Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik pengguna root untuk Anda Akun AWS
Saat pertama kali membuat Akun AWS, Anda mulai dengan kumpulan kredensil default dengan akses lengkap ke semua AWS sumber daya di akun Anda. Identitas ini disebut pengguna Akun AWS root. Kami sangat menyarankan Anda untuk tidak mengakses pengguna Akun AWS root kecuali Anda memiliki tugas yang memerlukan kredensi pengguna root. Anda perlu mengamankan kredensi pengguna root dan mekanisme pemulihan akun Anda untuk membantu memastikan Anda tidak mengekspos kredenal Anda yang sangat istimewa untuk penggunaan yang tidak sah.
Alih-alih mengakses pengguna root, buat pengguna administratif untuk tugas sehari-hari.
-
Untuk satu, mandiri Akun AWS, lihatBuat pengguna dengan akses administratif.
-
Untuk beberapa yang Akun AWS dikelola AWS Organizations, lihat Menyiapkan Akun AWS akses untuk pengguna administratif Pusat Identitas IAM.
Dengan pengguna administratif Anda, Anda kemudian dapat membuat identitas tambahan untuk pengguna yang membutuhkan akses ke sumber daya di Anda Akun AWS. Kami sangat menyarankan Anda meminta pengguna untuk mengautentikasi dengan kredensi sementara saat mengakses. AWS
-
Untuk satu, mandiri Akun AWS, gunakan Peran IAM untuk membuat identitas di akun Anda dengan izin tertentu. Peran dimaksudkan untuk diasumsikan oleh siapa saja yang membutuhkannya. Juga, peran tidak memiliki kredensi jangka panjang standar, seperti kata sandi atau kunci akses, yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran. Tidak seperti peran IAM, Pengguna IAM memiliki kredensi jangka panjang seperti kata sandi dan kunci akses. Jika memungkinkan, praktik terbaik merekomendasikan untuk mengandalkan kredensil sementara alih-alih membuat pengguna IAM yang memiliki kredensi jangka panjang seperti kata sandi dan kunci akses.
-
Untuk beberapa yang Akun AWS dikelola melalui Organizations, gunakan pengguna tenaga kerja IAM Identity Center. Dengan IAM Identity Center, Anda dapat mengelola pengguna secara terpusat di seluruh akun Anda Akun AWS dan izin di dalam akun tersebut. Kelola identitas pengguna Anda dengan IAM Identity Center atau dari penyedia identitas eksternal. Untuk informasi selengkapnya, lihat Apa itu AWS IAM Identity Center dalam Panduan Pengguna AWS IAM Identity Center .
Topik
- Amankan kredensi pengguna root Anda untuk mencegah penggunaan yang tidak sah
- Gunakan kata sandi pengguna root yang kuat untuk membantu melindungi akses
- Amankan login pengguna root Anda dengan otentikasi multi-faktor (MFA)
- Jangan membuat kunci akses untuk pengguna root
- Gunakan persetujuan multi-orang untuk login pengguna root sedapat mungkin
- Menggunakan alamat email grup untuk kredensi pengguna root
- Batasi akses ke mekanisme pemulihan akun
- Amankan kredensi pengguna root akun Organizations Anda
- Memantau akses dan penggunaan
Amankan kredensi pengguna root Anda untuk mencegah penggunaan yang tidak sah
Amankan kredensi pengguna root Anda dan gunakan hanya untuk tugas-tugas yang membutuhkannya. Untuk membantu mencegah penggunaan yang tidak sah, jangan bagikan kata sandi pengguna root, MFA, kunci akses, pasangan kunci CloudFront , atau sertifikat penandatanganan dengan siapa pun, kecuali mereka yang memiliki kebutuhan bisnis yang ketat untuk mengakses pengguna root.
Jangan menyimpan kata sandi pengguna root dengan alat yang bergantung Layanan AWS pada akun yang diakses menggunakan kata sandi yang sama. Jika Anda kehilangan atau lupa kata sandi pengguna root Anda, Anda tidak akan dapat mengakses alat ini. Kami menyarankan Anda memprioritaskan ketahanan dan mempertimbangkan untuk mewajibkan dua orang atau lebih untuk mengotorisasi akses ke lokasi penyimpanan. Akses ke kata sandi atau lokasi penyimpanannya harus dicatat dan dipantau.
Gunakan kata sandi pengguna root yang kuat untuk membantu melindungi akses
Kami menyarankan Anda menggunakan kata sandi yang kuat dan unik. Alat seperti pengelola kata sandi dengan algoritme pembuatan kata sandi yang kuat dapat membantu Anda mencapai tujuan ini. AWS mengharuskan kata sandi Anda memenuhi ketentuan berikut:
-
Itu harus memiliki minimal 8 karakter dan maksimal 128 karakter.
-
Ini harus mencakup minimal tiga dari campuran tipe karakter berikut: huruf besar, huruf kecil, angka, dan! @ # $% ^ & * () <> [] {} | _+-= simbol.
-
Itu tidak boleh identik dengan Akun AWS nama atau alamat email Anda.
