Praktik terbaik keamanan untuk Resource Groups - AWS Resource Groups

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk Resource Groups

Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap praktik terbaik tersebut sebagai pertimbangan yang membantu dan bukan sebagai rekomendasi.

  • Gunakan prinsip hak istimewa paling sedikit untuk memberikan akses ke grup. Resource Groups mendukung izin tingkat sumber daya. Berikan akses ke grup tertentu hanya jika diperlukan untuk pengguna tertentu. Hindari menggunakan tanda bintang dalam pernyataan kebijakan yang menetapkan izin untuk semua pengguna atau semua grup. Untuk informasi selengkapnya tentang hak istimewa yang paling sedikit, lihat Memberikan Hak Istimewa Terkecil di Panduan Pengguna IAM.

  • Jauhkan informasi pribadi dari bidang publik. Nama grup diperlakukan sebagai metadata layanan. Nama grup tidak dienkripsi. Jangan menaruh informasi sensitif dalam nama grup. Deskripsi grup bersifat pribadi.

    Jangan menaruh informasi pribadi atau sensitif dalam kunci tag atau nilai tag.

  • Gunakan otorisasi berdasarkan penandaan kapan pun sesuai. Resource Groups mendukung otorisasi berdasarkan tanda. Anda dapat menandai grup, lalu memperbarui kebijakan yang dilampirkan ke prinsipal IAM Anda, seperti pengguna dan peran, untuk menetapkan tingkat akses mereka berdasarkan tag yang diterapkan ke grup. Untuk informasi selengkapnya tentang cara menggunakan otorisasi berdasarkan tag, lihat Mengontrol akses keAWS sumber daya menggunakan tag sumber daya di Panduan Pengguna IAM.

    BanyakAWS layanan mendukung otorisasi berdasarkan tanda untuk sumber daya mereka. Ketahuilah bahwa otorisasi berbasis tag mungkin dikonfigurasi untuk sumber daya anggota dalam grup. Jika akses ke sumber daya grup dibatasi oleh tag, pengguna atau grup yang tidak sah mungkin tidak dapat melakukan tindakan atau otomatisasi pada sumber daya tersebut. Misalnya, jika instans Amazon EC2 di salah satu grup Anda ditandai dengan kunci tag dan nilai tagHigh,Confidentiality dan Anda tidak diizinkan untuk menjalankan perintah pada sumber daya yang ditandaiConfidentiality:High, tindakan atau otomatisasi yang Anda lakukan pada instans EC2 akan gagal, bahkan jika tindakan berhasil untuk sumber daya lain dalam grup sumber daya. Untuk informasi selengkapnya tentang layanan mana yang mendukung otorisasi berbasis tag untuk sumber daya mereka, lihat AWSLayanan yang Bekerja dengan IAM di Panduan Pengguna IAM.

    Untuk informasi selengkapnya tentang mengembangkan strategi penandaan untukAWS sumber daya Anda, lihat StrategiAWS Pemberian Tag.