Akun Manajemen Org - AWS Bimbingan Preskriptif
Kebijakan kontrol layananIAMPusat IdentitasIAMpenasihat aksesAWSSystems ManagerAWSControl TowerAWSArtifakPagar pembatas layanan keamanan terdistribusi dan terpusat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akun Manajemen Org

Mempengaruhi future of the AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat.

Diagram berikut menggambarkan layanan AWS keamanan yang dikonfigurasi di akun Manajemen Org.

Layanan keamanan untuk akun Manajemen Org

Bagian Menggunakan AWS Organizations for security dan Akun manajemen, akses tepercaya, dan administrator yang didelegasikan sebelumnya dalam panduan ini membahas tujuan dan tujuan keamanan akun Manajemen Org secara mendalam. Ikuti praktik terbaik keamanan untuk akun Manajemen Org Anda. Ini termasuk menggunakan alamat email yang dikelola oleh bisnis Anda, menjaga informasi kontak administratif dan keamanan yang benar (seperti melampirkan nomor telepon ke akun jika AWS perlu menghubungi pemilik akun), mengaktifkan otentikasi multi-faktor (MFA) untuk semua pengguna, dan secara teratur meninjau siapa yang memiliki akses ke akun Manajemen Org. Layanan yang digunakan di akun Manajemen Organisasi harus dikonfigurasi dengan peran yang sesuai, kebijakan kepercayaan, dan izin lainnya sehingga administrator layanan tersebut (yang harus mengaksesnya di akun Manajemen Org) juga tidak dapat mengakses layanan lain secara tidak tepat.

Kebijakan kontrol layanan

Dengan AWSOrganizations, Anda dapat mengelola kebijakan secara terpusat di beberapa AWS akun. Misalnya, Anda dapat menerapkan kebijakan kontrol layanan (SCPs) di beberapa AWS akun yang merupakan anggota organisasi. SCPsmemungkinkan Anda menentukan AWS layanan mana yang APIs dapat dan tidak dapat dijalankan oleh entitas AWSIdentity and Access Management (IAM) (seperti IAM pengguna dan peran) di AWS akun anggota organisasi Anda. SCPsdibuat dan diterapkan dari akun manajemen Org, yang merupakan AWS akun yang Anda gunakan saat Anda membuat organisasi. Baca selengkapnya SCPs di bagian Using AWS Organizations for security sebelumnya dalam referensi ini. 

Jika Anda menggunakan AWS Control Tower untuk mengelola AWS organisasi Anda, itu akan menggunakan satu set SCPs sebagai pagar pembatas pencegahan (dikategorikan sebagai wajib, sangat disarankan, atau elektif). Pagar pembatas ini membantu Anda mengatur sumber daya Anda dengan menegakkan kontrol keamanan di seluruh organisasi. Ini SCPs secara otomatis menggunakan aws-control-tower tag yang memiliki nilai managed-by-control-tower. 

Pertimbangan desain

  • SCPshanya mempengaruhi akun anggota dalam AWS organisasi. Meskipun mereka diterapkan dari akun Manajemen Org, mereka tidak berpengaruh pada pengguna atau peran dalam akun itu. Untuk mempelajari tentang cara kerja logika SCP evaluasi, dan untuk melihat contoh struktur yang direkomendasikan, lihat posting AWS blog Cara Menggunakan Kebijakan Kontrol Layanan di AWS Organizations.

IAMPusat Identitas

AWSIAMIdentity Center (penerus AWS Single Sign-On) adalah layanan federasi identitas yang membantu Anda mengelola SSO akses secara terpusat ke semua AWS akun, kepala sekolah, dan beban kerja cloud Anda. IAMPusat Identitas juga membantu Anda mengelola akses dan izin ke aplikasi perangkat lunak pihak ketiga sebagai layanan (SaaS) yang umum digunakan. Penyedia identitas berintegrasi dengan IAM Identity Center dengan menggunakan SAML 2.0. Massal dan just-in-time penyediaan dapat dilakukan dengan menggunakan System for Cross-Domain Identity Management (). SCIM IAMPusat Identitas juga dapat berintegrasi dengan domain AWS Microsoft Active Directory (AD) lokal atau terkelola sebagai penyedia identitas melalui penggunaan Directory ServiceAWS. IAMPusat Identitas mencakup portal pengguna tempat pengguna akhir Anda dapat menemukan dan mengakses AWS akun, peran, aplikasi cloud, dan aplikasi khusus mereka yang ditetapkan di satu tempat.

IAMIdentity Center terintegrasi secara native dengan AWS Organizations dan berjalan di akun Manajemen Org secara default. Namun, untuk menggunakan hak istimewa paling sedikit dan mengontrol akses ke akun manajemen dengan ketat, administrasi Pusat IAM Identitas dapat didelegasikan ke akun anggota tertentu. Dalam AWSSRA, akun Layanan Bersama adalah akun administrator yang didelegasikan untuk Pusat IAM Identitas. Sebelum Anda mengaktifkan administrasi yang didelegasikan untuk Pusat IAM Identitas, tinjau pertimbangan ini. Anda akan menemukan informasi lebih lanjut tentang delegasi di bagian akun Layanan Bersama. Bahkan setelah Anda mengaktifkan delegasi, Pusat IAM Identitas masih perlu dijalankan di akun Manajemen Org untuk melakukan tugas terkait Pusat IAM Identitas tertentu, yang mencakup mengelola set izin yang disediakan di akun Manajemen Org. 

Di dalam konsol Pusat IAM Identitas, akun ditampilkan oleh OU enkapsulasi mereka. Ini memungkinkan Anda untuk dengan cepat menemukan AWS akun Anda, menerapkan set izin umum, dan mengelola akses dari lokasi pusat. 

IAMPusat Identitas mencakup toko identitas tempat informasi pengguna tertentu harus disimpan. Namun, Pusat IAM Identitas tidak harus menjadi sumber otoritatif untuk informasi tenaga kerja. Dalam kasus di mana perusahaan Anda sudah memiliki sumber otoritatif, IAM Identity Center mendukung jenis penyedia identitas berikut (IdPs).

  • IAMToko Identitas Pusat Identitas - Pilih opsi ini jika dua opsi berikut tidak tersedia. Pengguna dibuat, penugasan grup dibuat, dan izin ditetapkan di toko identitas. Bahkan jika sumber otoritatif Anda berada di luar Pusat IAM Identitas, salinan atribut utama akan disimpan dengan toko identitas.

  • Microsoft Active Directory (AD) — Pilih opsi ini jika Anda ingin terus mengelola pengguna di direktori Anda di Directory Service untuk Microsoft Active Directory atau direktori yang dikelola sendiri di Active Directory. AWS

  • Penyedia identitas eksternal - Pilih opsi ini jika Anda lebih suka mengelola pengguna di IDP SAML berbasis pihak ketiga eksternal.

Anda dapat mengandalkan IDP yang sudah ada yang sudah ada di perusahaan Anda. Ini membuatnya lebih mudah untuk mengelola akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Misalnya, jika seseorang meninggalkan tim Anda, Anda dapat mencabut aksesnya ke semua aplikasi dan layanan (termasuk AWS akun) dari satu lokasi. Ini mengurangi kebutuhan akan banyak kredensil dan memberi Anda kesempatan untuk berintegrasi dengan proses sumber daya manusia (SDM) Anda.

Pertimbangan desain

  • Gunakan iDP eksternal jika opsi itu tersedia untuk perusahaan Anda. Jika IDP Anda mendukung System for Cross-Domain Identity Management (SCIM), manfaatkan SCIM kemampuan di Pusat IAM Identitas untuk mengotomatiskan penyediaan pengguna, grup, dan izin (sinkronisasi). Hal ini memungkinkan AWS akses untuk tetap sinkron dengan alur kerja perusahaan Anda untuk karyawan baru, karyawan yang pindah ke tim lain, dan karyawan yang meninggalkan perusahaan. Pada waktu tertentu, Anda hanya dapat memiliki satu direktori atau satu penyedia identitas SAML 2.0 yang terhubung ke Pusat IAM Identitas. Namun, Anda dapat beralih ke penyedia identitas lain.

IAMpenasihat akses

IAMAccess Advisor menyediakan data keterlacakan dalam bentuk layanan informasi yang terakhir diakses untuk akun Anda AWS dan. OUs Gunakan kontrol detektif ini untuk berkontribusi pada strategi hak istimewa yang paling tidak. Untuk IAM entitas, Anda dapat melihat dua jenis informasi yang terakhir diakses: informasi AWS layanan yang diizinkan dan informasi tindakan yang diizinkan. Informasi tersebut meliputi tanggal dan waktu saat percobaan dilakukan. 

IAMakses dalam akun Manajemen Org memungkinkan Anda melihat data layanan yang terakhir diakses untuk akun Manajemen Org, OU, akun anggota, atau IAM kebijakan di AWS organisasi Anda. Informasi ini tersedia di IAM konsol dalam akun manajemen dan juga dapat diperoleh secara terprogram dengan menggunakan penasihat IAM akses APIs di AWS Command Line Interface (AWSCLI) atau klien terprogram. Informasi tersebut menunjukkan penanggung jawab mana dalam suatu organisasi atau akun yang terakhir kali mencoba mengakses layanan dan kapan. Informasi yang diakses terakhir memberikan wawasan untuk penggunaan layanan aktual (lihat contoh skenario), sehingga Anda dapat mengurangi IAM izin hanya untuk layanan yang benar-benar digunakan.

AWSSystems Manager

Quick Setup dan Explorer, yang merupakan kemampuan AWSSystems Manager, keduanya mendukung AWS Organizations dan beroperasi dari akun Manajemen Org. 

Quick Setup adalah fitur otomatisasi Systems Manager. Ini memungkinkan akun Manajemen Org untuk dengan mudah menentukan konfigurasi untuk Systems Manager untuk terlibat atas nama Anda di seluruh akun di AWS organisasi Anda. Anda dapat mengaktifkan Pengaturan Cepat di seluruh AWS organisasi Anda atau memilih spesifikOUs. Penyiapan Cepat dapat menjadwalkan Agen Manajer AWS Sistem (SSMAgen) untuk menjalankan pembaruan dua mingguan pada EC2 instans Anda dan dapat mengatur pemindaian harian instance tersebut untuk mengidentifikasi tambalan yang hilang. 

Explorer adalah dasbor operasi yang dapat disesuaikan yang melaporkan informasi tentang sumber daya AndaAWS. Explorer menampilkan tampilan agregat data operasi untuk AWS akun Anda dan di seluruh AWS Wilayah. Ini termasuk data tentang EC2 instans Anda dan detail kepatuhan tambalan. Setelah menyelesaikan Penyiapan Terpadu (yang juga mencakup Systems Manager OpsCenter) dalam AWS Organizations, Anda dapat mengumpulkan data di Explorer oleh OU atau untuk seluruh AWS organisasi. Systems Manager mengumpulkan data ke akun Manajemen AWS Org sebelum menampilkannya di Explorer.

Bagian Workloads OU nanti dalam panduan ini membahas penggunaan Agen Systems Manager (SSMAgen) pada EC2 instans di akun Aplikasi.

AWSControl Tower

AWSControl Tower menyediakan cara mudah untuk mengatur dan mengatur AWS lingkungan multi-akun yang aman, yang disebut landing zone. AWSControl Tower membuat landing zone Anda dengan menggunakan AWS Organizations, dan menyediakan manajemen akun dan tata kelola yang berkelanjutan serta penerapan praktik terbaik. Anda dapat menggunakan AWS Control Tower untuk menyediakan akun baru dalam beberapa langkah sambil memastikan bahwa akun tersebut sesuai dengan kebijakan organisasi Anda. Anda bahkan dapat menambahkan akun yang ada ke lingkungan AWS Control Tower yang baru. 

AWSControl Tower memiliki serangkaian fitur yang luas dan fleksibel. Fitur utamanya adalah kemampuannya untuk mengatur kemampuan beberapa AWSlayanan lain, termasuk AWS Organizations, AWS Service Catalog, dan IAM Identity Center, untuk membangun landing zone. Misalnya, secara default AWS Control Tower menggunakan AWS CloudFormation untuk membuat baseline, kebijakan kontrol layanan AWS Organizations (SCPs) untuk mencegah perubahan konfigurasi, dan aturan AWS Config untuk terus mendeteksi ketidaksesuaian. AWSControl Tower menggunakan cetak biru yang membantu Anda menyelaraskan AWS lingkungan multi-akun dengan cepat dengan prinsip desain fondasi keamanan AWSWell Architected. Di antara fitur tata kelola, AWS Control Tower menawarkan pagar pembatas yang mencegah penyebaran sumber daya yang tidak sesuai dengan kebijakan yang dipilih. 

Anda dapat mulai menerapkan AWS SRA panduan dengan AWS Control Tower. Misalnya, AWS Control Tower membentuk AWS organisasi dengan arsitektur multi-akun yang direkomendasikan. Ini menyediakan cetak biru untuk menyediakan manajemen identitas, menyediakan akses federasi ke akun, memusatkan logging, membuat audit keamanan lintas akun, menentukan alur kerja untuk penyediaan akun baru, dan menerapkan dasar akun dengan konfigurasi jaringan. 

Di dalam AWSSRA, AWS Control Tower berada dalam akun Manajemen Org karena AWS Control Tower menggunakan akun ini untuk mengatur AWS organisasi secara otomatis dan menetapkan akun tersebut sebagai akun manajemen. Akun ini digunakan untuk penagihan di seluruh AWS organisasi Anda. Ini juga digunakan untuk penyediaan akun Account Factory, untuk mengelolaOUs, dan mengelola pagar pembatas. Jika Anda meluncurkan AWS Control Tower di AWS organisasi yang ada, Anda dapat menggunakan akun manajemen yang ada. AWSControl Tower akan menggunakan akun tersebut sebagai akun manajemen yang ditunjuk.

Pertimbangan desain

  • Jika Anda ingin melakukan baselining tambahan kontrol dan konfigurasi di seluruh akun Anda, Anda dapat menggunakan Customizations for Control AWS Tower (CFCT). Dengan CFCT, Anda dapat menyesuaikan landing zone AWS Control Tower Anda dengan menggunakan AWS CloudFormation templat dan kebijakan kontrol layanan (SCPs). Anda dapat menerapkan templat dan kebijakan khusus ke akun individual dan OUs di dalam organisasi Anda. CFCT terintegrasi dengan peristiwa siklus hidup AWS Control Tower untuk memastikan bahwa penerapan sumber daya tetap sinkron dengan landing zone Anda. 

AWSArtifak

AWSArtifact menyediakan akses sesuai permintaan ke laporan AWS keamanan dan kepatuhan dan perjanjian online tertentu. Laporan yang tersedia di AWS Artifact mencakup laporan Sistem dan Kontrol Organisasi (SOC), laporan Industri Kartu Pembayaran (PCI), dan sertifikasi dari badan akreditasi di seluruh wilayah geografi dan vertikal kepatuhan yang memvalidasi implementasi dan efektivitas pengoperasian kontrol keamanan. AWS AWSArtifact membantu Anda melakukan uji tuntas AWS dengan transparansi yang ditingkatkan ke dalam lingkungan kontrol keamanan kami. Ini juga memungkinkan Anda terus memantau keamanan dan kepatuhan AWS dengan akses langsung ke laporan baru. 

AWSPerjanjian Artifact memungkinkan Anda untuk meninjau, menerima, dan melacak status AWS perjanjian seperti Adendum Rekanan Bisnis (BAA) untuk akun individu dan untuk akun yang merupakan bagian dari organisasi Anda di Organizations. AWS 

Anda dapat memberikan artefak AWS audit kepada auditor atau regulator Anda sebagai bukti kontrol keamanan. AWS Anda juga dapat menggunakan panduan tanggung jawab yang disediakan oleh beberapa artefak AWS audit untuk merancang arsitektur cloud Anda. Panduan ini membantu menentukan kontrol keamanan tambahan yang dapat Anda lakukan untuk mendukung kasus penggunaan spesifik sistem Anda. 

AWSArtefak dihosting di akun Manajemen Org untuk menyediakan lokasi pusat tempat Anda dapat meninjau, menerima, dan mengelola perjanjian dengannyaAWS. Ini karena perjanjian yang diterima di akun manajemen mengalir ke akun anggota. 

Pertimbangan desain

  • Pengguna dalam akun Manajemen Organisasi harus dibatasi untuk hanya menggunakan fitur Perjanjian AWS Artifact dan tidak ada yang lain. Untuk menerapkan pemisahan tugas, AWS Artifact juga di-host di akun Security Tooling tempat Anda dapat mendelegasikan izin kepada pemangku kepentingan kepatuhan dan auditor eksternal untuk mengakses artefak audit. Anda dapat menerapkan pemisahan ini dengan mendefinisikan kebijakan izin berbutir halusIAM. Sebagai contoh, lihat Contoh IAM kebijakan dalam AWS dokumentasi.

Pagar pembatas layanan keamanan terdistribusi dan terpusat

Di AWSSRA, AWS Security Hub, Amazon, AWS Config GuardDuty, IAM Access Analyzer, jejak AWS CloudTrail organisasi, dan sering kali Amazon Macie digunakan dengan administrasi atau agregasi yang didelegasikan yang sesuai ke akun Security Tooling. Ini memungkinkan serangkaian pagar pembatas yang konsisten di seluruh akun dan juga menyediakan pemantauan, manajemen, dan tata kelola terpusat di seluruh organisasi Anda. AWS Anda akan menemukan grup layanan ini di setiap jenis akun yang diwakili dalam AWSSRA. Ini harus menjadi bagian dari AWS layanan yang harus disediakan sebagai bagian dari proses orientasi dan baselining akun Anda. Repositori GitHub kode menyediakan contoh implementasi layanan yang AWS berfokus pada keamanan di seluruh akun Anda, termasuk akun Manajemen Org. AWS 

Selain layanan ini, AWS SRA mencakup dua layanan yang berfokus pada keamanan, Amazon Detective dan Audit AWS Manager, yang mendukung integrasi dan fungsi administrator yang didelegasikan di Organizations. AWS Namun, itu tidak termasuk sebagai bagian dari layanan yang direkomendasikan untuk baselining akun. Kami telah melihat bahwa layanan ini paling baik digunakan dalam skenario berikut:

  • Anda memiliki tim atau kelompok sumber daya khusus yang menjalankan fungsi forensik digital dan audit TI tersebut. Amazon Detective paling baik digunakan oleh tim analis keamanan, dan AWS Audit Manager sangat membantu tim audit atau kepatuhan internal Anda.

  • Anda ingin fokus pada seperangkat alat inti seperti GuardDuty dan Security Hub di awal proyek Anda, dan kemudian membangunnya dengan menggunakan layanan yang menyediakan kemampuan tambahan.