SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga

Keamanan lingkungan cloud tidak berhenti di organisasi Anda. Organisasi Anda mungkin menggunakan pihak ketiga untuk mengelola sebagian data Anda. Manajemen izin untuk sistem yang dikelola pihak ketiga harus mengikuti praktik akses sesuai kebutuhan menggunakan prinsip hak akses paling rendah dengan kredensial sementara. Melalui kerja sama dengan pihak ketiga, Anda dapat mengurangi cakupan dampak sekaligus risiko dari akses yang tidak diinginkan.

Hasil yang diinginkan: Kredensial AWS Identity and Access Management (IAM) jangka panjang, kunci akses IAM, dan kunci rahasia yang terkait dengan pengguna dapat digunakan oleh siapa saja selama kredensialnya valid dan aktif. Menggunakan peran IAM dan kredensial sementara membantu Anda meningkatkan kekukuhan keamanan dengan mengurangi upaya manajemen kredensial jangka panjang, termasuk manajemen dan overhead operasional terkait detail sensitif tersebut. Dengan pengidentifikasi unik universal (UUID) untuk ID eksternal dalam kebijakan kepercayaan IAM, dan menjaga kebijakan IAM untuk peran IAM di bawah kendali Anda, Anda dapat mengaudit dan memverifikasi bahwa akses yang diberikan kepada pihak ketiga tidak terlalu permisif. Untuk panduan preskriptif dalam menganalisis sumber daya yang dibagikan secara eksternal, lihat SEC03-BP07 Menganalisis akses lintas akun dan publik.

Antipola umum:

• Menggunakan kebijakan kepercayaan IAM default tanpa persyaratan apa pun.

• Menggunakan kunci akses dan kredensial IAM jangka panjang.

• Menggunakan kembali ID eksternal.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Anda mungkin ingin mengizinkan pembagian sumber daya ke luar AWS Organizations atau memberi pihak ketiga akses ke akun Anda. Misalnya, pihak ketiga mungkin menyediakan solusi pemantauan yang perlu mengakses sumber daya di akun Anda. Dalam kasus tersebut, buat peran lintas akun IAM yang hanya memiliki hak akses sesuai yang dibutuhkan oleh pihak ketiga tersebut. Selain itu, tentukan kebijakan kepercayaan menggunakan persyaratan ID eksternal. Saat menggunakan ID eksternal, Anda atau pihak ketiga dapat membuat ID unik untuk setiap pelanggan, pihak ketiga, atau penghunian. Setelah dibuat, ID unik tidak boleh dikontrol siapa pun selain Anda. Pihak ketiga harus mengimplementasikan proses untuk memberikan ID eksternal melalui cara yang aman, dapat diaudit, dan diproduksi kembali.

Anda juga dapat menggunakan IAM Roles Anywhere guna mengelola peran IAM untuk aplikasi di luar AWS yang menggunakan API AWS.

Hapus peran tersebut jika pihak ketiga sudah tidak perlu mengakses lingkungan Anda. Hindari menyediakan kredensial jangka panjang kepada pihak ketiga. Selalu waspadai layanan AWS lainnya yang mendukung fitur berbagi. Misalnya, AWS Well-Architected Tool memungkinkan berbagi beban kerja dengan Akun AWS lainnya, dan AWS Resource Access Manager membantu membagikan sumber daya AWS yang Anda miliki secara aman kepada akun lain.

Langkah implementasi

1. Gunakan peran lintas akun untuk memberikan akses kepada akun eksternal.

   Peran lintas akun mengurangi jumlah informasi sensitif yang disimpan oleh akun eksternal dan pihak ketiga untuk memberikan layanan kepada pelanggannya. Peran lintas akun memungkinkan Anda untuk memberikan akses ke sumber daya AWS di akun Anda kepada pihak ketiga secara aman, seperti AWS Partner atau akun lainnya di organisasi Anda, dan Anda pun tetap dapat mengelola dan mengaudit akses tersebut.

