Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik pengguna root untuk Anda Akun AWS
Saat pertama kali membuat Akun AWS, Anda mulai dengan kumpulan kredensil default dengan akses lengkap ke semua AWS sumber daya di akun Anda. Identitas ini disebut pengguna Akun AWS root. Kami sangat menyarankan Anda untuk tidak mengakses pengguna Akun AWS root kecuali Anda memiliki tugas yang memerlukan kredensi pengguna root. Anda perlu mengamankan kredensi pengguna root dan mekanisme pemulihan akun Anda untuk membantu memastikan Anda tidak mengekspos kredenal Anda yang sangat istimewa untuk penggunaan yang tidak sah.
Untuk beberapa yang Akun AWS dikelola melalui Organizations, sebaiknya hapus kredensi pengguna root dari akun anggota untuk membantu mencegah penggunaan yang tidak sah. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan dan menghapus otentikasi multi-faktor (). MFA Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka. Untuk informasi selengkapnya, lihat Kelola akses root untuk akun anggota secara terpusat.
Alih-alih mengakses pengguna root, buat pengguna administratif untuk tugas sehari-hari.
-
Jika Anda memiliki yang baru Akun AWS, lihatMenyiapkan Anda Akun AWS.
-
Untuk beberapa yang Akun AWS dikelola AWS Organizations, lihat Menyiapkan Akun AWS akses untuk pengguna administratif Pusat IAM Identitas.
Dengan pengguna administratif Anda, Anda kemudian dapat membuat identitas tambahan untuk pengguna yang membutuhkan akses ke sumber daya di Anda Akun AWS. Kami sangat menyarankan Anda meminta pengguna untuk mengautentikasi dengan kredensi sementara saat mengakses. AWS
-
Untuk satu, mandiri Akun AWS, gunakan IAMperan untuk membuat identitas di akun Anda dengan izin tertentu. Peran dimaksudkan untuk diasumsikan oleh siapa saja yang membutuhkannya. Juga, peran tidak memiliki kredensi jangka panjang standar, seperti kata sandi atau kunci akses, yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran. Tidak seperti IAM peran, IAMpengguna memiliki kredensi jangka panjang seperti kata sandi dan kunci akses. Jika memungkinkan, praktik terbaik merekomendasikan untuk mengandalkan kredensil sementara alih-alih membuat IAM pengguna yang memiliki kredensi jangka panjang seperti kata sandi dan kunci akses.
-
Untuk beberapa yang Akun AWS dikelola melalui Organizations, gunakan pengguna tenaga kerja Pusat IAM Identitas. Dengan Pusat IAM Identitas, Anda dapat mengelola pengguna secara terpusat di seluruh Anda Akun AWS dan izin dalam akun tersebut. Kelola identitas pengguna Anda dengan Pusat IAM Identitas atau dari penyedia identitas eksternal. Untuk informasi selengkapnya, lihat Apa itu AWS IAM Identity Center dalam Panduan Pengguna AWS IAM Identity Center .
Topik
- Amankan kredensi pengguna root Anda untuk mencegah penggunaan yang tidak sah
- Gunakan kata sandi pengguna root yang kuat untuk membantu melindungi akses
- Amankan login pengguna root Anda dengan otentikasi multi-faktor () MFA
- Jangan membuat kunci akses untuk pengguna root
- Gunakan persetujuan multi-orang untuk login pengguna root sedapat mungkin
- Menggunakan alamat email grup untuk kredensi pengguna root
- Batasi akses ke mekanisme pemulihan akun
- Amankan kredensi pengguna root akun Organizations Anda
- Memantau akses dan penggunaan
Amankan kredensi pengguna root Anda untuk mencegah penggunaan yang tidak sah
Amankan kredensi pengguna root Anda dan gunakan hanya untuk tugas-tugas yang membutuhkannya. Untuk membantu mencegah penggunaan yang tidak sah, jangan bagikan kata sandi pengguna root AndaMFA, kunci akses, pasangan CloudFront kunci, atau menandatangani sertifikat dengan siapa pun, kecuali mereka yang memiliki kebutuhan bisnis yang ketat untuk mengakses pengguna root.
