SEC03-BP01 Menetapkan persyaratan akses
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.
Antipola umum:
-
Hard-coding atau menyimpan rahasia di dalam aplikasi Anda.
-
Memberikan izin kustom untuk tiap pengguna.
-
Menggunakan kredensial berumur panjang.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi
Panduan implementasi
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.
Akses rutin ke Akun AWS di dalam organisasi harus disediakan menggunakan akses gabungan
Saat menetapkan persyaratan akses untuk identitas non-manusia, tentukan aplikasi dan komponen mana yang memerlukan akses dan bagaimana izin diberikan. Menggunakan IAM role yang dibangun dengan model akses hak akses paling rendah adalah pendekatan yang disarankan. Kebijakan yang Dikelola AWS menyediakan kebijakan IAM yang telah ditetapkan sebelumnya yang mencakup kasus-kasus penggunaan paling umum.
Layanan AWS, seperti AWS Secrets Manager
Anda dapat menggunakan AWS Identity and Access Management Roles Anywhere untuk mendapatkan kredensial keamanan sementara di IAM untuk beban kerja yang berjalan di luar AWS. Beban kerja Anda dapat menggunakan kebijakan IAM dan IAM role yang sama dengan yang Anda gunakan dengan aplikasi AWS untuk mengakses sumber daya AWS.
Jika memungkinkan, gunakan kredensial sementara jangka pendek, bukan kredensial statis jangka panjang. Untuk skenario di mana Anda memerlukan pengguna IAM dengan akses terprogram dan kredensial jangka panjang, gunakan informasi yang terakhir digunakan kunci akses untuk merotasi dan menghapus kunci akses.
Sumber daya
Dokumen terkait:
Video terkait: