Kontrol Security Hub untuk IAM - AWS Security Hub
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus[IAM.9] MFA harus diaktifkan untuk pengguna root[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki urasi yang kuat AWS Config[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM[IAM.20] Hindari penggunaan pengguna root[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus[IAM.23] Penganalisis Akses IAM harus ditandai[IAM.24] Peran IAM harus ditandai[IAM.25] Pengguna IAM harus diberi tag[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess [IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk IAM

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya AWS Identity and Access Management (IAM).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh

Persyaratan terkait: PCI DSS v3.2.1/7.2.1, Tolok Ukur AWS Yayasan CIS v1.2.0/1.22, Tolok Ukur AWS Yayasan CIS v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15), (7),, NIST.800-53.r5 AC-2, (10), (2) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::IAM::Policy

AWS Config aturan: iam-policy-no-statements-with-admin-access

Jenis jadwal: Perubahan dipicu

Parameter:

  • excludePermissionBoundaryPolicy: true(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah versi default kebijakan IAM (juga dikenal sebagai kebijakan yang dikelola pelanggan) memiliki akses administrator dengan menyertakan pernyataan dengan "Effect": "Allow" with "Action": "*" over"Resource": "*". Kontrol gagal jika Anda memiliki kebijakan IAM dengan pernyataan seperti itu.

Kontrol hanya memeriksa kebijakan terkelola pelanggan yang Anda buat. Itu tidak memeriksa kebijakan sebaris dan AWS terkelola.

Kebijakan IAM mendefinisikan serangkaian hak istimewa yang diberikan kepada pengguna, grup, atau peran. Mengikuti saran keamanan standar, AWS merekomendasikan agar Anda memberikan hak istimewa paling sedikit, yang berarti hanya memberikan izin yang diperlukan untuk melakukan tugas. Bila Anda memberikan hak administratif penuh alih-alih set izin minimum yang dibutuhkan pengguna, Anda mengekspos sumber daya ke tindakan yang mungkin tidak diinginkan.

Alih-alih mengizinkan hak administratif penuh, tentukan apa yang perlu dilakukan pengguna dan kemudian buat kebijakan yang memungkinkan pengguna hanya melakukan tugas-tugas tersebut. Lebih aman untuk memulai dengan set izin minimum dan memberikan izin tambahan seperlunya. Jangan mulai dengan izin yang terlalu lunak dan kemudian coba kencangkan nanti.

Anda harus menghapus kebijakan IAM yang memiliki pernyataan dengan "Effect": "Allow" with "Action": "*" over"Resource": "*".

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Untuk mengubah kebijakan IAM Anda sehingga tidak mengizinkan hak administratif “*” penuh, lihat Mengedit kebijakan IAM di Panduan Pengguna IAM.

[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan

Persyaratan terkait: PCI DSS v3.2.1/7.2.1, Tolok Ukur AWS Yayasan CIS v3.0.0/1.15, Tolok Ukur Yayasan CIS AWS v1.2.0/1.16,, (1),, (15), (7),, (3) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: iam-user-no-policies-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kebijakan yang dilampirkan. Kontrol gagal jika pengguna IAM Anda memiliki kebijakan yang dilampirkan. Sebagai gantinya, pengguna IAM harus mewarisi izin dari grup IAM atau mengambil peran.

Secara default, pengguna IAM, grup, dan peran tidak memiliki akses ke AWS sumber daya. Kebijakan IAM memberikan hak istimewa kepada pengguna, grup, atau peran. Kami menyarankan Anda menerapkan kebijakan IAM secara langsung ke grup dan peran tetapi tidak untuk pengguna. Menetapkan hak istimewa di grup atau tingkat peran mengurangi kompleksitas manajemen akses seiring bertambahnya jumlah pengguna. Mengurangi kompleksitas manajemen akses pada gilirannya dapat mengurangi kesempatan bagi kepala sekolah untuk secara tidak sengaja menerima atau mempertahankan hak istimewa yang berlebihan.

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Untuk mengatasi masalah ini, buat grup IAM, dan lampirkan kebijakan ke grup. Kemudian, tambahkan pengguna ke grup. Kebijakan ini diterapkan untuk setiap pengguna dalam grup. Untuk menghapus kebijakan yang dilampirkan langsung ke pengguna, lihat Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna IAM.

[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.14, Tolok Ukur Yayasan CIS v1.4.0/1.14, Tolok Ukur AWS Yayasan CIS v1.2.0/1.4, (1), (3), NIST.800-53.r5 AC-2 (15), PCI DSS AWS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: access-keys-rotated

Jenis jadwal: Periodik

Parameter:

  • maxAccessKeyAge: 90 (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kunci akses aktif diputar dalam 90 hari.

Kami sangat menyarankan agar Anda tidak membuat dan menghapus semua kunci akses di akun Anda. Sebaliknya, praktik terbaik yang disarankan adalah membuat satu atau lebih peran IAM atau menggunakan federasi melalui AWS IAM Identity Center. Anda dapat menggunakan metode ini untuk memungkinkan pengguna Anda mengakses AWS Management Console dan AWS CLI.

