Manajemen izin

Kelola izin guna mengontrol akses untuk identitas orang dan mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin mengontrol cakupan dan ketentuan akses seseorang. Tetapkan izin kepada identitas manusia dan mesin tertentu guna memberikan akses ke tindakan layanan tertentu atas sumber daya tertentu. Selain itu, tentukan syarat yang harus dipenuhi agar akses dapat diberikan. Sebagai contoh, Anda dapat mengizinkan developer membuat fungsi Lambda baru, tetapi hanya di Wilayah tertentu. Saat mengelola lingkungan AWS Anda dalam skala yang besar, ikuti praktik terbaik berikut guna memastikan bahwa identitas hanya diberikan akses yang diperlukan, tidak lebih dari itu.

Terdapat beberapa cara untuk memberikan akses ke beberapa jenis sumber daya yang berbeda. Salah satunya adalah menggunakan beberapa jenis kebijakan yang berbeda.

Kebijakan berbasis identitas di IAM dikelola atau sebaris dan dilampirkan ke identitas IAM, termasuk pengguna, grup, atau aturan. Dengan kebijakan ini, Anda dapat menentukan apa saja yang boleh dilakukan identitas tersebut (izinnya). Kebijakan berbasis identitas dapat dikategorikan lebih lanjut.

Kebijakan terkelola – Kebijakan berbasis identitas tersendiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di akun AWS Anda. Terdapat dua jenis kebijakan terkelola:

• Kebijakan terkelola AWS – Kebijakan terkelola yang dibuat dan dikelola oleh AWS.

• Kebijakan yang dikelola pelanggan – Kebijakan terkelola yang Anda buat dan kelola di akun AWS Anda. Kebijakan yang dikelola pelanggan memberikan kontrol yang lebih presisi terhadap kebijakan Anda dibandingkan dengan kebijakan yang dikelola AWS.

Kebijakan terkelola adalah metode yang diutamakan untuk menerapkan izin. Namun, Anda juga dapat menggunakan kebijakan sebaris yang Anda tambahkan langsung ke pengguna, grup, atau peran tunggal. Kebijakan sebaris menjaga hubungan satu-ke-satu antara kebijakan dan identitas. Kebijakan sebaris akan dihapus saat Anda menghapus identitas.

Di sebagian besar kasus, Anda harus membuat sendiri kebijakan yang dikelola pelanggan dengan mengikuti prinsip hak akses paling rendah.

Kebijakan berbasis sumber daya dilampirkan ke sumber daya. Sebagai contoh, kebijakan bucket S3 merupakan kebijakan berbasis sumber daya. Kebijakan ini memberikan izin kepada pengguna utama yang dapat berada di akun yang sama atau berbeda dengan sumber daya. Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, lihat layanan AWS yang dapat digunakan dengan IAM.

Batasan izin menggunakan kebijakan terkelola untuk menetapkan izin maksimum yang dapat ditetapkan administrator. Dengan demikian, Anda dapat mendelegasikan kemampuan untuk membuat dan mengelola izin kepada developer, seperti pembuatan peran IAM, tetapi membatasi izin yang dapat mereka berikan agar mereka tidak dapat memperluas izin mereka menggunakan izin yang telah mereka buat.

Kontrol akses berbasis atribut (ABAC) memungkinkan Anda memberikan izin berdasarkan atribut. Di AWS, ini disebut sebagai tanda. Tanda dapat dilampirkan pada pengguna utama IAM (pengguna atau peran) dan pada sumber daya AWS. Dengan kebijakan IAM, administrator dapat membuat kebijakan yang dapat digunakan kembali yang menerapkan izin berdasarkan atribut pengguna utama IAM. Sebagai contoh, sebagai administrator Anda dapat menggunakan kebijakan IAM tunggal yang memberi developer di organisasi Anda akses ke sumber daya AWS yang cocok dengan tanda proyek developer. Seiring tim developer menambahkan sumber daya ke proyek, izin diterapkan secara otomatis berdasarkan atribut. Dengan demikian, tidak diperlukan pembaruan kebijakan untuk setiap sumber daya baru.

Kebijakan kontrol layanan (SCP) organisasi menetapkan izin maksimum untuk anggota akun organisasi atau unit organisasi (OU). SCP membatasi izin yang diberikan oleh kebijakan berbasis identitas atau kebijakan berbasis sumber daya kepada entitas (pengguna atau peran) dalam akun tersebut, tetapi tidak memberikan izin.

Kebijakan sesi mengasumsikan peran atau pengguna gabungan. Lewati kebijakan sesi saat menggunakan kebijakan Sesi CLI AWS atau API AWS untuk membatasi izin yang diberikan oleh kebijakan berbasis identitas peran atau pengguna ke sesi tersebut. Kebijakan ini membatasi izin untuk sesi yang dibuat, tetapi tidak memberikan izin. Untuk informasi selengkapnya, lihat Kebijakan Sesi.

Praktik terbaik

• SEC03-BP01 Menetapkan persyaratan akses
• SEC03-BP02 Memberikan hak akses paling rendah
• SEC03-BP03 Menerapkan proses akses darurat
• SEC03-BP04 Mengurangi izin secara terus-menerus
• SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda
• SEC03-BP06 Kelola akses berdasarkan siklus hidup
• SEC03-BP07 Menganalisis akses lintas akun dan publik
• SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda
• SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga