Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pagar perimeter data dimaksudkan untuk berfungsi sebagai batas yang selalu aktif untuk membantu melindungi data Anda di seluruh rangkaian akun dan sumber daya yang luas. AWS Perimeter data mengikuti praktik terbaik IAM keamanan untuk membuat pagar pembatas izin di beberapa akun. Pagar pembatas izin di seluruh organisasi ini tidak menggantikan kontrol akses berbutir halus yang ada. Sebaliknya, mereka bekerja sebagai kontrol akses kasar yang membantu meningkatkan strategi keamanan Anda dengan memastikan pengguna, peran, dan sumber daya mematuhi serangkaian standar keamanan yang ditetapkan.
Perimeter data adalah set pagar pembatas izin di AWS lingkungan Anda yang membantu memastikan bahwa hanya identitas tepercaya Anda yang mengakses sumber daya tepercaya dari jaringan yang diharapkan.
-
Identitas tepercaya: Kepala sekolah (IAMperan atau pengguna) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda.
-
Sumber daya tepercaya: Sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.
-
Jaringan yang diharapkan: Pusat data lokal Anda dan awan pribadi virtual (VPCs), atau jaringan AWS layanan yang bertindak atas nama Anda.
catatan
Dalam beberapa kasus, Anda mungkin perlu memperluas perimeter data Anda untuk juga menyertakan akses oleh mitra bisnis tepercaya Anda. Anda harus mempertimbangkan semua pola akses data yang dimaksudkan ketika Anda membuat definisi identitas tepercaya, sumber daya tepercaya, dan jaringan yang diharapkan khusus untuk perusahaan Anda dan penggunaan Layanan AWS Anda.
Kontrol perimeter data harus diperlakukan sebagai kontrol keamanan lainnya dalam program keamanan informasi dan manajemen risiko. Ini berarti Anda harus melakukan analisis ancaman untuk mengidentifikasi potensi risiko dalam lingkungan cloud Anda, dan kemudian, berdasarkan kriteria penerimaan risiko Anda sendiri, pilih dan terapkan kontrol perimeter data yang sesuai. Untuk lebih menginformasikan pendekatan berbasis risiko berulang untuk implementasi perimeter data, Anda perlu memahami risiko keamanan dan vektor ancaman apa yang ditangani oleh kontrol perimeter data serta prioritas keamanan Anda.
Kontrol perimeter data
Perimeter | Tujuan kontrol | Penggunaan | Diterapkan pada | Kunci konteks kondisi global |
---|---|---|---|---|
Identitas |
Hanya identitas tepercaya yang dapat mengakses sumber daya saya |
RCP |
Sumber daya |
aws: PrincipalOrg ID aws: PrincipalOrgPaths aws: PrincipalAccount aws: PrincipalIsAwsService aws: SourceOrg ID aws: SourceOrgPath aws: SourceAccount |
Hanya identitas tepercaya yang diizinkan dari jaringan saya |
VPCkebijakan endpoint |
Jaringan |
||
Sumber daya |
Identitas Anda hanya dapat mengakses sumber daya tepercaya |
SCP |
Identitas |
aws: ResourceOrg ID aws: ResourceOrgPaths aws: ResourceAccount |
Hanya sumber daya tepercaya yang dapat diakses dari jaringan Anda |
VPCkebijakan endpoint |
Jaringan |
||
Jaringan |
Identitas Anda hanya dapat mengakses sumber daya dari jaringan yang diharapkan |
SCP |
Identitas |
aws: SourceIp aws: SourceVpc aws: SourceVpce AWS: V iaAWSService aws: PrincipalIsAwsService |
Sumber daya Anda hanya dapat diakses dari jaringan yang diharapkan |
RCP |
Sumber daya |
Anda dapat menganggap perimeter data sebagai membuat batas yang kuat di sekitar data Anda untuk mencegah pola akses yang tidak diinginkan. Meskipun perimeter data dapat mencegah akses luas yang tidak diinginkan, Anda masih perlu membuat keputusan kontrol akses yang halus. Membuat perimeter data tidak mengurangi kebutuhan untuk terus menyempurnakan izin dengan menggunakan alat seperti IAMAccess Analyzer sebagai bagian dari perjalanan Anda menuju hak istimewa yang paling sedikit.
Untuk menerapkan kontrol perimeter data pada sumber daya yang saat ini tidak didukung olehRCPs, Anda dapat menggunakan kebijakan berbasis sumber daya yang dilampirkan ke sumber daya secara langsung. Untuk daftar layanan yang mendukung RCPs dan kebijakan berbasis sumber daya, lihat Kebijakan kontrol sumber daya () dan. RCPs AWS layanan yang bekerja dengan IAM
Perimeter identitas
Perimeter identitas adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan hanya identitas tepercaya yang dapat mengakses sumber daya Anda dan hanya identitas tepercaya yang diizinkan dari jaringan Anda. Identitas tepercaya mencakup kepala sekolah (peran atau pengguna) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda. Semua identitas lainnya dianggap tidak dipercaya dan dicegah oleh perimeter identitas kecuali pengecualian eksplisit diberikan.
Kunci kondisi global berikut membantu menegakkan kontrol perimeter identitas. Gunakan kunci ini dalam kebijakan kontrol sumber daya untuk membatasi akses ke sumber daya, atau dalam kebijakan VPC titik akhir untuk membatasi akses ke jaringan Anda.