Setiap pendekatan memiliki kasus penggunaannya. Federasi umumnya lebih baik untuk perusahaan yang memiliki direktori pusat yang ada atau berencana untuk membutuhkan lebih dari batas saat ini pada pengguna IAM. Aplikasi yang berjalan di luar AWS lingkungan membutuhkan kunci akses untuk akses terprogram ke AWS sumber daya.

Namun, jika sumber daya yang membutuhkan akses terprogram berjalan di dalam AWS, praktik terbaik adalah menggunakan peran IAM. Peran memungkinkan Anda untuk memberikan akses sumber daya tanpa hardcoding ID kunci akses dan kunci akses rahasia ke dalam konfigurasi.

Untuk mempelajari selengkapnya tentang melindungi kunci akses dan akun Anda, lihat Praktik terbaik untuk mengelola kunci AWS akses di Referensi Umum AWS. Lihat juga pedoman posting blog untuk melindungi Anda Akun AWS saat menggunakan akses terprogram.

Jika Anda sudah memiliki kunci akses, Security Hub merekomendasikan agar Anda memutar kunci akses setiap 90 hari. Memutar kunci akses mengurangi kemungkinan kunci akses yang terkait dengan akun yang disusupi atau dihentikan digunakan. Ini juga memastikan bahwa data tidak dapat diakses dengan kunci lama yang mungkin telah hilang, retak, atau dicuri. Selalu perbarui aplikasi Anda setelah Anda memutar tombol akses.

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia. Mereka digunakan untuk menandatangani permintaan terprogram yang Anda buat. AWS Pengguna memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram AWS dari AWS CLI, Alat untuk Windows PowerShell AWS SDKs, atau panggilan HTTP langsung menggunakan operasi API untuk individu Layanan AWS.

Jika organisasi Anda menggunakan AWS IAM Identity Center (Pusat Identitas IAM), pengguna Anda dapat masuk ke Active Directory, direktori Pusat Identitas IAM bawaan, atau penyedia identitas lain (iDP) yang terhubung ke Pusat Identitas IAM. Mereka kemudian dapat dipetakan ke peran IAM yang memungkinkan mereka menjalankan AWS CLI perintah atau memanggil operasi AWS API tanpa perlu kunci akses. Untuk mempelajari selengkapnya, lihat Mengonfigurasi yang AWS CLI akan digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna.

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Untuk memutar tombol akses yang lebih tua dari 90 hari, lihat Memutar kunci akses di Panduan Pengguna IAM. Ikuti petunjuk untuk setiap pengguna dengan usia kunci Access lebih dari 90 hari.

[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.4, Tolok Ukur AWS Yayasan CIS v1.4.0/1.4, Tolok Ukur Yayasan CIS AWS v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7),, (10), (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-root-access-key-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah kunci akses pengguna root ada.

Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. AWS kunci akses menyediakan akses terprogram ke akun tertentu.

Security Hub merekomendasikan agar Anda menghapus semua kunci akses yang terkait dengan pengguna root. Ini membatasi vektor yang dapat digunakan untuk membahayakan akun Anda. Ini juga mendorong pembuatan dan penggunaan akun berbasis peran yang paling tidak memiliki hak istimewa.

Remediasi

Untuk menghapus kunci akses pengguna root, lihat Menghapus kunci akses untuk pengguna root di Panduan Pengguna IAM. Untuk menghapus kunci akses pengguna root dari Akun AWS dalam AWS GovCloud (US), lihat Menghapus kunci akses pengguna root AWS GovCloud (US) akun saya di Panduan AWS GovCloud (US) Pengguna.

[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.10, Tolok Ukur AWS Yayasan CIS v1.4.0/1.10, Tolok Ukur AWS Yayasan CIS v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), PCI NIST.800-53.r5 AC-3 DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: mfa-enabled-for-iam-console-access

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah otentikasi AWS multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang menggunakan kata sandi konsol.

Otentikasi multi-faktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, ketika pengguna masuk ke AWS situs web, mereka diminta untuk nama pengguna dan kata sandi mereka. Selain itu, mereka diminta untuk kode otentikasi dari perangkat MFA AWS mereka.

Kami menyarankan Anda mengaktifkan MFA untuk semua akun yang memiliki kata sandi konsol. MFA dirancang untuk memberikan peningkatan keamanan untuk akses konsol. Prinsipal otentikasi harus memiliki perangkat yang memancarkan kunci sensitif waktu dan harus memiliki pengetahuan tentang kredensi.

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Untuk menambahkan MFA bagi pengguna IAM, lihat Menggunakan otentikasi multi-faktor (MFA) di Panduan Pengguna IAM. AWS

Kami menawarkan kunci keamanan MFA gratis untuk pelanggan yang memenuhi syarat. Lihat apakah Anda memenuhi syarat, dan pesan kunci gratis Anda.

[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.6, Tolok Ukur AWS Yayasan CIS v1.4.0/1.6, Tolok Ukur AWS Yayasan CIS v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::::Account

AWS Config aturan: root-account-hardware-mfa-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Anda Akun AWS diaktifkan untuk menggunakan perangkat autentikasi multi-faktor perangkat keras (MFA) untuk masuk dengan kredenal pengguna root. Kontrol gagal jika MFA tidak diaktifkan atau jika ada perangkat MFA virtual yang diizinkan untuk masuk dengan kredensyal pengguna root.

MFA virtual mungkin tidak memberikan tingkat keamanan yang sama dengan perangkat MFA perangkat keras. Kami menyarankan Anda hanya menggunakan perangkat MFA virtual saat Anda menunggu persetujuan pembelian perangkat keras atau perangkat keras Anda tiba. Untuk mempelajari selengkapnya, lihat Mengaktifkan perangkat virtual multi-faktor otentikasi (MFA) (konsol) di Panduan Pengguna IAM.

Baik token kata sandi satu kali berbasis waktu (TOTP) dan Universal 2nd Factor (U2F) dapat digunakan sebagai opsi MFA perangkat keras.

Remediasi

Untuk menambahkan perangkat MFA perangkat keras untuk pengguna root, lihat Mengaktifkan perangkat MFA perangkat keras untuk pengguna Akun AWS root (konsol) di Panduan Pengguna IAM.

Kami menawarkan kunci keamanan MFA gratis untuk pelanggan yang memenuhi syarat. Lihat apakah Anda memenuhi syarat, dan pesan kunci gratis Anda.

[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat

Persyaratan terkait: NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), NIST.800-53.r5 AC-3 (1), PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7 NIST.800-53.r5 IA-5

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

RequireUppercaseCharacters

Memerlukan setidaknya satu karakter huruf besar dalam kata sandi

Boolean

true atau false

true

RequireLowercaseCharacters

Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi

Boolean

true atau false

true

RequireSymbols

Memerlukan setidaknya satu simbol dalam kata sandi

Boolean

true atau false

true

RequireNumbers

Memerlukan setidaknya satu nomor dalam kata sandi

Boolean

true atau false

true

MinimumPasswordLength

Jumlah minimum karakter dalam kata sandi

Bilangan Bulat

8 untuk 128

8

PasswordReusePrevention

Jumlah rotasi kata sandi sebelum kata sandi lama dapat digunakan kembali

Bilangan Bulat

12 untuk 24

Tidak ada nilai default

MaxPasswordAge

Jumlah hari sebelum kedaluwarsa kata sandi

Bilangan Bulat

1 untuk 90

Tidak ada nilai default

Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM menggunakan konfigurasi yang kuat. Kontrol gagal jika kebijakan kata sandi tidak menggunakan konfigurasi yang kuat. Kecuali Anda memberikan nilai parameter khusus, Security Hub menggunakan nilai default yang disebutkan dalam tabel sebelumnya. MaxPasswordAgeParameter PasswordReusePrevention dan tidak memiliki nilai default, jadi jika Anda mengecualikan parameter ini, Security Hub mengabaikan jumlah rotasi kata sandi dan usia kata sandi saat mengevaluasi kontrol ini.

Untuk mengakses AWS Management Console, pengguna IAM memerlukan kata sandi. Sebagai praktik terbaik, Security Hub sangat merekomendasikan bahwa alih-alih membuat pengguna IAM, Anda menggunakan federasi. Federasi memungkinkan pengguna untuk menggunakan kredensi perusahaan mereka yang ada untuk masuk ke. AWS Management Console Gunakan AWS IAM Identity Center (IAM Identity Center) untuk membuat atau menyatukan pengguna, dan kemudian mengambil peran IAM ke dalam akun.

Untuk mempelajari lebih lanjut tentang penyedia identitas dan federasi, lihat Penyedia identitas dan federasi di Panduan Pengguna IAM. Untuk mempelajari selengkapnya tentang Pusat Identitas IAM, lihat Panduan AWS IAM Identity Center Pengguna.

Jika Anda perlu menggunakan pengguna IAM, Security Hub menyarankan agar Anda menerapkan pembuatan kata sandi pengguna yang kuat. Anda dapat menetapkan kebijakan kata sandi Akun AWS untuk menentukan persyaratan kompleksitas dan periode rotasi wajib untuk kata sandi. Saat Anda membuat atau mengubah kebijakan kata sandi, sebagian besar pengaturan kebijakan kata sandi diberlakukan saat pengguna mengubah kata sandi mereka berikutnya. Beberapa pengaturan diberlakukan segera.

Remediasi

Untuk memperbarui kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM.

[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus

Persyaratan terkait: PCI DSS v3.2.1/8.1.4, PCI DSS v4.0.1/8.2.6, Tolok Ukur AWS Yayasan CIS v1.2.0/1.3,, (1), (3),, (15), (7), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: iam-user-unused-credentials-check

Jenis jadwal: Periodik

Parameter:

  • maxCredentialUsageAge: 90 (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 90 hari.

Pengguna IAM dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensyal, seperti kata sandi atau kunci akses.

