SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda - Pilar Keamanan
Panduan implementasiLangkah-langkah implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda

Gunakan pagar pembatas izin untuk mengurangi cakupan izin-izin yang tersedia yang dapat diberikan kepada pengguna utama. Rantai evaluasi kebijakan izin mencakup pagar pembatas yang digunakan untuk menentukan izin efektif pengguna utama saat membuat keputusan otorisasi.  Anda dapat menentukan pagar pembatas dengan menggunakan pendekatan berbasis lapisan. Terapkan beberapa pagar pembatas secara meluas di seluruh organisasi Anda dan terapkan pagar pembatas lainnya secara terperinci ke sesi akses sementara.

Hasil yang diinginkan: Anda memiliki isolasi lingkungan yang jelas menggunakan Akun AWS terpisah.  Kebijakan kontrol layanan (SCPs) digunakan untuk menentukan pagar pembatas izin di seluruh organisasi. Pagar pembatas yang lebih meluas ditetapkan pada tingkat hierarki yang paling dekat dengan root organisasi Anda, dan pagar pembatas yang lebih ketat ditetapkan lebih dekat ke tingkat akun individual.  Jika didukung, kebijakan sumber daya akan menentukan kondisi yang harus dipenuhi oleh pengguna utama untuk mendapatkan akses ke sebuah sumber daya. Kebijakan sumber daya juga mengurangi cakupan dari serangkaian tindakan yang diizinkan, jika sesuai.  Batasan izin diterapkan pada pengguna utama yang mengelola izin beban kerja, dengan mendelegasikan manajemen izin kepada pemilik beban kerja individual.

Anti-pola umum:

  • Membuat anggota Akun AWS dalam AWS Organisasi, tetapi tidak menggunakan SCPs untuk membatasi penggunaan dan izin yang tersedia untuk kredensialnya.

  • Menetapkan izin berdasarkan hak akses paling rendah, tetapi tidak menerapkan pagar pembatas pada kumpulan izin maksimum yang dapat diberikan.

  • Mengandalkan dasar penolakan implisit AWS IAM untuk membatasi izin, percaya bahwa kebijakan tidak akan memberikan izin izin eksplisit yang tidak diinginkan.

  • Menjalankan beberapa lingkungan beban kerja secara bersamaan Akun AWS, lalu mengandalkan mekanisme sepertiVPCs, tag, atau kebijakan sumber daya untuk menegakkan batasan izin.

Manfaat menerapkan praktik terbaik ini: Pagar pembatas izin akan membantu Anda untuk membangun keyakinan bahwa izin yang tidak diinginkan tidak dapat diberikan, bahkan ketika kebijakan izin mencoba melakukannya.  Hal ini dapat menyederhanakan penentuan dan pengelolaan izin dengan mengurangi cakupan maksimum izin yang perlu dipertimbangkan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Sebaiknya Anda gunakan pendekatan berbasis lapisan untuk menentukan pagar pembatas izin bagi organisasi Anda. Pendekatan ini secara sistematis akan mengurangi izin maksimum yang mungkin digunakan saat lapisan tambahan diterapkan. Hal ini akan membantu Anda memberikan akses berdasarkan prinsip hak akses paling rendah, sehingga itu akan mengurangi risiko akses yang tidak diinginkan karena terjadinya kesalahan konfigurasi kebijakan.

Langkah pertama untuk membuat pagar pembatas izin adalah mengisolasi beban kerja dan lingkungan Anda ke dalam Akun AWS terpisah.  Prinsipal dari satu akun tidak dapat mengakses sumber daya di akun lain tanpa izin eksplisit untuk melakukannya, bahkan ketika kedua akun berada di organisasi yang sama atau di bawah unit AWS organisasi yang sama (OU).  Anda dapat menggunakan OUs untuk mengelompokkan akun yang ingin Anda kelola sebagai satu unit.   

Langkah selanjutnya adalah mengurangi izin maksimum yang dapat Anda berikan kepada pengguna utama yang ada dalam akun anggota di organisasi Anda.  Anda dapat menggunakan kebijakan kontrol layanan (SCPs) untuk tujuan ini, yang dapat Anda terapkan pada OU atau akun.  SCPsdapat menerapkan kontrol akses umum, seperti membatasi akses ke spesifik Wilayah AWS, membantu mencegah sumber daya dihapus, atau menonaktifkan tindakan layanan yang berpotensi berisiko.   SCPsyang Anda terapkan ke root organisasi Anda hanya memengaruhi akun anggotanya, bukan akun manajemen.  SCPshanya mengatur kepala sekolah dalam organisasi Anda. Anda SCPs tidak mengatur kepala sekolah di luar organisasi Anda yang mengakses sumber daya Anda.

Langkah selanjutnya adalah menggunakan kebijakan IAM sumber daya untuk mencakup tindakan yang tersedia yang dapat Anda ambil pada sumber daya yang mereka atur, bersama dengan kondisi apa pun yang harus dipenuhi oleh kepala pelaksana.  Ini bisa seluas memungkinkan semua tindakan selama prinsipal adalah bagian dari organisasi Anda (menggunakan kunci PrincipalOrgId kondisi), atau sedetail hanya mengizinkan tindakan tertentu dengan IAM peran tertentu.  Anda dapat mengambil pendekatan serupa dengan kondisi dalam kebijakan kepercayaan IAM peran.  Jika kebijakan kepercayaan sumber daya atau peran secara eksplisit menyebutkan prinsipal di akun yang sama dengan peran atau sumber daya yang diatur, prinsipal tersebut tidak memerlukan IAM kebijakan terlampir yang memberikan izin yang sama.  Jika prinsipal berada di akun yang berbeda dari sumber daya, maka kepala sekolah memang memerlukan IAM kebijakan terlampir yang memberikan izin tersebut.

Sering kali, sebuah tim beban kerja ingin mengelola izin yang dibutuhkan beban oleh kerja mereka.  Ini mungkin mengharuskan mereka untuk membuat IAM peran baru dan kebijakan izin.  Anda dapat menangkap cakupan maksimum izin yang diizinkan tim untuk diberikan dalam batas IAM izin, dan mengaitkan dokumen ini ke IAM peran yang kemudian dapat digunakan tim untuk mengelola IAM peran dan izin mereka.  Pendekatan ini dapat memberi mereka kemampuan untuk menyelesaikan pekerjaan mereka sambil mengurangi risiko memiliki IAM akses administratif.

Langkah yang lebih terperinci adalah menerapkan teknik manajemen akses istimewa (PAM) dan manajemen akses tinggi sementara (TEAM).  Salah satu contohnya PAM adalah meminta kepala sekolah untuk melakukan otentikasi multi-faktor sebelum mengambil tindakan istimewa.  Untuk informasi selengkapnya, lihat Mengonfigurasi akses MFA yang dilindungi API. TEAMmembutuhkan solusi yang mengelola persetujuan dan jangka waktu bahwa kepala sekolah diizinkan untuk memiliki akses yang lebih tinggi.  Salah satu pendekatannya adalah untuk sementara menambahkan prinsipal ke kebijakan kepercayaan peran untuk IAM peran yang memiliki akses tinggi.  Pendekatan lain adalah, dalam operasi normal, mengurangi izin yang diberikan kepada kepala sekolah dengan IAM peran menggunakan kebijakan sesi, dan kemudian mencabut sementara pembatasan ini selama jendela waktu yang disetujui. Untuk mempelajari lebih lanjut tentang solusi yang divalidasi oleh AWS dan mitra terpilih, lihat Akses yang ditingkatkan sementara.

Langkah-langkah implementasi

  1. Isolasikan beban kerja dan lingkungan Anda ke dalam Akun AWS terpisah.

  2. Gunakan SCPs untuk mengurangi set izin maksimum yang dapat diberikan kepada kepala sekolah dalam akun anggota organisasi Anda.

    1. Kami menyarankan Anda mengambil pendekatan daftar izin untuk menulis Anda SCPs yang menyangkal semua tindakan kecuali yang Anda izinkan, dan kondisi di mana mereka diizinkan. Mulailah dengan menentukan Sumber Daya yang ingin Anda kontrol, dan kemudian atur Efek ke Tolak. Gunakan NotAction elemen untuk menolak semua tindakan kecuali yang Anda tentukan. Gabungkan ini dengan NotLike Kondisi untuk menentukan kapan tindakan ini diizinkan, jika berlaku, seperti StringNotLike dan ArnNotLike.

    2. Lihat Contoh kebijakan kontrol layanan.

  3. Gunakan kebijakan IAM sumber daya untuk mengurangi cakupan dan menentukan kondisi untuk tindakan yang diizinkan pada sumber daya.  Gunakan kondisi dalam kebijakan kepercayaan IAM peran untuk membuat batasan pada asumsi peran.

  4. Tetapkan batasan IAM izin untuk IAM peran yang kemudian dapat digunakan tim beban kerja untuk mengelola IAM peran dan izin beban kerja mereka sendiri.

  5. Evaluasi PAM dan TEAM solusi berdasarkan kebutuhan Anda.

Sumber daya

Dokumen terkait:

Contoh terkait:

Alat terkait: