SEC02-BP04 Mengandalkan penyedia identitas terpusat

Untuk identitas tenaga kerja (karyawan dan kontraktor), andalkan penyedia identitas yang memungkinkan Anda mengelola identitas di sebuah tempat yang tersentralisasi. Hal ini akan mempermudah Anda dalam melakukan pengelolaan akses di beberapa aplikasi dan sistem, karena Anda membuat, menetapkan, mengelola, mencabut, dan mengaudit akses dari satu lokasi.

Hasil yang diinginkan: Anda memiliki penyedia identitas terpusat tempat Anda mengelola pengguna tenaga kerja secara terpusat, kebijakan otentikasi (seperti memerlukan otentikasi multi-faktor (MFA)), dan otorisasi ke sistem dan aplikasi (seperti menetapkan akses berdasarkan keanggotaan atau atribut grup pengguna). Pengguna tenaga kerja Anda masuk ke penyedia identitas pusat dan melakukan penggabungan (federasi) (masuk tunggal) ke aplikasi internal dan eksternal, sehingga pengguna tidak perlu mengingat lebih dari satu kredensial. Penyedia identitas Anda terintegrasi dengan sistem sumber daya manusia (SDM) Anda sehingga perubahan personel secara otomatis akan disinkronkan ke penyedia identitas Anda. Misalnya, jika seseorang meninggalkan organisasi Anda, Anda dapat secara otomatis mencabut akses ke aplikasi dan sistem federasi (termasuk). AWS Anda telah mengaktifkan pencatatan log audit mendetail di penyedia identitas Anda dan memantau log tersebut untuk mendeteksi perilaku pengguna yang tidak biasa.

Anti-pola umum:

• Anda tidak menggunakan federasi dan masuk tunggal. Pengguna tenaga kerja Anda membuat akun dan kredensial pengguna terpisah di beberapa aplikasi dan sistem.

• Anda belum melakukan otomatisasi siklus hidup identitas untuk pengguna tenaga kerja, seperti dengan mengintegrasikan penyedia identitas Anda dengan sistem SDM Anda. Saat pengguna keluar dari organisasi atau beralih jabatan, Anda harus mengikuti proses manual untuk menghapus atau memperbarui catatan mereka di beberapa aplikasi dan sistem.

Manfaat menerapkan praktik terbaik ini: Dengan menggunakan penyedia identitas yang terpusat, Anda memiliki satu tempat untuk mengelola identitas dan kebijakan pengguna tenaga kerja, kemampuan untuk menetapkan akses aplikasi kepada pengguna dan grup, dan kemampuan untuk memantau aktivitas masuk pengguna. Dengan melakukan integrasi dengan sistem sumber daya manusia (SDM), ketika ada seorang pengguna beralih jabatan, perubahan ini akan disinkronkan dengan penyedia identitas yang secara otomatis memperbarui aplikasi dan izin yang ditetapkan. Ketika ada pengguna yang keluar dari organisasi Anda, maka identitas mereka pun secara otomatis dinonaktifkan di penyedia identitas, sehingga akses mereka ke aplikasi dan sistem gabungan dicabut.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Panduan untuk pengguna tenaga kerja yang mengakses AWS

Pengguna tenaga kerja seperti karyawan dan kontraktor di organisasi Anda mungkin memerlukan akses untuk AWS menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI) untuk menjalankan fungsi pekerjaan mereka. Anda dapat memberikan AWS akses ke pengguna tenaga kerja Anda dengan menggabungkan dari penyedia identitas terpusat Anda ke dua AWS tingkat: federasi langsung ke masing-masing Akun AWS atau federasi ke beberapa akun di organisasi Anda.AWS

• Untuk menyatukan pengguna tenaga kerja Anda secara langsung dengan masing-masing pengguna Akun AWS, Anda dapat menggunakan penyedia identitas terpusat untuk bergabung di akun itu. AWS Identity and Access Management Fleksibilitas IAM memungkinkan Anda mengaktifkan SAML2.0 terpisah atau Penyedia Identitas Open ID Connect (OIDC) untuk masing-masing Akun AWS dan menggunakan atribut pengguna gabungan untuk kontrol akses. Pengguna tenaga kerja Anda akan menggunakan browser web mereka untuk masuk ke penyedia identitas dengan memberikan kredensialnya (seperti kata sandi dan kode MFA token). Penyedia identitas mengeluarkan SAML pernyataan ke browser mereka yang dikirimkan ke AWS Management Console login URL untuk memungkinkan pengguna untuk masuk tunggal AWS Management Console dengan mengasumsikan Peran. IAM Pengguna Anda juga dapat memperoleh AWS API kredensi sementara untuk digunakan di AWS CLIatau AWS SDKsdari AWS STSdengan mengambil IAM peran menggunakan SAML pernyataan dari penyedia identitas.

• Untuk menggabungkan pengguna tenaga kerja Anda dengan beberapa akun di AWS organisasi Anda, Anda dapat menggunakannya AWS IAM Identity Centeruntuk mengelola akses secara terpusat bagi pengguna dan aplikasi tenaga kerja Anda. Akun AWS Anda mengaktifkan Pusat Identitas untuk organisasi Anda dan mengonfigurasi sumber identitas Anda. IAMIdentity Center menyediakan direktori sumber identitas default yang dapat Anda gunakan untuk mengelola pengguna dan grup Anda. Atau, Anda dapat memilih sumber identitas eksternal dengan menghubungkan ke penyedia identitas eksternal Anda menggunakan SAML 2.0 dan secara otomatis menyediakan pengguna dan grup menggunakanSCIM, atau menghubungkan ke Direktori Microsoft AD Anda menggunakan. AWS Directory Service Setelah sumber identitas dikonfigurasi, Anda dapat menetapkan akses ke pengguna dan grup Akun AWS dengan menentukan kebijakan hak istimewa paling sedikit di set izin Anda. Pengguna tenaga kerja Anda dapat melakukan autentikasi melalui penyedia identitas pusat Anda untuk masuk ke portal akses AWS dan melakukan masuk tunggal ke aplikasi cloud Akun AWS dan yang ditetapkan untuknya. Pengguna Anda dapat mengonfigurasi AWS CLI v2 untuk mengautentikasi dengan Identity Center dan mendapatkan kredensional untuk menjalankan perintah. AWS CLI Identity Center juga memungkinkan akses masuk tunggal ke AWS aplikasi seperti portal Amazon SageMaker Studio dan AWS IoT Sitewise Monitor.

