SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala

Jika Anda tidak dapat mengandalkan kredensial sementara dan memerlukan kredensial jangka panjang, lakukan audit kredensial untuk memastikan kontrol yang ditentukan, misalnya autentikasi multi-faktor (MFA), telah diterapkan, dirotasi secara rutin, dan memiliki tingkat akses yang sesuai. Validasi berkala, diutamakan melalui alat otomatis, diperlukan untuk memverifikasikan bahwa kontrol yang sesuai telah diterapkan. Untuk identitas manusia, Anda perlu mewajibkan pengguna untuk mengubah kata sandi mereka secara berkala dan menonaktifkan kunci akses yang ditukar dengan kredensial sementara. Saat Anda beralih dari pengguna AWS Identity and Access Management (IAM) ke identitas yang dipusatkan, Anda dapat membuat laporan kredensial untuk mengaudit pengguna IAM Anda. Sebaiknya terapkan pengaturan MFA di penyedia identitas Anda. Anda dapat mengonfigurasikan Aturan AWS Config untuk memantau pengaturan tersebut. Untuk identitas mesin, Anda harus mengandalkan kredensial sementara menggunakan IAM role. Jika dalam situasi tertentu hal ini tidak memungkinkan, merotasi dan mengaudit kunci akses secara sering adalah hal yang diperlukan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Lakukan audit kredensial secara rutin: Gunakan laporan kredensial, serta Identity and Access Management (IAM) Access Analyzer untuk mengaudit izin dan kredensial IAM.
Gunakan Tingkat Akses untuk Meninjau Izin IAM: Untuk meningkatkan keamanan Akun AWS Anda, secara rutin tinjau dan pantau setiap kebijakan IAM Anda. Pastikan bahwa kebijakan Anda memberikan hak akses paling rendah yang dibutuhkan untuk menjalankan tindakan yang diperlukan saja.
- Gunakan tingkat akses untuk meninjau izin IAM

Pertimbangkan pengotomatisan pembuatan dan pembaruan sumber daya IAM: AWS CloudFormation dapat digunakan untuk mengotomatiskan deployment sumber daya IAM, termasuk peran dan kebijakan, untuk mengurangi kesalahan akibat kelalaian manusia, karena templat dapat diverifikasi dan yang dapat dikontrol.
- Lab: Deployment yang diotomatiskan grup dan peran IAM

Sumber daya

Dokumen terkait:

Video terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC02-BP04 Andalkan penyedia identitas terpusat

SEC02-BP06 Manfaatkan grup dan atribut pengguna