Security Hub menyarankan agar Anda menghapus atau menonaktifkan semua kredensyal yang tidak digunakan selama 90 hari atau lebih. Menonaktifkan atau menghapus kredensi yang tidak perlu mengurangi jendela peluang untuk kredensi yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Saat Anda melihat informasi pengguna di konsol IAM, ada kolom untuk usia kunci Access, Usia kata sandi, dan Aktivitas terakhir. Jika nilai di salah satu kolom ini lebih besar dari 90 hari, buat kredensyal untuk pengguna tersebut tidak aktif.

Anda juga dapat menggunakan laporan kredensyal untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 90 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam .csv format dari konsol IAM.

Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat Membuat, mengubah, atau menghapus kata sandi pengguna (konsol) IAM di Panduan Pengguna IAM.

[IAM.9] MFA harus diaktifkan untuk pengguna root

Persyaratan terkait: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, Tolok Ukur Yayasan CIS v3.0.0/1.5, Tolok Ukur AWS Yayasan CIS v1.4.0/1.5, Tolok Ukur AWS Yayasan CIS v1.2.0/1.13, (1), (15), (1), (2), (6), (8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::::Account

AWS Config aturan: root-account-mfa-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Pengguna root memiliki akses lengkap ke semua layanan dan sumber daya dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, ketika pengguna masuk ke AWS Management Console, mereka diminta untuk nama pengguna dan kata sandi mereka dan untuk kode otentikasi dari perangkat MFA mereka. AWS

Ketika Anda menggunakan MFA virtual untuk pengguna root, CIS merekomendasikan bahwa perangkat yang digunakan bukan perangkat pribadi. Sebagai gantinya, gunakan perangkat seluler khusus (tablet atau ponsel) yang Anda kelola untuk tetap terisi daya dan diamankan terlepas dari perangkat pribadi individu mana pun. Ini mengurangi risiko kehilangan akses ke MFA karena kehilangan perangkat, pertukaran perangkat, atau jika individu yang memiliki perangkat tidak lagi dipekerjakan di perusahaan.

Remediasi

Untuk mengaktifkan MFA bagi pengguna root, lihat Aktifkan MFA pada pengguna Akun AWS root di Panduan Referensi Manajemen AWS Akun.

[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki urasi yang kuat AWS Config

Persyaratan terkait: PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5, PCI DSS v4.0.1/8.3.6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM menggunakan konfigurasi DSS PCI minimum berikut.

  • RequireUppercaseCharacters— Memerlukan setidaknya satu karakter huruf besar dalam kata sandi. (Default = true)

  • RequireLowercaseCharacters— Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi. (Default = true)

  • RequireNumbers— Memerlukan setidaknya satu nomor dalam kata sandi. (Default = true)

  • MinimumPasswordLength— Panjang minimum kata sandi. (Default = 7 atau lebih)

  • PasswordReusePrevention— Jumlah kata sandi sebelum mengizinkan penggunaan kembali. (Default = 4)

  • MaxPasswordAge— Jumlah hari sebelum kedaluwarsa kata sandi. (Default = 90)

Remediasi

Untuk memperbarui kebijakan kata sandi agar menggunakan konfigurasi yang disarankan, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM.

[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/1.5, PCI DSS v4.0.1/8.3.6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf besar. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

Remediasi

Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM. Untuk kekuatan Kata Sandi, pilih Memerlukan setidaknya satu huruf besar dari alfabet Latin (A—Z).

[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/1.6, PCI DSS v4.0.1/8.3.6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda. CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf kecil. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

Remediasi

Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM. Untuk kekuatan Kata Sandi, pilih Memerlukan setidaknya satu huruf kecil dari alfabet Latin (A—Z).

[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/1.7, PCI DSS v4.0.1/8.3.6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu simbol. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

Remediasi

Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM. Untuk kekuatan Password, pilih Memerlukan setidaknya satu karakter nonalfanumerik.

[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/1.8, PCI DSS v4.0.1/8.3.6

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu nomor. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

Remediasi

Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM. Untuk kekuatan Password, pilih Memerlukan setidaknya satu nomor.

[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.8, Tolok Ukur Yayasan CIS v1.4.0/1.8, Tolok Ukur AWS Yayasan CIS v1.2.0/1.9 AWS

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi setidaknya memiliki panjang tertentu.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan panjang kata sandi minimum 14 karakter. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

Remediasi

Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM. Untuk panjang minimum Kata Sandi, masukkan 14 atau nomor yang lebih besar.

[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.9, Tolok Ukur Yayasan CIS v1.4.0/1.9, Tolok Ukur AWS Yayasan CIS v1.2.0/1.10, PCI DSS v4.0.1/8.3.7 AWS

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah jumlah kata sandi yang harus diingat diatur ke 24. Kontrol gagal jika nilainya tidak 24.

Kebijakan kata sandi IAM dapat mencegah penggunaan kembali kata sandi yang diberikan oleh pengguna yang sama.

CIS merekomendasikan agar kebijakan kata sandi mencegah penggunaan kembali kata sandi. Mencegah penggunaan kembali kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

Remediasi

Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM. Untuk Mencegah penggunaan kembali kata sandi, masukkan24.

[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/1.11, PCI DSS v4.0.1/8.3.9

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-password-policy

Jenis jadwal: Periodik

Parameter: Tidak ada

Kebijakan kata sandi IAM dapat mengharuskan kata sandi diputar atau kedaluwarsa setelah beberapa hari tertentu.

CIS merekomendasikan agar kebijakan kata sandi kedaluwarsa kata sandi setelah 90 hari atau kurang. Mengurangi masa pakai kata sandi meningkatkan ketahanan akun terhadap upaya login brute force. Memerlukan perubahan kata sandi reguler juga membantu dalam skenario berikut:

  • Kata sandi dapat dicuri atau dikompromikan tanpa sepengetahuan Anda. Ini dapat terjadi melalui kompromi sistem, kerentanan perangkat lunak, atau ancaman internal.

  • Filter web perusahaan dan pemerintah tertentu atau server proxy dapat mencegat dan merekam lalu lintas bahkan jika itu dienkripsi.

  • Banyak orang menggunakan kata sandi yang sama untuk banyak sistem seperti pekerjaan, email, dan pribadi.

  • Workstation pengguna akhir yang dikompromikan mungkin memiliki keystroke logger.

Remediasi

Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk pengguna IAM di Panduan Pengguna IAM. Untuk Aktifkan kedaluwarsa kata sandi, masukkan 90 atau nomor yang lebih kecil.

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.17, Tolok Ukur Yayasan CIS v1.4.0/1.17, Tolok Ukur AWS Yayasan CIS v1.2.0/1.20, PCI DSS v4.0.1/12.10.3 AWS

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::::Account

AWS Config aturan: iam-policy-in-use

Jenis jadwal: Periodik

Parameter:

  • policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (tidak dapat disesuaikan)

  • policyUsageType: ANY (tidak dapat disesuaikan)

AWS menyediakan pusat dukungan yang dapat digunakan untuk pemberitahuan dan respons insiden, serta dukungan teknis dan layanan pelanggan.

Buat peran IAM untuk memungkinkan pengguna yang berwenang mengelola insiden dengan Support AWS . Dengan menerapkan hak istimewa terkecil untuk kontrol akses, peran IAM akan memerlukan kebijakan IAM yang sesuai untuk memungkinkan akses pusat dukungan untuk mengelola insiden dengan. Dukungan

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Untuk mengatasi masalah ini, buat peran untuk memungkinkan pengguna yang berwenang mengelola Dukungan insiden.

Untuk membuat peran yang akan digunakan untuk Dukungan akses

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM, pilih Peran, lalu pilih Buat peran.

  3. Untuk tipe Peran, pilih Yang Lain Akun AWS.

  4. Untuk ID Akun, masukkan Akun AWS ID yang Akun AWS ingin Anda berikan akses ke sumber daya Anda.

    Jika pengguna atau grup yang akan mengambil peran ini berada di akun yang sama, maka masukkan nomor akun lokal.

    catatan

    Administrator akun yang ditentukan dapat memberikan izin untuk mengasumsikan peran ini kepada setiap pengguna dalam akun tersebut. Untuk melakukannya, administrator melampirkan kebijakan kepada pengguna atau grup yang memberikan izin untuk tindakan sts:AssumeRole. Dalam kebijakan itu, sumber daya harus menjadi peran ARN.

  5. Pilih Berikutnya: Izin.

  6. Cari kebijakan terkelolaAWSSupportAccess.

  7. Pilih kotak centang untuk kebijakan AWSSupportAccess terkelola.

  8. Pilih Berikutnya: Tag

  9. (Opsional) Untuk menambahkan metadata ke peran, lampirkan tag sebagai pasangan nilai kunci.

    Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat Menandai pengguna dan peran IAM di Panduan Pengguna IAM.

  10. Pilih Berikutnya: Tinjauan.

  11. Untuk Nama peran, masukkan nama peran Anda.

    Nama peran harus unik di dalam diri Anda Akun AWS. Mereka tidak peka huruf besar/kecil.

  12. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  13. Tinjau peran, lalu pilih Buat peran.

Tampilkan lebih banyakTampilkan lebih sedikit

[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM

Persyaratan terkait: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: iam-user-mfa-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah pengguna IAM mengaktifkan otentikasi multi-faktor (MFA).

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Untuk menambahkan MFA bagi pengguna IAM, lihat Mengaktifkan perangkat MFA untuk pengguna di AWS Panduan Pengguna IAM.

[IAM.20] Hindari penggunaan pengguna root

penting

Security Hub menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol Security Hub.

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/1.1

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: use-of-root-account-test (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah a Akun AWS memiliki batasan pada penggunaan pengguna root. Kontrol mengevaluasi sumber daya berikut:

  • Topik Amazon Simple Notification Service (Amazon SNS)

  • AWS CloudTrail jalan setapak

  • Filter metrik yang terkait dengan CloudTrail jejak

  • CloudWatch Alarm Amazon berdasarkan filter

Pemeriksaan ini menghasilkan FAILED temuan jika satu atau beberapa pernyataan berikut benar:

  • Tidak ada CloudTrail jejak di akun.