   Pihak ketiga mungkin memberikan layanan kepada Anda dari infrastruktur hibrida atau menarik data ke lokasi di luar situs. IAM Roles Anywhere membantu Anda memungkinkan beban kerja pihak ketiga berinteraksi dengan beban kerja AWS Anda secara aman dan makin mengurangi kebutuhan kredensial jangka panjang.

   Anda tidak boleh menggunakan kredensial jangka panjang, atau kunci akses yang terkait dengan pengguna, untuk menyediakan akses kepada akun eksternal. Sebaiknya gunakan peran lintas akun untuk memberikan akses lintas akun.

2. Gunakan ID eksternal dengan pihak ketiga.

   Menggunakan ID eksternal memungkinkan Anda untuk menunjuk siapa yang dapat mengambil peran di kebijakan kepercayaan IAM. Kebijakan kepercayaan mungkin mengharuskan pengguna yang mengambil peran menegaskan persyaratan dan target operasi. Dengan cara ini, pemilik akun dapat mengizinkan peran tersebut untuk diambil hanya dalam keadaan tertentu. Fungsi utama ID eksternal adalah untuk mencegah dan menangani masalah confused deputy.

   Gunakan ID eksternal jika Anda adalah pemilik Akun AWS dan sudah mengonfigurasi peran untuk pihak ketiga yang mengakses Akun AWS lainnya selain akun Anda, atau jika Anda mengambil peran atas nama pelanggan yang lain. Jalin kerja sama dengan pihak ketiga atau AWS Partner untuk menentukan persyaratan ID eksternal yang akan disertakan dalam kebijakan kepercayaan IAM.

3. Gunakan ID eksternal yang unik secara universal.

   Implementasikan proses yang membuat nilai unik acak yang unik untuk ID eksternal, seperti pengidentifikasi unik universal (UUID). Pihak ketiga yang menggunakan kembali ID eksternal untuk pengguna yang berbeda tidak menangani masalah confused deputy karena pelanggan A mungkin dapat melihat data pelanggan B menggunakan peran ARN pelanggan B serta duplikat ID eksternal. Dalam lingkungan multipenyewa yang di dalamnya ada pihak ketiga yang mendukung beberapa pelanggan dengan Akun AWS yang berbeda, pihak ketiga tersebut harus menggunakan ID unik yang berbeda sebagai ID eksternal untuk setiap Akun AWS. Pihak ketiga bertanggung jawab untuk mendeteksi duplikat ID eksternal dan memetakan setiap pelanggan secara aman ke ID eksternal masing-masing. Pihak ketiga harus menguji untuk memverifikasi bahwa pihaknya hanya dapat mengambil peran saat menentukan ID eksternal. Pihak ketiga dilarang menyimpan ARN peran pelanggan dan ID eksternal hingga ID eksternal diperlukan.

   ID eksternal bukan sesuatu yang rahasia, tetapi tidak boleh berupa nilai yang mudah ditebak, seperti nomor telepon, nama, atau ID akun. Buat ID eksternal menjadi bidang hanya baca sehingga ID eksternal tidak dapat diubah untuk tujuan meniru penyiapan.

   Anda atau pihak ketiga dapat membuat ID eksternal. Bentuk proses untuk menentukan siapa yang bertanggung jawab dalam pembuatan ID. Siapa pun entitas pembuat ID eksternalnya, pihak ketiga menjaga keunikan dan formatnya tetap konsisten untuk semua pelanggan.

4. Hentikan kredensial jangka panjang yang disediakan pelanggan.

   Hentikan penggunaan kredensial jangka panjang dan gunakan peran lintas akun atau IAM Roles Anywhere. Jika Anda harus menggunakan kredensial jangka panjang, buat rencana atau migrasikan ke akses berbasis peran. Untuk detail tentang manajemen kunci, lihat Manajemen Identitas. Selain itu, jalin kerja sama dengan tim Akun AWS Anda dan pihak ketiga untuk menyusun runbook mitigasi risiko. Untuk panduan preskriptif tentang merespons dan memitigasi potensi dampak insiden keamanan, lihat Respons insiden.

5. Verifikasi bahwa penyiapan memiliki panduan preskriptif atau diotomatisasi.

   Kebijakan yang dibuat untuk akses lintas akun di akun Anda harus mematuhi prinsip hak akses paling rendah. Pihak ketiga harus menyediakan dokumen kebijakan peran atau mekanisme penyiapan otomatis yang menggunakan templat AWS CloudFormation atau yang setara. Hal ini mengurangi potensi kesalahan yang bisa terjadi pada pembuatan kebijakan manual dan menyediakan jejak yang dapat diaudit. Untuk informasi lebih lanjut tentang menggunakan templat AWS CloudFormation untuk membuat peran lintas akun, lihat Peran Lintas Akun.

   Pihak ketiga harus menyediakan mekanisme penyiapan otomatis yang dapat diaudit. Namun, dengan dokumen kebijakan peran yang menguraikan akses yang diperlukan, Anda harus mengotomatiskan penyiapan peran. Anda harus memantau perubahan dengan deteksi penyimpangan menggunakan templat AWS CloudFormation atau yang setara sebagai bagian dari praktik audit.

6. Antisipasi perubahan.

   Struktur akun Anda, kebutuhan Anda akan pihak ketiga, atau penawaran layanan yang disediakan dapat berubah. Anda harus mengantisipasi perubahan dan kegagalan, dan membuat rencana yang sesuai dengan orang, proses, dan teknologi yang tepat. Audit tingkat akses yang Anda berikan secara berkala, dan terapkan metode deteksi untuk memberi tahu Anda tentang perubahan yang tidak terduga. Pantau dan audit penggunaan peran dan penyimpanan data ID eksternal. Anda harus bersiap untuk mencabut akses pihak ketiga, baik untuk sementara atau secara permanen, jika ada perubahan atau pola akses yang tidak terduga. Selain itu, ukur dampak atas operasi pencabutan Anda, termasuk waktu yang diperlukan untuk melakukannya, orang yang terlibat, biaya, dan dampak terhadap sumber daya lainnya.

   Untuk panduan preskriptif tentang metode deteksi, lihat Praktik terbaik deteksi.

Sumber daya

Praktik Terbaik Terkait:

• SEC02-BP02 Menggunakan kredensial sementara

• SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda

• SEC03-BP06 Kelola akses berdasarkan siklus hidup

• SEC03-BP07 Menganalisis akses lintas akun dan publik

• SEC04 Deteksi

Dokumen terkait:

• Pemilik bucket yang memberikan izin lintas akun ke objek yang tidak dimilikinya

• Cara menggunakan kebijakan kepercayaan dengan peran IAM

• Mendelegasikan akses di seluruh Akun AWS menggunakan peran IAM

• Bagaimana cara mengakses sumber daya di Akun AWS lainnya menggunakan IAM?

• Praktik terbaik keamanan dalam IAM

• Logika evaluasi kebijakan lintas akun

• Cara menggunakan ID eksternal saat memberikan akses ke sumber daya AWS Anda kepada pihak ketiga

• Mengumpulkan Informasi dari Sumber Daya AWS CloudFormation yang Dibuat di Akun Eksternal dengan Sumber Daya Kustom

• Menggunakan ID Eksternal Secara Aman untuk Mengakses Akun AWS Milik Pihak Lain

• Memperluas peran IAM ke beban kerja di luar IAM dengan IAM Roles Anywhere

Video terkait:

• Bagaimana caranya mengizinkan pengguna atau peran di Akun AWS yang terpisah untuk mengakses Akun AWS saya?

• AWS re:Invent 2018: Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang

• Pusat Pengetahuan AWS Live: Praktik Terbaik IAM dan Keputusan Rancangan

Contoh terkait:

• Well-Architected Lab - Pengambilan peran IAM lintas akun Lambda (Level 300)

• Mengonfigurasi akses lintas akun ke Amazon DynamoDB

• AWS STS Network Query Tool