-
aws: PrincipalOrg ID— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa IAM prinsipal yang membuat permintaan milik organisasi yang ditentukan di. AWS Organizations
-
aws: PrincipalOrgPaths— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa IAM pengguna, IAM peran, pengguna federasi, atau A yang Pengguna root akun AWS membuat permintaan milik unit organisasi tertentu (OU) di AWS Organizations.
-
aws: PrincipalAccount— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya hanya dapat diakses oleh akun utama yang Anda tentukan dalam kebijakan.
-
aws: PrincipalIs AWSServicedan aws: SourceOrg ID (secara bergantian aws: SourceOrgPaths danaws: SourceAccount) — Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa ketika Layanan AWS kepala sekolah mengakses sumber daya Anda, mereka melakukannya hanya atas nama sumber daya di organisasi tertentu, unit organisasi, atau akun di. AWS Organizations
Untuk informasi selengkapnya, lihat Membuat perimeter data di AWS: Izinkan hanya identitas tepercaya untuk mengakses data perusahaan
Perimeter sumber daya
Perimeter sumber daya adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan identitas Anda hanya dapat mengakses sumber daya tepercaya dan hanya sumber daya tepercaya yang dapat diakses dari jaringan Anda. Sumber daya tepercaya mencakup sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.
Kunci kondisi global berikut membantu menegakkan kontrol perimeter sumber daya. Gunakan kunci ini dalam kebijakan kontrol Layanan (SCPs) untuk membatasi sumber daya mana yang dapat diakses oleh identitas Anda, atau dalam kebijakan VPC titik akhir untuk membatasi sumber daya mana yang dapat diakses dari jaringan Anda.
-
aws: ResourceOrg ID— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik organisasi tertentu di AWS Organizations.
-
aws: ResourceOrgPaths— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik unit organisasi tertentu (OU) di AWS Organizations.
-
aws: ResourceAccount— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik akun yang ditentukan di AWS Organizations.
Dalam beberapa kasus, Anda mungkin perlu mengizinkan akses ke sumber daya yang AWS dimiliki, sumber daya yang bukan milik organisasi Anda dan yang diakses oleh kepala sekolah Anda atau oleh AWS
layanan yang bertindak atas nama Anda. Untuk informasi selengkapnya tentang skenario ini, lihat Membuat perimeter data di AWS: Izinkan hanya sumber daya tepercaya dari organisasi saya
Perimeter jaringan
Perimeter jaringan adalah seperangkat kontrol akses pencegahan kasar yang membantu memastikan identitas Anda dapat mengakses sumber daya hanya dari jaringan yang diharapkan dan sumber daya Anda hanya dapat diakses dari jaringan yang diharapkan. Jaringan yang diharapkan mencakup pusat data lokal dan cloud pribadi virtual (VPCs) dan jaringan AWS layanan yang bertindak atas nama Anda.
Kunci kondisi global berikut membantu menegakkan kontrol perimeter jaringan. Gunakan kunci ini dalam kebijakan kontrol layanan (SCPs) untuk membatasi jaringan yang dapat dikomunikasikan oleh identitas Anda, atau dalam kebijakan kontrol sumber daya (RCPs) untuk membatasi akses sumber daya ke jaringan yang diharapkan.
-
aws: SourceIp— Anda dapat menggunakan kunci kondisi ini untuk memastikan alamat IP pemohon berada dalam rentang IP tertentu.
-
aws: SourceVpc— Anda dapat menggunakan kunci kondisi ini untuk memastikan VPC titik akhir yang dilalui permintaan milik yang ditentukanVPC.
-
aws: SourceVpce— Anda dapat menggunakan kunci kondisi ini untuk memastikan permintaan berjalan melalui VPC titik akhir yang ditentukan.
-
AWS: V iaAWSService— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat membuat permintaan atas nama kepala sekolah Anda menggunakan Teruskan sesi akses (FAS).
-
aws: PrincipalIs AWSService— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat mengakses sumber daya Anda menggunakanAWS prinsipal layanan.
Ada skenario tambahan di mana Anda perlu mengizinkan akses ke Layanan AWS sumber daya Anda dari luar jaringan Anda. Untuk informasi selengkapnya, lihat Membuat perimeter data pada AWS: Izinkan akses ke data perusahaan hanya dari jaringan yang diharapkan
Sumber daya untuk mempelajari lebih lanjut tentang perimeter data
Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang perimeter data. AWS
-
Perimeter data
aktif AWS— Pelajari tentang perimeter data dan manfaat serta kasus penggunaannya. -
Seri Posting Blog: Membangun Perimeter Data pada AWS
— Posting blog ini mencakup panduan preskriptif tentang menetapkan perimeter data Anda dalam skala besar, termasuk pertimbangan keamanan dan implementasi utama. -
Contoh kebijakan perimeter data
— GitHub Repositori ini berisi contoh kebijakan yang mencakup beberapa pola umum untuk membantu Anda menerapkan perimeter data. AWS -
Pembantu perimeter data
— Alat ini membantu Anda merancang dan mengantisipasi dampak kontrol perimeter data Anda dengan menganalisis aktivitas akses di log Anda AWS CloudTrail. -
Whitepaper: Membangun Perimeter Data AWS — Paper ini menguraikan praktik terbaik dan layanan yang tersedia untuk membuat perimeter di sekitar identitas, sumber daya, dan jaringan Anda. AWS
-
Webinar: Membangun perimeter data di AWS
- Pelajari di mana dan bagaimana menerapkan kontrol perimeter data berdasarkan skenario risiko yang berbeda.