  • CloudTrail Jejak diaktifkan, tetapi tidak dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis.

  • CloudTrail Jejak diaktifkan, tetapi tidak terkait dengan grup CloudWatch log Log.

  • Filter metrik yang tepat yang ditentukan oleh Center for Internet Security (CIS) tidak digunakan. Filter metrik yang ditentukan adalah'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.

  • Tidak ada CloudWatch alarm berdasarkan filter metrik di akun.

  • CloudWatch alarm yang dikonfigurasi untuk mengirim notifikasi ke topik SNS terkait tidak dipicu berdasarkan kondisi alarm.

  • Topik SNS tidak sesuai dengan batasan untuk mengirim pesan ke topik SNS.

  • Topik SNS tidak memiliki setidaknya satu pelanggan.

Pemeriksaan ini menghasilkan status kontrol NO_DATA jika satu atau beberapa pernyataan berikut benar:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

Pemeriksaan ini menghasilkan status kontrol WARNING jika satu atau beberapa pernyataan berikut benar:

  • Akun saat ini tidak memiliki topik SNS yang direferensikan dalam alarm. CloudWatch

  • Akun saat ini tidak memiliki akses ke topik SNS saat menjalankan ListSubscriptionsByTopic SNS API.

catatan

Sebaiknya gunakan jejak organisasi untuk mencatat peristiwa dari banyak akun di suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi di akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk melakukan tugas manajemen akun dan layanan. Terapkan kebijakan IAM secara langsung ke grup dan peran tetapi tidak untuk pengguna. Untuk petunjuk cara menyiapkan administrator untuk penggunaan sehari-hari, lihat Membuat pengguna dan grup admin IAM pertama Anda di Panduan Pengguna IAM.

Remediasi

Langkah-langkah untuk mengatasi masalah ini termasuk menyiapkan topik Amazon SNS, jejak, CloudTrail filter metrik, dan alarm untuk filter metrik.

Untuk membuat topik Amazon SNS

  1. Buka konsol Amazon SNS di https://console.aws.amazon.com/sns/ v3/home.

  2. Buat topik Amazon SNS yang menerima semua alarm CIS.

    Buat setidaknya satu pelanggan untuk topik tersebut. Untuk informasi lebih lanjut, lihat Memulai dengan Amazon SNS di Panduan Developer Amazon Simple Notification Service.

Selanjutnya, siapkan aktif CloudTrail yang berlaku untuk semua Wilayah. Untuk melakukannya, ikuti langkah-langkah remediasi di[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis.

Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut.

Terakhir, buat filter metrik dan alarm.

Untuk membuat filter metrik dan alarm

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Pada panel navigasi, pilih Grup log.

  3. Pilih kotak centang untuk grup CloudWatch log Log yang terkait dengan CloudTrail jejak yang Anda buat.

  4. Dari Tindakan, pilih Buat Filter Metrik.

  5. Di bawah Tentukan pola, lakukan hal berikut:

    1. Salin pola berikut dan kemudian tempelkan ke bidang Filter Pattern.

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    2. Pilih Berikutnya.

  6. Di bawah Tetapkan Metrik, lakukan hal berikut:

    1. Di Nama filter, masukkan nama untuk filter metrik Anda.

    2. Untuk Metric Namespace, masukkan. LogMetrics

      Jika Anda menggunakan namespace yang sama untuk semua filter metrik log CIS Anda, maka semua metrik Benchmark CIS dikelompokkan bersama.

    3. Untuk Nama Metrik, masukkan nama untuk metrik. Ingat nama metrik. Anda harus memilih metrik saat membuat alarm.

    4. Untuk Metric value (Nilai metrik), masukkan 1.

    5. Pilih Berikutnya.

  7. Di bawah Tinjau dan buat, verifikasi informasi yang Anda berikan untuk filter metrik baru. Kemudian, pilih Buat filter metrik.

  8. Di panel navigasi, pilih Grup log, lalu pilih filter yang Anda buat di bawah Filter metrik.

  9. Pilih kotak centang untuk filter. Pilih Buat alarm.

  10. Di bawah Tentukan metrik dan kondisi, lakukan hal berikut:

    1. Di bawah Kondisi, untuk Ambang, pilih Statis.

    2. Untuk Tentukan kondisi alarm, pilih Greater/Equal.

    3. Untuk Tentukan nilai ambang batas, masukkan1.

    4. Pilih Berikutnya.

  11. Di bawah Konfigurasi tindakan, lakukan hal berikut:

    1. Di bawah Pemicu status alarm, pilih Dalam alarm.

    2. Di bawah Pilih topik SNS, pilih Pilih topik SNS yang sudah ada.

    3. Untuk Kirim pemberitahuan ke, masukkan nama topik SNS yang Anda buat di prosedur sebelumnya.

    4. Pilih Berikutnya.

  12. Di bawah Tambahkan nama dan deskripsi, masukkan Nama dan Deskripsi untuk alarm, sepertiCIS-1.1-RootAccountUsage. Lalu pilih Berikutnya.