Setelah Anda mengikuti panduan sebelumnya, pengguna tenaga kerja Anda tidak perlu lagi menggunakan IAM pengguna dan grup untuk operasi normal saat mengelola beban kerja. AWS Sebagai gantinya, pengguna dan grup Anda dikelola di luar AWS dan pengguna dapat mengakses AWS sumber daya sebagai identitas gabungan. Identitas gabungan (terfederasi) menggunakan grup yang ditentukan oleh penyedia identitas terpusat Anda. Anda harus mengidentifikasi dan menghapus IAM grup, IAM pengguna, dan kredensi pengguna yang berumur panjang (kata sandi dan kunci akses) yang tidak lagi diperlukan di situs Anda. Akun AWSAnda dapat menemukan kredensi yang tidak digunakan menggunakan laporan IAM kredensi, menghapus IAMpengguna yang sesuai, dan menghapus grup. IAM Anda dapat menerapkan Kebijakan Kontrol Layanan (SCP) ke organisasi Anda yang membantu mencegah pembuatan IAM pengguna dan grup baru, menegakkan akses AWS tersebut melalui identitas gabungan.

Panduan untuk para pengguna aplikasi Anda

Anda dapat mengelola identitas pengguna aplikasi Anda, seperti aplikasi seluler, menggunakan Amazon Cognito sebagai penyedia identitas terpusat Anda. Amazon Cognito mengaktifkan autentikasi, otorisasi, dan pengelolaan pengguna, baik untuk aplikasi web mau pun aplikasi seluler Anda. Amazon Cognito menyediakan toko identitas yang menskalakan jutaan pengguna, mendukung federasi identitas sosial dan organisasi, serta menawarkan fitur-fitur keamanan canggih untuk membantu Anda melindungi para pengguna dan bisnis Anda. Anda dapat mengintegrasikan aplikasi web atau seluler kustom Anda dengan Amazon Cognito untuk menambahkan autentikasi pengguna dan kontrol akses ke aplikasi Anda dalam hitungan menit. Dibangun di atas standar identitas terbuka seperti SAML dan Open ID Connect (OIDC), Amazon Cognito mendukung berbagai peraturan kepatuhan dan terintegrasi dengan sumber daya pengembangan frontend dan backend.

Langkah-langkah implementasi

Langkah-langkah untuk pengguna tenaga kerja yang mengakses AWS

• Gabungkan pengguna tenaga kerja Anda untuk AWS menggunakan penyedia identitas terpusat menggunakan salah satu pendekatan berikut:

  • Gunakan Pusat IAM Identitas untuk mengaktifkan sistem masuk tunggal ke beberapa Akun AWS di AWS organisasi Anda dengan berfederasi dengan penyedia identitas Anda.

  • Gunakan IAM untuk menghubungkan penyedia identitas Anda secara langsung ke masing-masing Akun AWS, memungkinkan akses berbutir halus gabungan.

• Identifikasi dan hapus IAM pengguna dan grup yang digantikan oleh identitas federasi.

Langkah-langkah untuk pengguna aplikasi Anda

• Gunakan Amazon Cognito sebagai penyedia identitas terpusat menuju aplikasi Anda.

• Integrasikan aplikasi kustom Anda dengan Amazon Cognito menggunakan OpenID Connect dan. OAuth Anda dapat mengembangkan aplikasi kustom menggunakan pustaka Amplify yang menyediakan antarmuka sederhana untuk diintegrasikan dengan berbagai AWS layanan, seperti Amazon Cognito untuk otentikasi.

Sumber daya

Praktik terbaik Well-Architected terkait:

• SEC02-BP06 Mempekerjakan grup dan atribut pengguna

• SEC03-BP02 Berikan akses hak istimewa paling sedikit

• SEC03-BP06 Mengelola akses berdasarkan siklus hidup

Dokumen terkait:

• Federasi identitas di AWS

• Praktik terbaik keamanan di IAM

• AWS Identity and Access Management Praktik terbaik

• Memulai administrasi delegasi Pusat IAM Identitas

• Cara menggunakan kebijakan yang dikelola pelanggan di Pusat IAM Identitas untuk kasus penggunaan lanjutan

• AWS CLI v2: Penyedia kredensi Pusat IAM Identitas

Video terkait:

• AWS Re: inforce 2022 - AWS Identity and Access Management () IAM menyelam dalam

• AWS re:invent 2022 - Sederhanakan akses tenaga kerja Anda yang ada dengan Identity Center IAM

• AWS Re: Invent 2018: Menguasai Identitas di Setiap Lapisan Kue

Contoh terkait:

• Workshop: Menggunakan AWS IAM Identity Center untuk mencapai manajemen identitas yang kuat

• Lokakarya: Identitas nirserver

Alat terkait:

• AWS Mitra Kompetensi Keamanan: Identity and Access Management

• AWS IAM Identity Center