Jangan menyimpan kata sandi pengguna root dengan alat yang bergantung Layanan AWS pada akun yang diakses menggunakan kata sandi yang sama. Jika Anda kehilangan atau lupa kata sandi pengguna root Anda, Anda tidak akan dapat mengakses alat ini. Kami menyarankan Anda memprioritaskan ketahanan dan mempertimbangkan untuk mewajibkan dua orang atau lebih untuk mengotorisasi akses ke lokasi penyimpanan. Akses ke kata sandi atau lokasi penyimpanannya harus dicatat dan dipantau.
Gunakan kata sandi pengguna root yang kuat untuk membantu melindungi akses
Kami menyarankan Anda menggunakan kata sandi yang kuat dan unik. Alat seperti pengelola kata sandi dengan algoritme pembuatan kata sandi yang kuat dapat membantu Anda mencapai tujuan ini. AWS mengharuskan kata sandi Anda memenuhi ketentuan berikut:
-
Itu harus memiliki minimal 8 karakter dan maksimal 128 karakter.
-
Ini harus mencakup minimal tiga dari campuran tipe karakter berikut: huruf besar, huruf kecil, angka, dan! @ # $% ^ & * () <> [] {} | _+-= simbol.
-
Itu tidak boleh identik dengan Akun AWS nama atau alamat email Anda.
Untuk informasi selengkapnya, lihat Ubah kata sandi untuk Pengguna root akun AWS.
Amankan login pengguna root Anda dengan otentikasi multi-faktor () MFA
Karena pengguna root dapat melakukan tindakan istimewa, penting MFA untuk menambahkan pengguna root sebagai faktor otentikasi kedua selain alamat email dan kata sandi sebagai kredensi masuk. Kami sangat menyarankan MFA untuk mengaktifkan beberapa kredensil pengguna root Anda untuk memberikan fleksibilitas dan ketahanan tambahan dalam strategi keamanan Anda. Anda dapat mendaftarkan hingga delapan MFA perangkat dari kombinasi MFA jenis yang saat ini didukung dengan pengguna Akun AWS root Anda.
-
FIDOKunci keamanan perangkat keras bersertifikat disediakan oleh penyedia pihak ketiga. Untuk informasi selengkapnya, lihat Mengaktifkan kunci FIDO keamanan untuk pengguna Akun AWS root.
-
Perangkat keras yang menghasilkan kode numerik enam digit berdasarkan algoritma kata sandi satu kali () berbasis waktu. TOTP Untuk informasi selengkapnya, lihat Mengaktifkan TOTP token perangkat keras untuk pengguna Akun AWS root.
-
Aplikasi otentikator virtual yang berjalan di ponsel atau perangkat lain dan mengemulasi perangkat fisik. Untuk informasi selengkapnya, lihat Mengaktifkan MFA perangkat virtual untuk pengguna Akun AWS root Anda.
Jangan membuat kunci akses untuk pengguna root
Kunci akses memungkinkan Anda menjalankan AWS perintah di Command Line Interface (AWS CLI) atau menggunakan API operasi dari salah satu AWS SDKs. Kami sangat menyarankan agar Anda tidak membuat pasangan kunci akses untuk pengguna root Anda karena pengguna root memiliki akses penuh ke semua Layanan AWS dan sumber daya di akun, termasuk informasi penagihan.
Karena hanya beberapa tugas yang memerlukan pengguna root dan Anda biasanya jarang melakukan tugas-tugas tersebut, kami sarankan masuk ke AWS Management Console untuk melakukan tugas pengguna root. Sebelum membuat kunci akses, tinjau alternatif untuk kunci akses jangka panjang.
Gunakan persetujuan multi-orang untuk login pengguna root sedapat mungkin
Pertimbangkan untuk menggunakan persetujuan multi-orang untuk memastikan bahwa tidak ada satu orang pun yang dapat mengakses keduanya MFA dan kata sandi untuk pengguna root. Beberapa perusahaan menambahkan lapisan keamanan tambahan dengan menyiapkan satu grup administrator dengan akses ke kata sandi, dan grup administrator lain dengan akses ke. MFA Satu anggota dari setiap grup harus berkumpul untuk masuk sebagai pengguna root.