  13. Di bawah Pratinjau dan buat, tinjau konfigurasi alarm. Kemudian pilih Buat alarm.

Tampilkan lebih banyakTampilkan lebih sedikit

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

Persyaratan terkait: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2), NIST.800-53.r5 AC-6 (3)

Kategori: Deteksi > Manajemen akses aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::IAM::Policy

AWS Config aturan: iam-policy-no-statements-with-full-access

Jenis jadwal: Perubahan dipicu

Parameter:

  • excludePermissionBoundaryPolicy: True (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan berbasis identitas IAM yang Anda buat memiliki pernyataan Izinkan yang menggunakan wildcard * untuk memberikan izin untuk semua tindakan pada layanan apa pun. Kontrol gagal jika ada pernyataan kebijakan yang disertakan "Effect": "Allow" dengan"Action": "Service:*".

Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang gagal.

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

Kontrol juga gagal jika Anda menggunakannya "Effect": "Allow""NotAction": "service:*". Dalam hal ini, NotAction elemen menyediakan akses ke semua tindakan dalam Layanan AWS, kecuali untuk tindakan yang ditentukan dalamNotAction.

Kontrol ini hanya berlaku untuk kebijakan IAM yang dikelola pelanggan. Ini tidak berlaku untuk kebijakan IAM yang dikelola oleh AWS.

Saat Anda menetapkan izin Layanan AWS, penting untuk mencakup tindakan IAM yang diizinkan dalam kebijakan IAM Anda. Anda harus membatasi tindakan IAM hanya pada tindakan yang diperlukan. Ini membantu Anda memberikan izin hak istimewa paling sedikit. Kebijakan yang terlalu permisif dapat menyebabkan eskalasi hak istimewa jika kebijakan tersebut dilampirkan pada prinsipal IAM yang mungkin tidak memerlukan izin.

Dalam beberapa kasus, Anda mungkin ingin mengizinkan tindakan IAM yang memiliki awalan serupa, seperti DescribeFlowLogs dan. DescribeAvailabilityZones Dalam kasus resmi ini, Anda dapat menambahkan wildcard akhiran ke awalan umum. Misalnya, ec2:Describe*.

Kontrol ini lolos jika Anda menggunakan tindakan IAM awalan dengan wildcard berakhiran. Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang dilewatkan.

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Saat mengelompokkan tindakan IAM terkait dengan cara ini, Anda juga dapat menghindari melebihi batas ukuran kebijakan IAM.

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Untuk mengatasi masalah ini, perbarui kebijakan IAM Anda sehingga tidak mengizinkan hak administratif “*” penuh. Untuk detail tentang cara mengedit kebijakan IAM, lihat Mengedit kebijakan IAM di Panduan Pengguna IAM.

[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.12, Tolok Ukur Yayasan CIS v1.4.0/1.12 AWS

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: iam-user-unused-credentials-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 45 hari atau lebih. Untuk melakukannya, ia memeriksa apakah maxCredentialUsageAge parameter AWS Config aturan sama dengan 45 atau lebih.

Pengguna dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensyal, seperti kata sandi atau kunci akses.

CIS merekomendasikan agar Anda menghapus atau menonaktifkan semua kredensil yang telah tidak digunakan selama 45 hari atau lebih. Menonaktifkan atau menghapus kredensi yang tidak perlu mengurangi jendela peluang untuk kredensi yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.

AWS Config Aturan untuk kontrol ini menggunakan operasi GenerateCredentialReportAPI GetCredentialReportdan, yang hanya diperbarui setiap empat jam. Perubahan pada pengguna IAM dapat memakan waktu hingga empat jam untuk dapat dilihat oleh kontrol ini.

catatan

AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, Anda dapat mengaktifkan perekaman sumber daya global dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

Remediasi

Saat Anda melihat informasi pengguna di konsol IAM, ada kolom untuk usia kunci Access, Usia kata sandi, dan Aktivitas terakhir. Jika nilai di salah satu kolom ini lebih besar dari 45 hari, buat kredensyal untuk pengguna tersebut tidak aktif.

Anda juga dapat menggunakan laporan kredensi untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 45 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam .csv format dari konsol IAM.

Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat Membuat, mengubah, atau menghapus kata sandi pengguna (konsol) IAM di Panduan Pengguna IAM.

[IAM.23] Penganalisis Akses IAM harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::AccessAnalyzer::Analyzer

AWS Config aturan: tagged-accessanalyzer-analyzer (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah penganalisis yang dikelola oleh AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika penganalisis tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika penganalisis tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke penganalisis, lihat TagResourcedi Referensi API Penganalisis Akses AWS IAM.

[IAM.24] Peran IAM harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::IAM::Role

AWS Config aturan: tagged-iam-role (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah peran AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika peran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika peran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke peran IAM, lihat Menandai sumber daya IAM di Panduan Pengguna IAM.

[IAM.25] Pengguna IAM harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::IAM::User

AWS Config aturan: tagged-iam-user (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah pengguna AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika pengguna tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pengguna tidak diberi tag dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke pengguna IAM, lihat Menandai sumber daya IAM di Panduan Pengguna IAM.

