AWS Identity and Access Management - Menavigasi Kepatuhan GDPR di AWS

AWS Identity and Access Management

Saat Anda membuat akun AWS, akun pengguna root dibuat secara otomatis untuk akun AWS Anda. Akun pengguna ini memiliki akses lengkap ke semua layanan dan sumber daya AWS Anda di akun AWS Anda. Alih-alih menggunakan akun ini untuk tugas sehari-hari, Anda seharusnya hanya menggunakannya untuk awalnya membuat peran dan akun pengguna tambahan, serta untuk aktivitas administratif yang memerlukannya. AWS merekomendasikan agar Anda menerapkan prinsip hak akses paling rendah sejak awal: tentukan akun dan peran pengguna yang berbeda untuk tugas yang berbeda, dan tentukan set izin minimum yang diperlukan untuk menyelesaikan setiap tugas. Pendekatan ini adalah mekanisme untuk menyesuaikan konsep utama yang diberlakukan di GDPR: perlindungan data secara desain. AWS Identity and Access Management(IAM) adalah layanan web yang dapat Anda gunakan untuk mengontrol akses ke sumber daya AWS Anda dengan aman.

Pengguna dan peran menentukan identitas IAM dengan izin tertentu. Pengguna yang berwenang dapat mengambil IAM role untuk melakukan tugas-tugas tertentu. Kredensial sementara dibuat ketika peran diambil. Misalnya, Anda dapat menggunakan IAM role untuk menyediakan aplikasi yang berjalan dengan aman di Amazon Elastic Compute Cloud (Amazon EC2) dengan kredensial sementara yang diperlukan untuk mengakses sumber daya AWS lainnya, seperti bucket Amazon S3, dan Amazon Relational Database Service (Amazon RDS) atau basis data Amazon DynamoDB. Demikian pula, peran eksekusi menyediakan izin yang diperlukan ke fungsi AWS Lambda untuk mengakses Layanan AWS dan sumber daya lainnya, seperti Amazon CloudWatch Logs untuk streaming log atau membaca pesan dari antrean Amazon Simple Queue Service (Amazon SQS). Saat membuat peran, Anda menambahkan kebijakan untuk menentukan otorisasi.

Untuk membantu pelanggan memantau kebijakan sumber daya dan mengidentifikasi sumber daya yang memiliki akses publik atau lintas akun yang mungkin tidak mereka inginkan, IAM Access Analyzer dapat diaktifkan untuk menghasilkan temuan komprehensif yang mengidentifikasi sumber daya yang dapat diakses dari luar akun AWS. IAM Access Analyzer mengevaluasi kebijakan sumber daya dengan logika dan inferensi matematika untuk menentukan jalur akses yang diizinkan oleh kebijakan. IAM Access Analyzer terus memantau kebijakan baru atau yang diperbarui, dan menganalisis izin yang diberikan menggunakan kebijakan untuk IAM role—tetapi juga untuk sumber daya layanan seperti bucket Amazon S3, kunci AWS Key Management Service (AWS KMS), antrean Amazon SQS, dan fungsi Lambda.

Access Analyzer for S3 memberi tahu Anda ketika bucket dikonfigurasi untuk memungkinkan akses bagi siapa pun di internet atau akun AWS lainnya, termasuk akun AWS di luar organisasi Anda. Saat meninjau bucket berisiko di Access Analyzer untuk Amazon S3, Anda dapat memblokir semua akses publik ke bucket dengan sekali klik. AWS menyarankan agar Anda memblokir semua akses ke bucket Anda kecuali Anda memerlukan akses publik untuk mendukung kasus penggunaan tertentu. Sebelum Anda memblokir semua akses publik, pastikan bahwa aplikasi Anda akan terus bekerja dengan benar tanpa akses publik. Untuk informasi selengkapnya, lihat Menggunakan Amazon S3 untuk Memblokir Akses Publik.

IAM juga menyediakan informasi yang terakhir diakses untuk membantu Anda mengidentifikasi izin yang tidak digunakan sehingga Anda dapat menghapusnya dari entitas utama terkait. Menggunakan informasi yang terakhir diakses, Anda dapat menyempurnakan kebijakan Anda dan mengizinkan akses hanya ke layanan dan tindakan yang diperlukan. Ini membantu dalam meningkatkan kepatuhan dan menerapkan praktik terbaik hak akses paling rendah. Anda dapat melihat informasi yang terakhir diakses untuk entitas atau kebijakan yang ada di IAM, atau di seluruh lingkungan AWS Organizations.