Menggunakan alamat email grup untuk kredensi pengguna root
Gunakan alamat email yang dikelola oleh bisnis Anda dan teruskan pesan yang diterima langsung ke sekelompok pengguna. Jika AWS harus menghubungi pemilik akun, pendekatan ini mengurangi risiko keterlambatan dalam menanggapi, bahkan jika individu sedang berlibur, sakit, atau telah meninggalkan bisnis. Alamat email yang digunakan untuk pengguna root tidak boleh digunakan untuk tujuan lain.
Batasi akses ke mekanisme pemulihan akun
Pastikan Anda mengembangkan proses untuk mengelola mekanisme pemulihan kredensi pengguna root jika Anda memerlukan akses ke sana selama keadaan darurat seperti pengambilalihan akun administratif Anda.
-
Pastikan Anda memiliki akses ke kotak masuk email pengguna root Anda sehingga Anda dapat mengatur ulang kata sandi pengguna root yang hilang atau terlupakan.
-
Jika MFA untuk pengguna Akun AWS root Anda hilang, rusak, atau tidak berfungsi, Anda dapat masuk menggunakan yang lain yang MFA terdaftar ke kredensi pengguna root yang sama. Jika Anda kehilangan akses ke semuaMFAs, Anda memerlukan nomor telepon dan email yang digunakan untuk mendaftarkan akun Anda, agar up to date dan dapat diakses untuk memulihkan akun AndaMFA. Untuk detailnya, lihat Memulihkan MFA perangkat pengguna root.
-
Jika Anda memilih untuk tidak menyimpan kata sandi pengguna root Anda danMFA, maka nomor telepon yang terdaftar di akun Anda dapat digunakan sebagai cara alternatif untuk memulihkan kredensi pengguna root. Pastikan Anda memiliki akses ke nomor telepon kontak, perbarui nomor telepon, dan batasi siapa yang memiliki akses untuk mengelola nomor telepon.
Tidak seorang pun harus memiliki akses ke kotak masuk email dan nomor telepon karena keduanya adalah saluran verifikasi untuk memulihkan kata sandi pengguna root Anda. Penting untuk memiliki dua kelompok individu yang mengelola saluran ini. Satu grup memiliki akses ke alamat email utama Anda dan grup lain yang memiliki akses ke nomor telepon utama untuk memulihkan akses ke akun Anda sebagai pengguna root.
Amankan kredensi pengguna root akun Organizations Anda
Saat Anda beralih ke strategi multi-akun dengan Organizations, masing-masing Akun AWS memiliki kredensi pengguna root sendiri yang perlu Anda amankan. Akun yang Anda gunakan untuk membuat organisasi Anda adalah akun manajemen dan akun lainnya di organisasi Anda adalah akun anggota.
Amankan kredensi pengguna root untuk akun anggota
Jika Anda menggunakan Organizations untuk mengelola beberapa akun, ada dua strategi yang dapat Anda ambil untuk mengamankan akses pengguna root di Organizations Anda.
-
Memusatkan akses root dan menghapus kredensi pengguna root dari akun anggota. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan dan menghapus otentikasi multi-faktor (). MFA Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka. Untuk informasi selengkapnya, lihat Kelola akses root untuk akun anggota secara terpusat.
-
Amankan kredensi pengguna root dari akun Organizations Anda dengan. MFA
Untuk detailnya, lihat Mengakses akun anggota di organisasi Anda di Panduan Pengguna Organizations.
Menetapkan kontrol keamanan preventif di Organizations menggunakan kebijakan kontrol layanan () SCP
Jika akun anggota di organisasi Anda mengaktifkan kredensi pengguna root, Anda dapat menerapkan SCP untuk membatasi akses ke pengguna root akun anggota. Menyangkal semua tindakan pengguna root di akun anggota Anda, kecuali untuk tindakan khusus root tertentu, membantu mencegah akses yang tidak sah. Untuk detailnya, lihat Menggunakan SCP untuk membatasi apa yang dapat dilakukan pengguna root di akun anggota Anda.
