AWS kredensi keamanan - AWS Identity and Access Management
Pertimbangan keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kredensi keamanan

Ketika Anda berinteraksi AWS, Anda menentukan kredensi AWS keamanan Anda untuk memverifikasi siapa Anda dan apakah Anda memiliki izin untuk mengakses sumber daya yang Anda minta. AWS menggunakan kredensi keamanan untuk mengautentikasi dan mengotorisasi permintaan Anda.

Misalnya, jika ingin mengunduh file yang dilindungi dari bucket Amazon Simple Storage Service (Amazon S3), kredensial Anda harus mengizinkan akses tersebut. Jika kredensi Anda tidak menunjukkan bahwa Anda berwenang untuk mengunduh file, tolak permintaan Anda AWS . Namun, kredensi AWS keamanan Anda tidak diperlukan bagi Anda untuk mengunduh file di bucket Amazon S3 yang dibagikan secara publik.

Ada berbagai jenis pengguna di AWS, masing-masing dengan kredensi keamanan mereka sendiri:

  • Pemilik akun (pengguna root) — Pengguna yang membuat Akun AWS dan memiliki akses penuh.

  • AWS IAM Identity Center pengguna — Pengguna dikelola di AWS IAM Identity Center.

  • Pengguna federasi — Pengguna dari penyedia identitas eksternal yang diberikan akses sementara ke AWS melalui federasi. Untuk informasi lebih lanjut tentang identitas federasi, lihat. Penyedia dan federasi identitas

  • IAMpengguna — Pengguna individu yang dibuat dalam AWS Identity and Access Management (IAM) layanan.

Pengguna memiliki kredensi keamanan jangka panjang atau sementara. Pengguna root, IAM pengguna, dan kunci akses memiliki kredensi keamanan jangka panjang yang tidak kedaluwarsa. Untuk melindungi kredensi jangka panjang, ada proses untuk mengelola kunci akses, mengubah kata sandi, dan mengaktifkan. MFA

Untuk menyederhanakan pengelolaan kredensi pengguna root di seluruh akun anggota di AWS Organizations, Anda dapat mengamankan kredenal pengguna root secara terpusat dari penggunaan yang Anda kelola. Akun AWS AWS OrganizationsKelola akses root untuk akun anggota secara terpusatmemungkinkan Anda menghapus dan mencegah pemulihan kredensi pengguna root jangka panjang secara terpusat, mencegah akses root yang tidak diinginkan dalam skala besar.

IAMperan, pengguna di Pusat Identitas AWS IAM, dan pengguna federasi memiliki kredensi keamanan sementara. Kredensi keamanan sementara kedaluwarsa setelah jangka waktu tertentu atau ketika pengguna mengakhiri sesi mereka. Kredensi sementara bekerja hampir identik dengan kredensi jangka panjang, dengan perbedaan berikut:

  • Kredensial keamanan sementara bersifat jangka pendek, seperti namanya. Konfigurasi dapat berlangsung selama beberapa menit hingga beberapa jam. Setelah kredensialnya kedaluwarsa, AWS tidak lagi mengenalinya atau mengizinkan segala jenis akses dari API permintaan yang dibuat dengannya.

  • Kredensial keamanan sementara tidak disimpan dengan pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Ketika (atau bahkan sebelum) kredensial keamanan sementara kedaluwarsa, pengguna dapat meminta kredensial baru, selama pengguna yang memintanya masih memiliki izin untuk melakukannya.

Akibatnya, kredensi sementara memiliki keunggulan sebagai berikut dibandingkan kredensi jangka panjang:

  • Anda tidak perlu mendistribusikan atau menanamkan kredensi AWS keamanan jangka panjang dengan aplikasi.

  • Anda dapat memberikan akses ke AWS sumber daya Anda kepada pengguna tanpa harus menentukan AWS identitas untuk mereka. Kredensial sementara adalah dasar untuk peran dan federasi identitas.

  • Kredensi keamanan sementara memiliki masa pakai yang terbatas, jadi Anda tidak perlu memperbaruinya atau mencabutnya secara eksplisit saat tidak lagi diperlukan. Setelah kredensial keamanan sementara berakhir, kredensial tersebut tidak dapat digunakan kembali. Anda dapat menentukan berapa lama kredensial berlaku, hingga batas maksimum.

Pertimbangan keamanan

Kami menyarankan Anda mempertimbangkan informasi berikut saat menentukan ketentuan keamanan untuk Anda Akun AWS:

  • Saat Anda membuat Akun AWS, kami membuat pengguna root akun. Kredensi pengguna root (pemilik akun) memungkinkan akses penuh ke semua sumber daya di akun. Tugas pertama yang Anda lakukan dengan pengguna root adalah memberikan izin administratif pengguna lain kepada Anda Akun AWS sehingga Anda meminimalkan penggunaan pengguna root.

  • Otentikasi multi-faktor (MFA) memberikan tingkat keamanan ekstra bagi pengguna yang dapat mengakses Anda. Akun AWS Untuk keamanan tambahan, kami sarankan Anda meminta MFA Pengguna root akun AWS kredensialnya dan semua IAM pengguna. Untuk informasi selengkapnya, lihat AWS Otentikasi multi-faktor di IAM.

  • AWS memerlukan berbagai jenis kredensi keamanan, tergantung pada bagaimana Anda mengakses AWS dan jenis AWS pengguna Anda. Misalnya, Anda menggunakan kredenal masuk untuk AWS Management Console sementara Anda menggunakan kunci akses untuk melakukan panggilan terprogram. AWS Untuk bantuan menentukan jenis pengguna dan halaman login, lihat Apa itu AWS Masuk di AWS Sign-In Panduan Pengguna.

  • Anda tidak dapat menggunakan IAM kebijakan untuk menolak akses pengguna root ke sumber daya secara eksplisit. Anda hanya dapat menggunakan kebijakan kontrol AWS Organizations layanan (SCP) untuk membatasi izin pengguna root.

  • Jika Anda lupa atau kehilangan kata sandi pengguna root Anda, Anda harus memiliki akses ke alamat email yang terkait dengan akun Anda untuk mengatur ulang.

  • Jika Anda kehilangan kunci akses pengguna root Anda, Anda harus dapat masuk ke akun Anda sebagai pengguna root untuk membuat yang baru.

  • Jangan gunakan pengguna root untuk tugas sehari-hari Anda. Gunakan untuk melakukan tugas-tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna root.

  • Kredensial keamanan adalah khusus akun. Jika Anda memiliki akses ke beberapa Akun AWS, Anda memiliki kredensi terpisah untuk setiap akun.

  • Kebijakan menentukan tindakan apa yang dapat dilakukan pengguna, peran, atau anggota grup pengguna, pada AWS sumber daya mana, dan dalam kondisi apa. Dengan menggunakan kebijakan, Anda dapat mengontrol akses Layanan AWS dan sumber daya dengan aman di situs Anda Akun AWS. Jika Anda harus mengubah atau mencabut izin sebagai respons terhadap peristiwa keamanan, Anda menghapus atau mengubah kebijakan alih-alih membuat perubahan langsung pada identitas.

  • Pastikan untuk menyimpan kredensi masuk untuk IAM pengguna Akses Darurat Anda dan kunci akses apa pun yang Anda buat untuk akses terprogram di lokasi yang aman. Jika Anda kehilangan kunci akses, Anda harus masuk ke akun Anda untuk membuat yang baru.

  • Kami sangat menyarankan agar Anda menggunakan kredensi sementara yang disediakan oleh IAM peran dan pengguna federasi, bukan kredenal jangka panjang yang disediakan oleh IAM pengguna dan kunci akses.