IAMsumber daya

Mempengaruhi future of the AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat

Meskipun AWS Identity and Access Management (IAM) bukan layanan yang termasuk dalam diagram arsitektur tradisional, ia menyentuh setiap aspek AWS organisasi, AWS akun, dan AWS layanan. Anda tidak dapat menerapkan AWS layanan apa pun tanpa membuat IAM entitas dan memberikan izin terlebih dahulu. Penjelasan lengkap IAM adalah di luar cakupan dokumen ini, tetapi bagian ini memberikan ringkasan penting dari rekomendasi praktik terbaik dan petunjuk untuk sumber daya tambahan.

Untuk praktik IAM terbaik, lihat Praktik terbaik keamanan IAM dalam AWS dokumentasi, IAMartikel di blog AWS Keamanan, dan presentasi AWSRe:invent.
Pilar keamanan Well-Architected menguraikan langkah-langkah kunci dalam proses manajemen izin: menentukan pagar pembatas izin, memberikan akses hak istimewa paling sedikit, menganalisis akses publik dan lintas akun, berbagi sumber daya dengan aman, mengurangi izin terus menerus, dan membuat proses akses darurat. AWS
Tabel berikut dan catatan yang menyertainya memberikan gambaran tingkat tinggi tentang panduan yang direkomendasikan tentang jenis kebijakan IAM izin yang tersedia dan cara menggunakannya dalam arsitektur keamanan Anda. Untuk mempelajari lebih lanjut, lihat video AWS re:Invent 2020 tentang memilih campuran kebijakan yang tepat. IAM

Kasus penggunaan atau kebijakan	Efek	Dikelola oleh	Tujuan	Berkaitan dengan	Mempengaruhi	Dikerahkan di
Kebijakan kontrol layanan (SCPs)	Membatasi	Tim pusat, seperti platform atau tim keamanan [1]	Pagar pembatas, tata kelola	Organisasi, OU, akun	Semua kepala sekolah di Organisasi, OU, dan akun	Akun Manajemen Org [2]
Kebijakan otomatisasi akun dasar (IAMperan yang digunakan oleh platform untuk mengoperasikan akun)	Hibah dan batasi	Tim pusat, seperti platform, keamanan, atau IAM tim [1]	Izin untuk peran otomatisasi non-beban kerja (dasar) [3]	Akun tunggal [4]	Prinsipal yang digunakan oleh otomatisasi dalam akun anggota	Akun anggota
Kebijakan manusia dasar (IAMperan yang memberikan izin kepada pengguna untuk melakukan pekerjaan mereka)	Hibah dan batasi	Tim pusat, seperti platform, keamanan, atau IAM tim [1]	Izin untuk peran manusia [5]	Akun tunggal [4]	Prinsipal federasi [5] dan IAM pengguna [6]	Akun anggota
Batas izin (izin maksimum yang dapat ditetapkan oleh pengembang yang diberdayakan ke prinsipal lain)	Membatasi	Tim pusat, seperti platform, keamanan, atau IAM tim [1]	Pagar pembatas untuk peran aplikasi (harus diterapkan)	Akun tunggal [4]	Peran individu untuk aplikasi atau beban kerja di akun ini [7]	Akun anggota
Kebijakan peran mesin untuk aplikasi (peran yang melekat pada infrastruktur yang digunakan oleh pengembang)	Hibah dan batasi	Delegasikan ke pengembang [8]	Izin untuk aplikasi atau beban kerja [9]	Akun tunggal	Prinsipal dalam akun ini	Akun anggota
Kebijakan sumber daya	Hibah dan batasi	Delegasikan ke pengembang [8,10]	Izin untuk sumber daya	Akun tunggal	Seorang kepala sekolah dalam sebuah akun [11]	Akun anggota

Catatan dari tabel:

Perusahaan memiliki banyak tim terpusat (seperti platform cloud, operasi keamanan, atau tim manajemen identitas dan akses) yang membagi tanggung jawab kontrol independen ini, dan peer review kebijakan satu sama lain. Contoh dalam tabel adalah placeholder. Anda perlu menentukan pemisahan tugas yang paling efektif untuk perusahaan Anda.
Untuk menggunakannyaSCPs, Anda harus mengaktifkan semua fitur dalam AWS Organizations.
Peran dan kebijakan dasar umum umumnya diperlukan untuk mengaktifkan otomatisasi, seperti izin untuk pipeline, alat penerapan, alat pemantauan (misalnya, aturan AWS Lambda dan AWS Config), dan izin lainnya. Konfigurasi ini biasanya dikirimkan saat akun disediakan.
Meskipun ini berkaitan dengan sumber daya (seperti peran atau kebijakan) dalam satu akun, mereka dapat direplikasi atau digunakan ke beberapa akun dengan menggunakan. AWS CloudFormation StackSets
Tentukan seperangkat inti peran manusia dasar dan kebijakan yang diterapkan ke semua akun anggota oleh tim pusat (seringkali selama penyediaan akun). Contohnya termasuk pengembang di tim platform, IAM tim, dan tim audit keamanan.
Gunakan federasi identitas (bukan IAM pengguna lokal) bila memungkinkan.
Batas izin digunakan oleh administrator yang didelegasikan. IAMKebijakan ini menetapkan izin maksimum dan mengesampingkan kebijakan lain (termasuk “*:*” kebijakan yang mengizinkan semua tindakan pada sumber daya). Batas izin harus diperlukan dalam kebijakan dasar manusia sebagai syarat untuk membuat peran (seperti peran kinerja beban kerja) dan untuk melampirkan kebijakan. Konfigurasi tambahan seperti SCPs menegakkan lampiran batas izin.
Ini mengasumsikan bahwa pagar pembatas yang cukup (misalnya, SCPs dan batas izin) telah diterapkan.
Kebijakan opsional ini dapat disampaikan selama penyediaan akun atau sebagai bagian dari proses pengembangan aplikasi. Izin untuk membuat dan melampirkan kebijakan ini akan diatur oleh izin pengembang aplikasi sendiri.
Selain izin akun lokal, tim terpusat (seperti tim platform cloud atau tim operasi keamanan) sering mengelola beberapa kebijakan berbasis sumber daya untuk mengaktifkan akses lintas akun untuk mengoperasikan akun (misalnya, untuk menyediakan akses ke bucket S3 untuk pencatatan).
IAMKebijakan berbasis sumber daya dapat merujuk pada prinsipal apa pun di akun apa pun untuk mengizinkan atau menolak akses ke sumber dayanya. Bahkan dapat merujuk ke kepala sekolah anonim untuk mengaktifkan akses publik.

Memastikan bahwa IAM identitas hanya memiliki izin yang diperlukan untuk serangkaian tugas yang digambarkan dengan baik sangat penting untuk mengurangi risiko penyalahgunaan izin yang berbahaya atau tidak disengaja. Membangun dan mempertahankan model hak istimewa terkecil membutuhkan rencana yang disengaja untuk terus memperbarui, mengevaluasi, dan mengurangi kelebihan hak istimewa. Berikut adalah beberapa rekomendasi tambahan untuk rencana itu:

Gunakan model tata kelola organisasi Anda dan selera risiko yang ditetapkan untuk menetapkan pagar pembatas dan batas izin tertentu.
Menerapkan hak istimewa terkecil melalui proses berulang yang terus-menerus. Ini bukan latihan satu kali.
Gunakan SCPs untuk mengurangi risiko yang dapat ditindaklanjuti. Ini dimaksudkan untuk menjadi pagar pembatas yang luas, bukan kontrol yang ditargetkan secara sempit.
Gunakan batas izin untuk mendelegasikan IAM administrasi dengan cara yang lebih aman.
- Pastikan bahwa administrator yang didelegasikan melampirkan kebijakan IAM batas yang sesuai ke peran dan pengguna yang mereka buat.
Sebagai defense-in-depth pendekatan (dalam hubungannya dengan kebijakan berbasis identitas), gunakan kebijakan berbasis sumber daya untuk menolak akses luas ke sumber dayaIAM.
Gunakan penasihat IAM akses, AWS CloudTrail AWS IAM Access Analyzer, dan perkakas terkait untuk secara teratur menganalisis penggunaan historis dan izin yang diberikan. Segera pulihkan izin berlebih yang jelas.
Cakupan tindakan luas ke sumber daya tertentu jika berlaku alih-alih menggunakan tanda bintang sebagai wildcard untuk menunjukkan semua sumber daya.
Menerapkan mekanisme untuk mengidentifikasi, meninjau, dan menyetujui pengecualian IAM kebijakan dengan cepat berdasarkan permintaan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membangun arsitektur keamanan Anda — Pendekatan bertahap

Repositori kode untuk contoh AWS SRA