Untuk informasi selengkapnya, lihat Ubah kata sandi untuk Pengguna root akun AWS.
Amankan login pengguna root Anda dengan otentikasi multi-faktor (MFA)
Karena pengguna root dapat melakukan tindakan istimewa, sangat penting untuk menambahkan MFA untuk pengguna root sebagai faktor otentikasi kedua selain alamat email dan kata sandi sebagai kredensi masuk. Kami sangat menyarankan untuk mengaktifkan beberapa MFA untuk kredenal pengguna root Anda untuk memberikan fleksibilitas dan ketahanan tambahan dalam strategi keamanan Anda. Anda dapat mendaftarkan hingga delapan perangkat MFA dari kombinasi jenis MFA yang saat ini didukung dengan pengguna root Anda. Akun AWS
-
Kunci keamanan perangkat keras Bersertifikat FIDO disediakan oleh penyedia pihak ketiga. Untuk informasi selengkapnya, lihat Mengaktifkan kunci keamanan FIDO untuk pengguna Akun AWS root.
-
Perangkat keras yang menghasilkan kode numerik enam digit berdasarkan algoritma kata sandi satu kali berbasis waktu (TOTP). Untuk informasi selengkapnya, lihat Mengaktifkan token TOTP perangkat keras untuk pengguna Akun AWS root.
-
Aplikasi otentikator virtual yang berjalan di ponsel atau perangkat lain dan mengemulasi perangkat fisik. Untuk informasi selengkapnya, lihat Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root Anda.
Jangan membuat kunci akses untuk pengguna root
Kunci akses memungkinkan Anda menjalankan perintah di AWS Command Line Interface (AWS CLI) atau menggunakan operasi API dari salah satu AWS SDK. Kami sangat menyarankan agar Anda tidak membuat pasangan kunci akses untuk pengguna root Anda karena pengguna root memiliki akses penuh ke semua Layanan AWS dan sumber daya di akun, termasuk informasi penagihan.
Karena hanya beberapa tugas yang memerlukan pengguna root dan Anda biasanya jarang melakukan tugas-tugas tersebut, kami sarankan masuk ke AWS Management Console untuk melakukan tugas pengguna root. Sebelum membuat kunci akses, tinjau alternatif untuk kunci akses jangka panjang.
Gunakan persetujuan multi-orang untuk login pengguna root sedapat mungkin
Pertimbangkan untuk menggunakan persetujuan multi-orang untuk memastikan bahwa tidak ada satu orang pun yang dapat mengakses MFA dan kata sandi untuk pengguna root. Beberapa perusahaan menambahkan lapisan keamanan tambahan dengan menyiapkan satu grup administrator dengan akses ke kata sandi, dan grup administrator lain dengan akses ke MFA. Satu anggota dari setiap grup harus berkumpul untuk masuk sebagai pengguna root.
Menggunakan alamat email grup untuk kredensi pengguna root
Gunakan alamat email yang dikelola oleh bisnis Anda dan teruskan pesan yang diterima langsung ke sekelompok pengguna. Jika AWS harus menghubungi pemilik akun, pendekatan ini mengurangi risiko keterlambatan dalam menanggapi, bahkan jika individu sedang berlibur, sakit, atau telah meninggalkan bisnis. Alamat email yang digunakan untuk pengguna root tidak boleh digunakan untuk tujuan lain.
Batasi akses ke mekanisme pemulihan akun
Pastikan Anda mengembangkan proses untuk mengelola mekanisme pemulihan kredensi pengguna root jika Anda memerlukan akses ke sana selama keadaan darurat seperti pengambilalihan akun administratif Anda.
-
Pastikan Anda memiliki akses ke kotak masuk email pengguna root Anda sehingga Anda dapat mengatur ulang kata sandi pengguna root yang hilang atau terlupakan.
-
Jika MFA untuk pengguna Akun AWS root Anda hilang, rusak, atau tidak berfungsi, Anda dapat masuk menggunakan MFA lain yang terdaftar ke kredenal pengguna root yang sama. Jika Anda kehilangan akses ke semua LKM Anda, Anda memerlukan nomor telepon dan email yang digunakan untuk mendaftarkan akun Anda, agar mutakhir dan dapat diakses untuk memulihkan MFA Anda. Untuk detailnya, lihat Memulihkan perangkat MFA pengguna root.
-
Jika Anda memilih untuk tidak menyimpan kata sandi pengguna root dan MFA Anda, maka nomor telepon yang terdaftar di akun Anda dapat digunakan sebagai cara alternatif untuk memulihkan kredensi pengguna root. Pastikan Anda memiliki akses ke nomor telepon kontak, perbarui nomor telepon, dan batasi siapa yang memiliki akses untuk mengelola nomor telepon.
Tidak seorang pun harus memiliki akses ke kotak masuk email dan nomor telepon karena keduanya adalah saluran verifikasi untuk memulihkan kata sandi pengguna root Anda. Penting untuk memiliki dua kelompok individu yang mengelola saluran ini. Satu grup memiliki akses ke alamat email utama Anda dan grup lain yang memiliki akses ke nomor telepon utama untuk memulihkan akses ke akun Anda sebagai pengguna root.
