SEC03-BP01 Menetapkan persyaratan akses

Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen-komponen lainnya. Penetapan harus jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang sesuai.

Anti-pola umum:

Melakukan hard-coding atau menyimpan rahasia di dalam aplikasi Anda.
Memberikan izin kustom untuk masing-masing pengguna.
Menggunakan kredensial yang sudah berumur panjang.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Akses reguler ke Akun AWS dalam organisasi harus disediakan dengan menggunakan akses federasi atau penyedia identitas tersentralisasi. Anda juga sebaiknya melakukan sentralisasi manajemen identitas Anda dan memastikan terdapat praktik yang mapan yang digunakan untuk mengintegrasikan akses AWS ke siklus hidup akses karyawan Anda. Misalnya, saat ada seorang karyawan yang berganti peran pekerjaan dengan level akses berbeda, maka keanggotaan grupnya juga harus berubah agar sesuai dengan persyaratan akses baru yang berlaku padanya.

Saat Anda menetapkan persyaratan akses untuk identitas selain manusia, Anda harus menentukan aplikasi dan komponen mana yang memerlukan akses dan bagaimana izin diberikan. Menggunakan peran IAM yang dibangun dengan model akses hak akses paling rendah adalah pendekatan yang disarankan. AWS Kebijakan terkelola menyediakan kebijakan IAM yang telah ditetapkan sebelumnya yang mencakup kasus-kasus penggunaan paling umum.

Layanan-layanan AWS, seperti AWS Secrets Manager dan Systems Manager Parameter Store AWS, dapat membantu Anda memisahkan rahasia dari aplikasi atau beban kerja dengan aman jika tidak layak untuk menggunakan peran IAM. Di Secrets Manager, Anda dapat membuat rotasi otomatis untuk kredensial Anda. Anda dapat menggunakan Systems Manager untuk merujuk parameter di skrip, perintah, dokumen SSM, konfigurasi, dan alur kerja otomatisasi Anda menggunakan nama unik yang telah Anda tentukan saat membuat parameter tersebut.

Anda dapat menggunakan AWS IAM Roles Anywhere untuk mendapatkan kredensial keamanan sementara di IAM untuk beban kerja yang berjalan di luar AWS. Beban kerja Anda dapat menggunakan kebijakan IAM dan peran IAM yang sama yang Anda gunakan dengan aplikasi AWS untuk mengakses sumber daya AWS.

Jika memungkinkan, Anda sebaiknya menggunakan kredensial sementara jangka pendek, bukan kredensial statis jangka panjang. Untuk skenario di mana Anda memerlukan pengguna dengan akses yang terprogram dan kredensial jangka panjang, gunakan informasi kunci akses yang terakhir digunakan untuk merotasi dan menghapus kunci akses.

Pengguna membutuhkan akses terprogram jika ingin berinteraksi dengan AWS di luar AWS Management Console. Cara memberikan akses programatis bergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM)	Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengonfigurasi AWS CLI untuk menggunakan AWS IAM Identity Center dalam Panduan Pengguna AWS Command Line Interface. Untuk SDK AWS, alat, dan API AWS, lihat Autentikasi Pusat Identitas IAM dalam Panduan Referensi SDK dan Alat AWS.
IAM	Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.	Ikuti petunjuk dalam Menggunakan kredensial sementara dengan sumber daya AWS dalam Panduan Pengguna IAM.
IAM	(Tidak direkomendasikan) Gunakan kredensial jangka panjang untuk menandatangani permintaan programatis ke AWS CLI, AWS SDK, atau API AWS.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengautentikasi menggunakan kredensial pengguna IAM dalam Panduan Pengguna AWS Command Line Interface. Untuk SDK dan alat AWS, lihat Mengautentikasi menggunakan kredensial jangka panjang dalam Panduan Referensi SDK dan Alat AWS. Untuk API AWS, lihat Mengelola kunci akses untuk pengguna IAM dalam Panduan Pengguna IAM.

Pengguna mana yang membutuhkan akses programatis?

Untuk

Oleh

Identitas tenaga kerja

(Pengguna yang dikelola di Pusat Identitas IAM)

Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk AWS CLI, lihat Mengonfigurasi AWS CLI untuk menggunakan AWS IAM Identity Center dalam Panduan Pengguna AWS Command Line Interface.
Untuk SDK AWS, alat, dan API AWS, lihat Autentikasi Pusat Identitas IAM dalam Panduan Referensi SDK dan Alat AWS.

IAM

Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.

Ikuti petunjuk dalam Menggunakan kredensial sementara dengan sumber daya AWS dalam Panduan Pengguna IAM.

IAM

(Tidak direkomendasikan)

Gunakan kredensial jangka panjang untuk menandatangani permintaan programatis ke AWS CLI, AWS SDK, atau API AWS.

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk AWS CLI, lihat Mengautentikasi menggunakan kredensial pengguna IAM dalam Panduan Pengguna AWS Command Line Interface.
Untuk SDK dan alat AWS, lihat Mengautentikasi menggunakan kredensial jangka panjang dalam Panduan Referensi SDK dan Alat AWS.
Untuk API AWS, lihat Mengelola kunci akses untuk pengguna IAM dalam Panduan Pengguna IAM.

Sumber daya

Dokumen terkait:

Video terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC 3. Bagaimana cara mengelola izin untuk manusia dan mesin?

SEC03-BP02 Memberikan hak akses paling rendah