SEC03-BP06 Kelola akses berdasarkan siklus hidup

Pantau dan sesuaikan izin yang diberikan kepada pengguna utama Anda (pengguna, peran, dan grup) di sepanjang siklus hidupnya dalam organisasi Anda. Sesuaikan keanggotaan grup jika pengguna berganti peran, dan hapus akses saat pengguna meninggalkan organisasi.

Hasil yang diinginkan: Anda memantau dan menyesuaikan izin di sepanjang siklus hidup pengguna utama dalam organisasi, sehingga mengurangi risiko hak akses yang tidak perlu. Anda memberikan akses yang sesuai saat Anda membuat pengguna. Anda mengubah akses saat tanggung jawab pengguna berubah, dan Anda menghapus akses ketika pengguna tidak lagi aktif atau telah meninggalkan organisasi. Anda mengelola perubahan pengguna, peran, dan grup secara terpusat. Anda menggunakan otomatisasi untuk menyebarkan perubahan ke lingkungan AWS Anda.

Antipola umum:

• Anda memberikan hak akses yang berlebihan atau luas ke identitas di awal melebihi hak akses yang diperlukan untuk pertama kali.

• Anda tidak meninjau dan menyesuaikan hak akses saat peran dan tanggung jawab identitas berubah seiring waktu.

• Anda membiarkan identitas yang tidak aktif atau dihentikan dengan hak akses aktif. Hal ini akan meningkatkan risiko akses yang tidak sah.

• Anda tidak mengotomatiskan manajemen siklus hidup identitas.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Kelola dan sesuaikan secara cermat hak akses yang Anda berikan kepada identitas (seperti pengguna, peran, grup) di sepanjang siklus hidupnya. Siklus hidup ini mencakup fase onboarding awal, perubahan peran dan tanggung jawab yang berkelanjutan, dan akhirnya offboarding atau penghentian. Kelola akses secara proaktif berdasarkan tahap siklus hidup untuk mempertahankan tingkat akses yang sesuai. Patuhi prinsip hak akses paling rendah untuk mengurangi risiko hak akses yang berlebihan atau tidak perlu.

Anda dapat mengelola siklus hidup IAM users secara langsung dalam Akun AWS, atau melalui federasi dari penyedia identitas tenaga kerja Anda ke AWS IAM Identity Center. Untuk IAM users, Anda dapat membuat, memodifikasi, dan menghapus pengguna dan izin terkait mereka dalam Akun AWS. Untuk pengguna terfederasi, Anda dapat menggunakan IAM Identity Center untuk mengelola siklus hidupnya dengan menyinkronkan informasi pengguna dan grup dari penyedia identitas organisasi Anda menggunakan protokol System for Cross-domain Identity Management (SCIM).

SCIM adalah protokol standar terbuka untuk penyediaan dan penghapusan otomatis identitas pengguna di berbagai sistem. Dengan mengintegrasikan penyedia identitas Anda dengan IAM Identity Center menggunakan SCIM, Anda dapat secara otomatis menyinkronkan informasi pengguna dan grup, membantu memvalidasi bahwa hak akses diberikan, dimodifikasi, atau dicabut berdasarkan perubahan sumber identitas otoritatif di organisasi Anda.

Ketika peran dan tanggung jawab karyawan berubah dalam organisasi Anda, sesuaikan hak akses mereka sebagaimana diperlukan. Anda dapat menggunakan kumpulan izin IAM Identity Center untuk menentukan peran atau tanggung jawab pekerjaan yang berbeda-beda lalu mengaitkannya dengan kebijakan dan izin IAM yang sesuai. Saat peran karyawan berubah, Anda dapat memperbarui kumpulan izin yang ditetapkan untuk menyesuaikan dengan tanggung jawab baru mereka. Verifikasikan bahwa mereka memiliki akses yang diperlukan sambil mematuhi prinsip hak akses paling rendah.

Langkah implementasi

1. Tentukan dan dokumentasikan proses siklus hidup manajemen akses, termasuk prosedur untuk memberikan akses awal, peninjauan berkala, dan offboarding.

2. Implementasikan batas peran, grup, dan izin IAM untuk mengelola akses secara kolektif dan memberlakukan tingkat akses maksimum yang diizinkan.

3. Berintegrasi dengan penyedia identitas terfederasi (seperti Microsoft Active Directory, Okta, Ping Identity) sebagai sumber otoritatif untuk informasi pengguna dan grup menggunakan IAM Identity Center.

4. Gunakan protokol SCIM untuk menyinkronkan informasi pengguna dan grup dari penyedia identitas ke Penyimpanan Identitas IAM Identity Center.

5. Buat kumpulan izin di IAM Identity Center yang merepresentasikan peran atau tanggung jawab pekerjaan yang berbeda-beda dalam organisasi Anda. Tentukan kebijakan dan izin IAM yang sesuai untuk setiap kumpulan izin.

6. Implementasikan peninjauan akses secara rutin, pencabutan akses yang cepat, dan peningkatan berkelanjutan terhadap proses siklus hidup manajemen akses.

7. Berikan pelatihan dan pengetahuan kepada karyawan tentang praktik terbaik manajemen akses.

Sumber daya

Praktik terbaik terkait:

• SEC02-BP04 Andalkan penyedia identitas terpusat

Dokumen terkait:

• Kelola sumber identitas Anda

• Kelola identitas di IAM Identity Center

• Menggunakan AWS Identity and Access Management Access Analyzer

• Pembuatan kebijakan IAM Access Analyzer

Video terkait:

• AWS re:Inforce 2023 - Kelola akses yang ditingkatkan sementara dengan AWS IAM Identity Center

• AWS re:invent 2022 - Sederhanakan akses tenaga kerja Anda dengan IAM Identity Center

• AWS re:Invent 2022 - Manfaatkan kekuatan kebijakan IAM & kendalikan izin dengan Access Analyzer