Manajemen izin
Kelola izin guna mengontrol akses untuk identitas orang dan mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin mengontrol cakupan dan ketentuan akses seseorang. Tetapkan izin kepada identitas manusia dan mesin tertentu guna memberikan akses ke tindakan layanan tertentu atas sumber daya tertentu. Selain itu, tentukan syarat yang harus dipenuhi agar akses dapat diberikan. Sebagai contoh, Anda dapat mengizinkan developer membuat fungsi Lambda baru, tetapi hanya di Wilayah tertentu. Saat mengelola lingkungan AWS Anda dalam skala yang besar, ikuti praktik terbaik berikut guna memastikan bahwa identitas hanya diberikan akses yang diperlukan, tidak lebih dari itu.
Terdapat beberapa cara untuk memberikan akses ke beberapa jenis sumber daya yang berbeda. Salah satunya adalah menggunakan beberapa jenis kebijakan yang berbeda.
Kebijakan berbasis identitas di IAM dikelola atau sebaris dan dilampirkan ke identitas IAM, termasuk pengguna, grup, atau aturan. Dengan kebijakan ini, Anda dapat menentukan apa saja yang boleh dilakukan identitas tersebut (izinnya). Kebijakan berbasis identitas dapat dikategorikan lebih lanjut.
Kebijakan terkelola – Kebijakan berbasis identitas tersendiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di akun AWS Anda. Terdapat dua jenis kebijakan terkelola:
-
Kebijakan terkelola AWS – Kebijakan terkelola yang dibuat dan dikelola oleh AWS.
-
Kebijakan yang dikelola pelanggan – Kebijakan terkelola yang Anda buat dan kelola di akun AWS Anda. Kebijakan yang dikelola pelanggan memberikan kontrol yang lebih presisi terhadap kebijakan Anda dibandingkan dengan kebijakan yang dikelola AWS.
Kebijakan terkelola adalah metode yang diutamakan untuk menerapkan izin. Namun, Anda juga dapat menggunakan kebijakan sebaris yang Anda tambahkan langsung ke pengguna, grup, atau peran tunggal. Kebijakan sebaris menjaga hubungan satu-ke-satu antara kebijakan dan identitas. Kebijakan sebaris akan dihapus saat Anda menghapus identitas.
Di sebagian besar kasus, Anda harus membuat sendiri kebijakan yang dikelola pelanggan dengan mengikuti prinsip hak akses paling rendah.
Kebijakan berbasis sumber daya dilampirkan ke sumber daya. Sebagai contoh, kebijakan bucket S3 merupakan kebijakan berbasis sumber daya. Kebijakan ini memberikan izin kepada pengguna utama yang dapat berada di akun yang sama atau berbeda dengan sumber daya. Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, lihat layanan AWS yang dapat digunakan dengan IAM.
Batasan izin
Kontrol akses berbasis atribut (ABAC)
Kebijakan kontrol layanan (SCP) organisasi menetapkan izin maksimum untuk anggota akun organisasi atau unit organisasi (OU). SCP membatasi izin yang diberikan oleh kebijakan berbasis identitas atau kebijakan berbasis sumber daya kepada entitas (pengguna atau peran) dalam akun tersebut, tetapi tidak memberikan izin.
Kebijakan sesi mengasumsikan peran atau pengguna gabungan. Lewati kebijakan sesi saat menggunakan kebijakan Sesi CLI AWS atau API AWS untuk membatasi izin yang diberikan oleh kebijakan berbasis identitas peran atau pengguna ke sesi tersebut. Kebijakan ini membatasi izin untuk sesi yang dibuat, tetapi tidak memberikan izin. Untuk informasi selengkapnya, lihat Kebijakan Sesi.
Praktik terbaik
- SEC03-BP01 Menetapkan persyaratan akses
- SEC03-BP02 Memberikan hak akses paling rendah
- SEC03-BP03 Menerapkan proses akses darurat
- SEC03-BP04 Mengurangi izin secara terus-menerus
- SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda
- SEC03-BP06 Kelola akses berdasarkan siklus hidup
- SEC03-BP07 Menganalisis akses lintas akun dan publik
- SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda
- SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga