SEC02-BP04 Mengandalkan penyedia identitas terpusat - AWS Kerangka Well-Architected

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC02-BP04 Mengandalkan penyedia identitas terpusat

Untuk identitas tenaga kerja (karyawan dan kontraktor), andalkan penyedia identitas yang memungkinkan Anda mengelola identitas di sebuah tempat yang tersentralisasi. Hal ini akan mempermudah Anda dalam melakukan pengelolaan akses di beberapa aplikasi dan sistem, karena Anda membuat, menetapkan, mengelola, mencabut, dan mengaudit akses dari satu lokasi.

Hasil yang diinginkan: Anda memiliki penyedia identitas terpusat tempat Anda mengelola pengguna tenaga kerja secara terpusat, kebijakan otentikasi (seperti memerlukan otentikasi multi-faktor (MFA)), dan otorisasi ke sistem dan aplikasi (seperti menetapkan akses berdasarkan keanggotaan atau atribut grup pengguna). Pengguna tenaga kerja Anda masuk ke penyedia identitas pusat dan melakukan penggabungan (federasi) (masuk tunggal) ke aplikasi internal dan eksternal, sehingga pengguna tidak perlu mengingat lebih dari satu kredensial. Penyedia identitas Anda terintegrasi dengan sistem sumber daya manusia (SDM) Anda sehingga perubahan personel secara otomatis akan disinkronkan ke penyedia identitas Anda. Misalnya, jika seseorang meninggalkan organisasi Anda, Anda dapat secara otomatis mencabut akses ke aplikasi dan sistem federasi (termasuk). AWS Anda telah mengaktifkan pencatatan log audit mendetail di penyedia identitas Anda dan memantau log tersebut untuk mendeteksi perilaku pengguna yang tidak biasa.

Anti-pola umum:

  • Anda tidak menggunakan federasi dan masuk tunggal. Pengguna tenaga kerja Anda membuat akun dan kredensial pengguna terpisah di beberapa aplikasi dan sistem.

  • Anda belum melakukan otomatisasi siklus hidup identitas untuk pengguna tenaga kerja, seperti dengan mengintegrasikan penyedia identitas Anda dengan sistem SDM Anda. Saat pengguna keluar dari organisasi atau beralih jabatan, Anda harus mengikuti proses manual untuk menghapus atau memperbarui catatan mereka di beberapa aplikasi dan sistem.

Manfaat menerapkan praktik terbaik ini: Dengan menggunakan penyedia identitas yang terpusat, Anda memiliki satu tempat untuk mengelola identitas dan kebijakan pengguna tenaga kerja, kemampuan untuk menetapkan akses aplikasi kepada pengguna dan grup, dan kemampuan untuk memantau aktivitas masuk pengguna. Dengan melakukan integrasi dengan sistem sumber daya manusia (SDM), ketika ada seorang pengguna beralih jabatan, perubahan ini akan disinkronkan dengan penyedia identitas yang secara otomatis memperbarui aplikasi dan izin yang ditetapkan. Ketika ada pengguna yang keluar dari organisasi Anda, maka identitas mereka pun secara otomatis dinonaktifkan di penyedia identitas, sehingga akses mereka ke aplikasi dan sistem gabungan dicabut.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Panduan untuk pengguna tenaga kerja yang mengakses AWS

Pengguna tenaga kerja seperti karyawan dan kontraktor di organisasi Anda mungkin memerlukan akses untuk AWS menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI) untuk menjalankan fungsi pekerjaan mereka. Anda dapat memberikan AWS akses ke pengguna tenaga kerja Anda dengan menggabungkan dari penyedia identitas terpusat Anda ke dua AWS tingkat: federasi langsung ke masing-masing Akun AWS atau federasi ke beberapa akun di organisasi Anda.AWS

Setelah Anda mengikuti panduan sebelumnya, pengguna tenaga kerja Anda tidak perlu lagi menggunakan IAM pengguna dan grup untuk operasi normal saat mengelola beban kerja. AWS Sebagai gantinya, pengguna dan grup Anda dikelola di luar AWS dan pengguna dapat mengakses AWS sumber daya sebagai identitas gabungan. Identitas gabungan (terfederasi) menggunakan grup yang ditentukan oleh penyedia identitas terpusat Anda. Anda harus mengidentifikasi dan menghapus IAM grup, IAM pengguna, dan kredensi pengguna yang berumur panjang (kata sandi dan kunci akses) yang tidak lagi diperlukan di situs Anda. Akun AWSAnda dapat menemukan kredensi yang tidak digunakan menggunakan laporan IAM kredensi, menghapus IAMpengguna yang sesuai, dan menghapus grup. IAM Anda dapat menerapkan Kebijakan Kontrol Layanan (SCP) ke organisasi Anda yang membantu mencegah pembuatan IAM pengguna dan grup baru, menegakkan akses AWS tersebut melalui identitas gabungan.

Panduan untuk para pengguna aplikasi Anda

Anda dapat mengelola identitas pengguna aplikasi Anda, seperti aplikasi seluler, menggunakan Amazon Cognito sebagai penyedia identitas terpusat Anda. Amazon Cognito mengaktifkan autentikasi, otorisasi, dan pengelolaan pengguna, baik untuk aplikasi web mau pun aplikasi seluler Anda. Amazon Cognito menyediakan toko identitas yang menskalakan jutaan pengguna, mendukung federasi identitas sosial dan organisasi, serta menawarkan fitur-fitur keamanan canggih untuk membantu Anda melindungi para pengguna dan bisnis Anda. Anda dapat mengintegrasikan aplikasi web atau seluler kustom Anda dengan Amazon Cognito untuk menambahkan autentikasi pengguna dan kontrol akses ke aplikasi Anda dalam hitungan menit. Dibangun di atas standar identitas terbuka seperti SAML dan Open ID Connect (OIDC), Amazon Cognito mendukung berbagai peraturan kepatuhan dan terintegrasi dengan sumber daya pengembangan frontend dan backend.

Langkah-langkah implementasi

Langkah-langkah untuk pengguna tenaga kerja yang mengakses AWS

  • Gabungkan pengguna tenaga kerja Anda untuk AWS menggunakan penyedia identitas terpusat menggunakan salah satu pendekatan berikut:

    • Gunakan Pusat IAM Identitas untuk mengaktifkan sistem masuk tunggal ke beberapa Akun AWS di AWS organisasi Anda dengan berfederasi dengan penyedia identitas Anda.

    • Gunakan IAM untuk menghubungkan penyedia identitas Anda secara langsung ke masing-masing Akun AWS, memungkinkan akses berbutir halus gabungan.

  • Identifikasi dan hapus IAM pengguna dan grup yang digantikan oleh identitas federasi.

Langkah-langkah untuk pengguna aplikasi Anda

  • Gunakan Amazon Cognito sebagai penyedia identitas terpusat menuju aplikasi Anda.

  • Integrasikan aplikasi kustom Anda dengan Amazon Cognito menggunakan OpenID Connect dan. OAuth Anda dapat mengembangkan aplikasi kustom menggunakan pustaka Amplify yang menyediakan antarmuka sederhana untuk diintegrasikan dengan berbagai AWS layanan, seperti Amazon Cognito untuk otentikasi.

Sumber daya

Praktik terbaik Well-Architected terkait:

Dokumen terkait:

Video terkait:

Contoh terkait:

Alat terkait: