Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Tetapkan pagar pembatas izin dengan menggunakan perimeter data

Mode fokus
Tetapkan pagar pembatas izin dengan menggunakan perimeter data - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pagar perimeter data dimaksudkan untuk berfungsi sebagai batas yang selalu aktif untuk membantu melindungi data Anda di seluruh rangkaian akun dan sumber daya yang luas. AWS Perimeter data mengikuti praktik terbaik IAM keamanan untuk membuat pagar pembatas izin di beberapa akun. Pagar pembatas izin di seluruh organisasi ini tidak menggantikan kontrol akses berbutir halus yang ada. Sebaliknya, mereka bekerja sebagai kontrol akses kasar yang membantu meningkatkan strategi keamanan Anda dengan memastikan pengguna, peran, dan sumber daya mematuhi serangkaian standar keamanan yang ditetapkan.

Perimeter data adalah set pagar pembatas izin di AWS lingkungan Anda yang membantu memastikan bahwa hanya identitas tepercaya Anda yang mengakses sumber daya tepercaya dari jaringan yang diharapkan.

  • Identitas tepercaya: Kepala sekolah (IAMperan atau pengguna) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda.

  • Sumber daya tepercaya: Sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.

  • Jaringan yang diharapkan: Pusat data lokal Anda dan awan pribadi virtual (VPCs), atau jaringan AWS layanan yang bertindak atas nama Anda.

catatan

Dalam beberapa kasus, Anda mungkin perlu memperluas perimeter data Anda untuk juga menyertakan akses oleh mitra bisnis tepercaya Anda. Anda harus mempertimbangkan semua pola akses data yang dimaksudkan ketika Anda membuat definisi identitas tepercaya, sumber daya tepercaya, dan jaringan yang diharapkan khusus untuk perusahaan Anda dan penggunaan Layanan AWS Anda.

Kontrol perimeter data harus diperlakukan sebagai kontrol keamanan lainnya dalam program keamanan informasi dan manajemen risiko. Ini berarti Anda harus melakukan analisis ancaman untuk mengidentifikasi potensi risiko dalam lingkungan cloud Anda, dan kemudian, berdasarkan kriteria penerimaan risiko Anda sendiri, pilih dan terapkan kontrol perimeter data yang sesuai. Untuk lebih menginformasikan pendekatan berbasis risiko berulang untuk implementasi perimeter data, Anda perlu memahami risiko keamanan dan vektor ancaman apa yang ditangani oleh kontrol perimeter data serta prioritas keamanan Anda.

Kontrol perimeter data

Kontrol berbutir kasar perimeter data membantu Anda mencapai enam tujuan keamanan yang berbeda di tiga perimeter data melalui penerapan kombinasi yang berbeda dari dan kunci kondisi. Jenis kebijakan

Perimeter Tujuan kontrol Penggunaan Diterapkan pada Kunci konteks kondisi global

Identitas

Hanya identitas tepercaya yang dapat mengakses sumber daya saya

RCP

Sumber daya

aws: PrincipalOrg ID

aws: PrincipalOrgPaths

aws: PrincipalAccount

aws: PrincipalIsAwsService

aws: SourceOrg ID

aws: SourceOrgPath

aws: SourceAccount

Hanya identitas tepercaya yang diizinkan dari jaringan saya

VPCkebijakan endpoint

Jaringan

Sumber daya

Identitas Anda hanya dapat mengakses sumber daya tepercaya

SCP

Identitas

aws: ResourceOrg ID

aws: ResourceOrgPaths

aws: ResourceAccount

Hanya sumber daya tepercaya yang dapat diakses dari jaringan Anda

VPCkebijakan endpoint

Jaringan

Jaringan

Identitas Anda hanya dapat mengakses sumber daya dari jaringan yang diharapkan

SCP

Identitas

aws: SourceIp

aws: SourceVpc

aws: SourceVpce

AWS: V iaAWSService

aws: PrincipalIsAwsService

Sumber daya Anda hanya dapat diakses dari jaringan yang diharapkan

RCP

Sumber daya

Anda dapat menganggap perimeter data sebagai membuat batas yang kuat di sekitar data Anda untuk mencegah pola akses yang tidak diinginkan. Meskipun perimeter data dapat mencegah akses luas yang tidak diinginkan, Anda masih perlu membuat keputusan kontrol akses yang halus. Membuat perimeter data tidak mengurangi kebutuhan untuk terus menyempurnakan izin dengan menggunakan alat seperti IAMAccess Analyzer sebagai bagian dari perjalanan Anda menuju hak istimewa yang paling sedikit.

