SEC02-BP06 Manfaatkan grup dan atribut pengguna

Penentuan izin sesuai dengan grup pengguna dan atribut akan membantu mengurangi jumlah dan kompleksitas kebijakan, sehingga prinsip hak akses paling rendah dapat diwujudkan dengan lebih mudah.  Anda dapat menggunakan grup pengguna untuk mengelola izin bagi banyak orang di satu tempat berdasarkan fungsi yang mereka lakukan di organisasi Anda.  Atribut, seperti departemen atau lokasi, dapat menyediakan lapisan tambahan cakupan izin ketika orang melakukan fungsi serupa, tetapi untuk subset sumber daya yang berbeda.

Hasil yang diinginkan: Anda dapat menerapkan perubahan izin berdasarkan fungsi kepada semua pengguna yang melakukan fungsi tersebut.  Keanggotaan grup dan atribut mengatur izin pengguna, sehingga mengurangi kebutuhan untuk mengelola izin di tingkat pengguna individual.  Grup dan atribut yang Anda tentukan di penyedia identitas (IdP) disebarkan secara otomatis ke lingkungan AWS Anda.

Antipola umum:

• Mengelola izin untuk pengguna individual dan menduplikasinya kepada banyak pengguna.

• Menentukan grup pada tingkat yang terlalu tinggi, sehingga memberikan izin yang terlalu luas.

• Menentukan grup pada tingkat yang terlalu terperinci, sehingga menghasilkan duplikasi dan kebingungan terkait keanggotaan.

• Menggunakan grup dengan izin duplikat di seluruh subset sumber daya ketika atribut dapat digunakan sebagai gantinya.

• Tidak mengelola grup, atribut, dan keanggotaan melalui penyedia identitas standar yang terintegrasi dengan lingkungan AWS Anda.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Izin AWS ditentukan dalam dokumen yang disebut kebijakan yang terkait dengan prinsipal, seperti pengguna, grup, peran, atau sumber daya.  Untuk tenaga kerja Anda, hal ini memungkinkan Anda menentukan grup berdasarkan fungsi yang dilakukan pengguna untuk organisasi Anda, bukan berdasarkan sumber daya yang diakses. Misalnya, grup WebAppDeveloper mungkin memiliki kebijakan yang dilampirkan untuk mengonfigurasi layanan seperti Amazon CloudFront dalam akun pengembangan. Grup AutomationDeveloper mungkin memiliki beberapa izin CloudFront yang sama dengan grup WebAppDeveloper. Izin ini dapat disertakan dalam kebijakan terpisah dan dikaitkan dengan kedua grup tersebut, bukan memasukkan pengguna dari kedua fungsi ke grup CloudFrontAccess.

Selain grup, Anda dapat menggunakan atribut untuk menentukan cakupan akses lebih lanjut. Misalnya, Anda mungkin memiliki atribut Project bagi pengguna di grup WebAppDeveloper Anda guna menentukan cakupan akses ke sumber daya yang khusus untuk proyek mereka.  Dengan teknik ini, tidak diperlukan grup yang berbeda untuk developer aplikasi yang bekerja di proyek yang berbeda jika izin mereka sama.  Cara Anda merujuk ke atribut dalam kebijakan izin didasarkan pada sumbernya, apakah atribut tersebut ditentukan sebagai bagian dari protokol federasi Anda (seperti SAML, OIDC, atau SCIM), sebagai pernyataan SAML kustom, atau ditetapkan dalam IAM Identity Center.

Langkah implementasi

1. Tetapkan di mana Anda akan menentukan grup dan atribut.

   1. Dengan mengikuti panduan dalam SEC02-BP04 Mengandalkan penyedia identitas terpusat, Anda dapat mengetahui apakah Anda perlu menentukan grup dan atribut dalam penyedia identitas Anda, dalam IAM Identity Center, atau menggunakan grup IAM user di akun tertentu.

2. Tentukan grup.

   1. Tentukan grup Anda berdasarkan fungsi dan cakupan akses yang diperlukan.  

   2. Jika menentukan dalam IAM Identity Center, buat grup dan kaitkan tingkat akses yang diinginkan menggunakan kumpulan izin.

   3. Jika menentukan dalam penyedia identitas eksternal, tentukan apakah penyedia tersebut mendukung protokol SCIM dan pertimbangkan untuk mengaktifkan penyediaan otomatis dalam IAM Identity Center.  Kemampuan ini akan menyinkronkan pembuatan, keanggotaan, dan penghapusan grup antara penyedia Anda dan IAM Identity Center.

3. Tentukan atribut.

   1. Jika menggunakan penyedia identitas eksternal, protokol SCIM dan SAML 2.0 akan menyediakan atribut tertentu secara default.  Atribut tambahan dapat ditentukan dan diteruskan dengan pernyataan SAML menggunakan nama atribut https://aws.amazon.com/SAML/Attributes/PrincipalTag.

   2. Jika menentukan dalam IAM Identity Center, aktifkan fitur kontrol akses berbasis atribut (ABAC) dan tentukan atribut sesuai keinginan.

4. Tentukan cakupan izin berdasarkan grup dan atribut.

   1. Pertimbangkan untuk menyertakan kondisi dalam kebijakan izin Anda yang membandingkan atribut pengguna utama Anda dengan atribut sumber daya yang diakses.  Misalnya, Anda dapat menentukan kondisi untuk mengizinkan akses ke sebuah sumber daya hanya jika nilai kunci kondisi PrincipalTag cocok dengan nilai kunci ResourceTag dengan nama yang sama.

Sumber daya

Praktik Terbaik Terkait:

• SEC02-BP04 Mengandalkan penyedia identitas terpusat

• SEC03-BP02 Memberikan hak akses paling rendah

• COST02-BP04 Implementasikan grup dan peran

Dokumen terkait:

• Praktik Terbaik IAM

• Kelola Identitas di IAM Identity Center

• Apa Itu ABAC untuk AWS?

• ABAC di IAM Identity Center

Video terkait:

• Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center

• Menguasai identitas di setiap lapisan susunan