Memantau akses dan penggunaan
Kami menyarankan Anda menggunakan mekanisme pelacakan saat ini untuk memantau, memperingatkan, dan melaporkan login dan penggunaan kredenal pengguna root, termasuk peringatan yang mengumumkan login dan penggunaan pengguna root. Layanan berikut dapat membantu memastikan bahwa penggunaan kredensi pengguna root dilacak dan melakukan pemeriksaan keamanan yang dapat membantu mencegah penggunaan yang tidak sah.
catatan
CloudTrail mencatat peristiwa masuk yang berbeda untuk pengguna root dan sesi pengguna root istimewa. Sesi istimewa ini memungkinkan tugas yang memerlukan kredensi pengguna root untuk dilakukan di akun anggota di organisasi Anda. Anda dapat menggunakan peristiwa login untuk mengidentifikasi tindakan yang diambil oleh akun manajemen atau administrator yang didelegasikan menggunakan. sts:AssumeRoot
Untuk informasi selengkapnya, lihat Lacak tugas istimewa di CloudTrail.
-
Jika Anda ingin diberi tahu tentang aktivitas login pengguna root di akun Anda, Anda dapat memanfaatkan Amazon CloudWatch untuk membuat aturan Acara yang mendeteksi kapan kredensil pengguna root digunakan dan memicu pemberitahuan ke administrator keamanan Anda. Untuk detailnya, lihat Memantau dan memberi tahu aktivitas pengguna Akun AWS root
. -
Jika Anda ingin mengatur notifikasi untuk mengingatkan Anda tentang tindakan pengguna root yang disetujui, Anda dapat memanfaatkan Amazon EventBridge bersama dengan Amazon SNS untuk menulis EventBridge aturan untuk melacak penggunaan pengguna root untuk tindakan tertentu dan memberi tahu Anda menggunakan SNS topik Amazon. Sebagai contoh, lihat Mengirim pemberitahuan saat objek Amazon S3 dibuat.
-
Jika Anda sudah menggunakan GuardDuty sebagai layanan deteksi ancaman, Anda dapat memperluas kemampuannya untuk memberi tahu Anda ketika kredensi pengguna root digunakan di akun Anda.
Peringatan harus mencakup, tetapi tidak terbatas pada, alamat email untuk pengguna root. Memiliki prosedur untuk bagaimana menanggapi peringatan sehingga personel yang menerima peringatan akses pengguna root memahami cara memvalidasi bahwa akses pengguna root diharapkan, dan bagaimana meningkatkan jika mereka yakin bahwa insiden keamanan sedang berlangsung. Untuk contoh cara mengonfigurasi peringatan, lihat Memantau dan memberi tahu aktivitas pengguna Akun AWS root
Evaluasi MFA kepatuhan pengguna root
Layanan berikut dapat membantu mengevaluasi MFA kepatuhan untuk kredensi pengguna root.
MFA-related rules return noncompliant jika Anda mengikuti praktik terbaik untuk menghapus kredensi pengguna root.
Sebaiknya hapus kredensi pengguna root dari akun anggota di organisasi Anda untuk membantu mencegah penggunaan yang tidak sah. Setelah Anda menghapus kredensi pengguna root, termasukMFA, akun anggota ini dievaluasi sebagai tidak sesuai.
-
AWS Config menyediakan aturan untuk memantau kepatuhan terhadap praktik terbaik pengguna root. Anda dapat menggunakan aturan AWS Config terkelola untuk membantu Anda menegakkan MFA kredenal pengguna root. AWS Config juga dapat mengidentifikasi kunci akses untuk pengguna root.
-
Security Hub memberi Anda pandangan komprehensif tentang status keamanan Anda AWS dan membantu Anda menilai AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik, seperti memiliki MFA pada pengguna root dan tidak memiliki kunci akses pengguna root. Untuk detail tentang aturan yang tersedia, lihat AWS Identity and Access Management kontrol di Panduan Pengguna Security Hub.
-
Trusted Advisor menyediakan pemeriksaan keamanan sehingga Anda tahu apakah MFA tidak diaktifkan pada akun pengguna root. Untuk informasi selengkapnya, lihat MFAdi Root Account di AWS Support User Guide.
Jika Anda perlu melaporkan masalah keamanan di akun, lihat Melaporkan Email Mencurigakan