dapat mengelola identitas pengguna aplikasi Anda, seperti aplikasi seluler, menggunakan Amazon Cognito sebagai penyedia identitas terpusat Anda. Amazon Cognito memungkinkan autentikasi, otorisasi, dan manajemen pengguna untuk web dan aplikasi seluler Anda. Amazon Cognito menyediakan tempat penyimpanan identitas yang menyesuaikan skala dengan jutaan pengguna, mendukung federasi identitas sosial dan korporasi, serta menawarkan fitur keamanan canggih untuk membantu melindungi pengguna dan bisnis Anda. Anda dapat mengintegrasikan aplikasi web atau seluler kustom Anda dengan Amazon Cognito untuk menambahkan autentikasi pengguna dan kontrol akses ke aplikasi Anda dalam hitungan menit. Dibangun di atas standar identitas terbuka seperti SAFL dan Open ID Connect (OIDC), Amazon Cognito mendukung berbagai peraturan kepatuhan dan terintegrasi dengan sumber daya pengembangan frontend dan backend.

Langkah implementasi

Langkah-langkah untuk pengguna tenaga kerja yang mengakses AWS

• Gabungkan pengguna tenaga kerja Anda ke AWS menggunakan penyedia identitas terpusat melalui salah satu pendekatan berikut:

  • Gunakan IAM Identity Center untuk mengaktifkan masuk tunggal ke beberapa Akun AWS di organisasi AWS Anda dengan cara menggabungkan dengan penyedia identitas Anda.

  • Gunakan IAM untuk menghubungkan penyedia identitas Anda secara langsung ke setiap Akun AWS, sehingga memungkinkan akses mendetail gabungan.

• Identifikasikan dan hapus IAM users dan grup IAM yang digantikan dengan identitas gabungan.

Langkah-langkah untuk pengguna aplikasi Anda

• Gunakan Amazon Cognito sebagai penyedia identitas terpusat menuju aplikasi Anda.

• Integrasikan aplikasi kustom Anda dengan Amazon Cognito menggunakan OpenID Connect dan OAuth. Anda dapat mengembangkan aplikasi kustom menggunakan pustaka Amplify yang menyediakan antarmuka sederhana untuk diintegrasikan dengan berbagai layanan AWS, seperti Amazon Cognito untuk autentikasi.

Sumber daya

Praktik terbaik Well-Architected terkait:

• SEC02-BP06 Manfaatkan grup dan atribut pengguna

• SEC03-BP02 Memberikan hak akses paling rendah

• SEC03-BP06 Kelola akses berdasarkan siklus hidup

Dokumen terkait:

• Federasi identitas di AWS

• Praktik terbaik keamanan di IAM

• Praktik terbaik AWS Identity and Access Management

• Memulai dengan administrasi terdelegasi IAM Identity Center

• Cara menggunakan kebijakan yang dikelola pelanggan di IAM Identity Center untuk kasus penggunaan lanjutan

• AWS CLI v2: penyedia kredensial IAM Identity Center

Video terkait:

• AWS re:Inforce 2022 - Pembahasan mendalam AWS Identity and Access Management (IAM)

• AWS re:invent 2022 - Menyederhanakan akses tenaga kerja Anda dengan IAM Identity Center

• AWS re:Invent 2018: Menguasai Identitas di Setiap Lapisan Susunan

Contoh terkait:

• Lokakarya: Menggunakan AWS IAM Identity Center untuk mencapai manajemen identitas yang kuat

• Lokakarya: Identitas nirserver

Alat terkait:

• Partner Kompetensi Keamanan AWS: Manajemen Identitas dan Akses

• saml2aws