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.19

Kategori: Identifikasi > Kepatuhan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::IAM::ServerCertificate

AWS Config aturan: iam-server-certificate-expiration-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah sertifikat SSL/TLS server certificate that is managed in IAM has expired. The control fails if the expired SSL/TLS server aktif tidak dihapus.

Untuk mengaktifkan koneksi HTTPS ke situs web atau aplikasi Anda AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan IAM atau AWS Certificate Manager (ACM) untuk menyimpan dan menyebarkan sertifikat server. Gunakan IAM sebagai manajer sertifikat hanya jika Anda harus mendukung koneksi HTTPS di Wilayah AWS yang tidak didukung oleh ACM. IAM mengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi terenkripsinya dalam penyimpanan sertifikat IAM SSL. IAM mendukung penerapan sertifikat server di semua Wilayah, tetapi Anda harus mendapatkan sertifikat Anda dari penyedia eksternal untuk digunakan. AWS Anda tidak dapat mengunggah sertifikat ACM ke IAM. Selain itu, Anda tidak dapat mengelola sertifikat dari konsol IAM. Menghapus sertifikat SSL/TLS yang kedaluwarsa menghilangkan risiko bahwa sertifikat yang tidak valid disebarkan secara tidak sengaja ke sumber daya, yang dapat merusak kredibilitas aplikasi atau situs web yang mendasarinya.

Remediasi

Untuk menghapus sertifikat server dari IAM, lihat Mengelola sertifikat server di IAM di Panduan Pengguna IAM.

[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.22

Kategori: Lindungi > Manajemen akses aman > Kebijakan IAM yang aman

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::IAM::Role,AWS::IAM::User, AWS::IAM::Group

AWS Config aturan: iam-policy-blacklisted-check

Jenis jadwal: Perubahan dipicu

Parameter:

  • “PolicyArns”: “arn:aws:iam: :aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Kontrol ini memeriksa apakah identitas IAM (pengguna, peran, atau grup) memiliki kebijakan AWS terkelola yang AWSCloudShellFullAccess dilampirkan. Kontrol gagal jika identitas IAM memiliki AWSCloudShellFullAccess kebijakan yang dilampirkan.

AWS CloudShell menyediakan cara mudah untuk menjalankan perintah CLI terhadap. Layanan AWS Kebijakan AWS terkelola AWSCloudShellFullAccess menyediakan akses penuh CloudShell, yang memungkinkan kemampuan mengunggah dan mengunduh file antara sistem lokal pengguna dan CloudShell lingkungan. Dalam CloudShell lingkungan, pengguna memiliki izin sudo, dan dapat mengakses internet. Akibatnya, melampirkan kebijakan terkelola ini ke identitas IAM memberi mereka kemampuan untuk menginstal perangkat lunak transfer file dan memindahkan data dari CloudShell ke server internet eksternal. Sebaiknya ikuti prinsip hak istimewa paling sedikit dan melampirkan izin yang lebih sempit ke identitas IAM Anda.

Remediasi

Untuk melepaskan AWSCloudShellFullAccess kebijakan dari identitas IAM, lihat Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna IAM.

[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/1.20

Kategori: Deteksi > Layanan deteksi > Pemantauan penggunaan istimewa

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::AccessAnalyzer::Analyzer

AWS Config aturan: iam-external-access-analyzer-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Akun AWS penganalisis akses eksternal IAM Access Analyzer diaktifkan. Kontrol gagal jika akun tidak mengaktifkan penganalisis akses eksternal di pilihan Wilayah AWS Anda saat ini.

Alat analisis akses eksternal IAM Access Analyzer membantu mengidentifikasi sumber daya, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM, yang dibagikan dengan entitas eksternal. Ini membantu Anda menghindari akses yang tidak diinginkan ke sumber daya dan data Anda. IAM Access Analyzer bersifat Regional dan harus diaktifkan di setiap Wilayah. Untuk mengidentifikasi sumber daya yang dibagikan dengan prinsipal eksternal, penganalisis akses menggunakan penalaran berbasis logika untuk menganalisis kebijakan berbasis sumber daya di lingkungan Anda. AWS Saat Anda membuat penganalisis akses eksternal, Anda dapat membuat dan mengaktifkannya untuk seluruh organisasi atau akun individual Anda.

catatan

Jika akun merupakan bagian dari organisasi AWS Organizations, kontrol ini tidak memfaktorkan penganalisis akses eksternal yang menentukan organisasi sebagai zona kepercayaan dan diaktifkan untuk organisasi di Wilayah saat ini. Jika organisasi Anda menggunakan jenis konfigurasi ini, pertimbangkan untuk menonaktifkan kontrol ini untuk akun anggota individual di organisasi Anda di Wilayah.

Remediasi

Untuk informasi tentang mengaktifkan penganalisis akses eksternal di Wilayah tertentu, lihat Memulai IAM Access Analyzer di Panduan Pengguna IAM. Anda harus mengaktifkan penganalisis di setiap Wilayah tempat Anda ingin memantau akses ke sumber daya Anda.