Amankan kredensi pengguna root akun Organizations Anda
Saat Anda beralih ke strategi multi-akun dengan Organizations, masing-masing Akun AWS memiliki kredensi pengguna root sendiri yang perlu Anda amankan. Akun yang Anda gunakan untuk membuat organisasi Anda adalah akun manajemen dan akun lainnya di organisasi Anda adalah akun anggota.
Amankan kredensi pengguna root untuk akun anggota
Jika Anda menggunakan Organizations untuk mengelola beberapa akun, ada dua strategi yang dapat Anda ambil untuk mengamankan akses pengguna root di Organizations Anda.
-
Amankan kredensi pengguna root dari akun Organizations Anda dengan MFA.
-
Jangan mengatur ulang kata sandi pengguna root untuk akun Anda, dan hanya memulihkan akses ke sana bila diperlukan menggunakan proses reset kata sandi. Saat Anda membuat akun anggota di organisasi Anda, Organizations secara otomatis membuat peran IAM di akun anggota yang memungkinkan akun manajemen akses sementara ke akun anggota.
Untuk detailnya, lihat Mengakses akun anggota di organisasi Anda di Panduan Pengguna Organizations.
Menetapkan kontrol keamanan preventif di Organizations menggunakan kebijakan kontrol layanan (SCP)
Jika Anda menggunakan Organizations untuk mengelola beberapa akun, Anda dapat menerapkan SCP untuk membatasi akses ke pengguna root akun anggota. Menyangkal semua tindakan pengguna root di akun anggota Anda, kecuali untuk tindakan khusus root tertentu, membantu mencegah akses yang tidak sah. Untuk detailnya, lihat Menggunakan SCP untuk membatasi apa yang dapat dilakukan pengguna root di akun anggota Anda.
Memantau akses dan penggunaan
Kami menyarankan Anda menggunakan mekanisme pelacakan saat ini untuk memantau, memperingatkan, dan melaporkan login dan penggunaan kredenal pengguna root, termasuk peringatan yang mengumumkan login dan penggunaan pengguna root. Layanan berikut dapat membantu memastikan bahwa penggunaan kredensi pengguna root dilacak dan melakukan pemeriksaan keamanan yang dapat membantu mencegah penggunaan yang tidak sah.
-
Jika Anda ingin diberi tahu tentang aktivitas login pengguna root di akun Anda, Anda dapat memanfaatkan Amazon CloudWatch untuk membuat aturan Acara yang mendeteksi kapan kredensil pengguna root digunakan dan memicu pemberitahuan ke administrator keamanan Anda. Untuk detailnya, lihat Memantau dan memberi tahu aktivitas pengguna Akun AWS root
. -
Jika Anda ingin mengatur notifikasi untuk mengingatkan Anda tentang tindakan pengguna root yang disetujui, Anda dapat memanfaatkan Amazon EventBridge bersama dengan Amazon SNS untuk menulis EventBridge aturan untuk melacak penggunaan pengguna root untuk tindakan tertentu dan memberi tahu Anda menggunakan topik Amazon SNS. Sebagai contoh, lihat Mengirim pemberitahuan saat objek Amazon S3 dibuat.
-
Jika Anda sudah menggunakan GuardDuty sebagai layanan deteksi ancaman, Anda dapat memperluas kemampuannya untuk memberi tahu Anda ketika kredensi pengguna root digunakan di akun Anda.
Peringatan harus mencakup, tetapi tidak terbatas pada, alamat email untuk pengguna root. Memiliki prosedur untuk menanggapi peringatan sehingga personel yang menerima peringatan akses pengguna root memahami cara memvalidasi bahwa akses pengguna root diharapkan, dan bagaimana meningkatkan jika mereka yakin bahwa insiden keamanan sedang berlangsung. Untuk contoh cara mengonfigurasi peringatan, lihat Memantau dan memberi tahu aktivitas pengguna Akun AWS root
Evaluasi kepatuhan MFA pengguna root
-
AWS Config menggunakan aturan untuk membantu menegakkan praktik terbaik pengguna root. Anda dapat menggunakan aturan AWS terkelola untuk mengharuskan pengguna root mengaktifkan autentikasi multi-faktor (MFA). AWS Config juga dapat mengidentifikasi kunci akses untuk pengguna root.
-
Security Hub memberi Anda pandangan komprehensif tentang status keamanan Anda AWS dan membantu Anda menilai AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik, seperti memiliki MFA pada pengguna root dan tidak memiliki kunci akses pengguna root. Untuk detail tentang aturan yang tersedia, lihat AWS Identity and Access Management kontrol di Panduan Pengguna Security Hub.
-
Trusted Advisor menyediakan pemeriksaan keamanan sehingga Anda tahu apakah MFA tidak diaktifkan pada akun pengguna root. Untuk informasi selengkapnya, lihat MFA on Root Account di AWS Support User Guide.
Jika Anda perlu melaporkan masalah keamanan di akun, lihat Melaporkan Email Mencurigakan