Untuk menerapkan kontrol perimeter data pada sumber daya yang saat ini tidak didukung olehRCPs, Anda dapat menggunakan kebijakan berbasis sumber daya yang dilampirkan ke sumber daya secara langsung. Untuk daftar layanan yang mendukung RCPs dan kebijakan berbasis sumber daya, lihat Kebijakan kontrol sumber daya () dan. RCPs AWS layanan yang bekerja dengan IAM

Perimeter identitas

Perimeter identitas adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan hanya identitas tepercaya yang dapat mengakses sumber daya Anda dan hanya identitas tepercaya yang diizinkan dari jaringan Anda. Identitas tepercaya mencakup kepala sekolah (peran atau pengguna) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda. Semua identitas lainnya dianggap tidak dipercaya dan dicegah oleh perimeter identitas kecuali pengecualian eksplisit diberikan.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter identitas. Gunakan kunci ini dalam kebijakan kontrol sumber daya untuk membatasi akses ke sumber daya, atau dalam kebijakan VPC titik akhir untuk membatasi akses ke jaringan Anda.

  • aws: PrincipalOrg ID— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa IAM prinsipal yang membuat permintaan milik organisasi yang ditentukan di. AWS Organizations

  • aws: PrincipalOrgPaths— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa IAM pengguna, IAM peran, pengguna federasi, atau A yang Pengguna root akun AWS membuat permintaan milik unit organisasi tertentu (OU) di AWS Organizations.

  • aws: PrincipalAccount— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya hanya dapat diakses oleh akun utama yang Anda tentukan dalam kebijakan.

  • aws: PrincipalIs AWSServicedan aws: SourceOrg ID (secara bergantian aws: SourceOrgPaths danaws: SourceAccount) — Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa ketika Layanan AWS kepala sekolah mengakses sumber daya Anda, mereka melakukannya hanya atas nama sumber daya di organisasi tertentu, unit organisasi, atau akun di. AWS Organizations

Untuk informasi selengkapnya, lihat Membuat perimeter data di AWS: Izinkan hanya identitas tepercaya untuk mengakses data perusahaan.

Perimeter sumber daya

Perimeter sumber daya adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan identitas Anda hanya dapat mengakses sumber daya tepercaya dan hanya sumber daya tepercaya yang dapat diakses dari jaringan Anda. Sumber daya tepercaya mencakup sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter sumber daya. Gunakan kunci ini dalam kebijakan kontrol Layanan (SCPs) untuk membatasi sumber daya mana yang dapat diakses oleh identitas Anda, atau dalam kebijakan VPC titik akhir untuk membatasi sumber daya mana yang dapat diakses dari jaringan Anda.

  • aws: ResourceOrg ID— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik organisasi tertentu di AWS Organizations.

  • aws: ResourceOrgPaths— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik unit organisasi tertentu (OU) di AWS Organizations.

  • aws: ResourceAccount— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik akun yang ditentukan di AWS Organizations.

Dalam beberapa kasus, Anda mungkin perlu mengizinkan akses ke sumber daya yang AWS dimiliki, sumber daya yang bukan milik organisasi Anda dan yang diakses oleh kepala sekolah Anda atau oleh AWS layanan yang bertindak atas nama Anda. Untuk informasi selengkapnya tentang skenario ini, lihat Membuat perimeter data di AWS: Izinkan hanya sumber daya tepercaya dari organisasi saya.

Perimeter jaringan

Perimeter jaringan adalah seperangkat kontrol akses pencegahan kasar yang membantu memastikan identitas Anda dapat mengakses sumber daya hanya dari jaringan yang diharapkan dan sumber daya Anda hanya dapat diakses dari jaringan yang diharapkan. Jaringan yang diharapkan mencakup pusat data lokal dan cloud pribadi virtual (VPCs) dan jaringan AWS layanan yang bertindak atas nama Anda.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter jaringan. Gunakan kunci ini dalam kebijakan kontrol layanan (SCPs) untuk membatasi jaringan yang dapat dikomunikasikan oleh identitas Anda, atau dalam kebijakan kontrol sumber daya (RCPs) untuk membatasi akses sumber daya ke jaringan yang diharapkan.

  • aws: SourceIp— Anda dapat menggunakan kunci kondisi ini untuk memastikan alamat IP pemohon berada dalam rentang IP tertentu.

  • aws: SourceVpc— Anda dapat menggunakan kunci kondisi ini untuk memastikan VPC titik akhir yang dilalui permintaan milik yang ditentukanVPC.

  • aws: SourceVpce— Anda dapat menggunakan kunci kondisi ini untuk memastikan permintaan berjalan melalui VPC titik akhir yang ditentukan.

  • AWS: V iaAWSService— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat membuat permintaan atas nama kepala sekolah Anda menggunakan Teruskan sesi akses (FAS).

  • aws: PrincipalIs AWSService— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat mengakses sumber daya Anda menggunakanAWS prinsipal layanan.

Ada skenario tambahan di mana Anda perlu mengizinkan akses ke Layanan AWS sumber daya Anda dari luar jaringan Anda. Untuk informasi selengkapnya, lihat Membuat perimeter data pada AWS: Izinkan akses ke data perusahaan hanya dari jaringan yang diharapkan.

Sumber daya untuk mempelajari lebih lanjut tentang perimeter data

Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang perimeter data. AWS

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.