SEC03-BP06 Mengelola akses berdasarkan siklus hidup - AWS Kerangka Well-Architected
Panduan implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC03-BP06 Mengelola akses berdasarkan siklus hidup

Lakukan pemantauan dan penyesuaian terhadap izin-izin yang diberikan kepada para pengguna utama Anda (pengguna, peran, dan grup) di sepanjang siklus hidupnya dalam organisasi Anda. Sesuaikan keanggotaan grup jika pengguna berganti peran, dan hapus akses saat seorang pengguna meninggalkan organisasi.

Hasil yang diinginkan: Anda melakukan pemantauan dan menyesuaikan izin sepanjang siklus hidup pengguna utama yang ada dalam organisasi, mengurangi risiko hak akses istimewa yang tidak perlu. Anda memberikan akses yang sesuai saat membuat pengguna. Anda mengubah akses saat tanggung jawab pengguna berubah, dan Anda menghapus akses ketika pengguna tersebut tidak lagi aktif atau telah meninggalkan organisasi. Anda mengelola perubahan yang terjadi pada pengguna, peran, dan grup secara terpusat. Anda menggunakan otomatisasi untuk menyebarkan perubahan ke AWS lingkungan Anda.

Anti-pola umum:

  • Anda memberikan hak akses yang berlebihan atau luas ke identitas di awal, yang melebihi hak akses yang diperlukan untuk pertama kali.

  • Anda tidak meninjau dan menyesuaikan hak akses saat peran dan tanggung jawab identitas berubah dari waktu ke waktu.

  • Anda membiarkan identitas yang tidak aktif atau identitas yang dihentikan dengan hak istimewa akses yang aktif. Hal ini akan meningkatkan risiko akses yang tidak sah.

  • Anda tidak melakukan otomatisasi terhadap manajemen siklus hidup identitas.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Kelola dan sesuaikan secara cermat hak akses yang Anda berikan kepada identitas (seperti pengguna, peran, grup) di sepanjang siklus hidup mereka. Siklus hidup ini mencakup fase onboarding awal, perubahan peran dan tanggung jawab yang berkelanjutan, dan akhirnya offboarding atau penghentian. Lakukan pengelolaan akses secara proaktif berdasarkan tahap siklus hidup untuk mempertahankan tingkat akses yang sesuai. Patuhi prinsip hak akses paling rendah untuk mengurangi munculnya risiko hak akses yang berlebihan atau tidak perlu.

Anda dapat mengelola siklus hidup IAM pengguna secara langsung di dalam Akun AWS, atau melalui federasi dari penyedia identitas tenaga kerja Anda ke AWS IAM Pusat Identitas. Untuk IAM pengguna, Anda dapat membuat, memodifikasi, dan menghapus pengguna dan izin terkait mereka di dalam Akun AWS. Untuk pengguna federasi, Anda dapat menggunakan Pusat IAM Identitas untuk mengelola siklus hidup mereka dengan menyinkronkan informasi pengguna dan grup dari penyedia identitas organisasi Anda menggunakan protokol System for Cross-domain Identity Management (). SCIM

SCIMadalah protokol standar terbuka untuk penyediaan otomatis dan deprovisioning identitas pengguna di berbagai sistem. Dengan mengintegrasikan penyedia identitas Anda dengan Pusat IAM Identitas menggunakanSCIM, Anda dapat secara otomatis menyinkronkan informasi pengguna dan grup, membantu memvalidasi bahwa hak akses diberikan, dimodifikasi, atau dicabut berdasarkan perubahan dalam sumber identitas otoritatif organisasi Anda.

Ketika peran dan tanggung jawab karyawan berubah dalam organisasi Anda, sesuaikan hak akses mereka sesuai keperluan. Anda dapat menggunakan set izin Pusat IAM Identitas untuk menentukan peran atau tanggung jawab pekerjaan yang berbeda dan mengaitkannya dengan IAM kebijakan dan izin yang sesuai. Saat peran seorang karyawan berubah, Anda dapat memperbarui kumpulan izin yang ditetapkan padanya untuk menyesuaikan dengan tanggung jawab baru mereka. Lakukan verifikasi bahwa mereka memiliki akses yang diperlukan dan sekaligus mematuhi prinsip hak akses paling rendah.

Langkah-langkah implementasi

  1. Tentukan dan dokumentasikan proses siklus hidup manajemen akses, termasuk prosedur-prosedur yang harus dilakukan untuk memberikan akses awal, peninjauan berkala, dan offboarding.

  2. Menerapkan batasan IAM peran, grup, dan izin untuk mengelola akses secara kolektif dan menegakkan tingkat akses maksimum yang diizinkan.

  3. Integrasikan dengan penyedia identitas federasi (seperti Microsoft Active Directory, Okta, Ping Identity) sebagai sumber otoritatif untuk informasi pengguna dan grup menggunakan IAM Identity Center.

  4. Gunakan SCIM protokol untuk menyinkronkan informasi pengguna dan grup dari penyedia identitas ke Identity Store Pusat IAM Identitas.

  5. Buat set izin di Pusat IAM Identitas yang mewakili peran atau tanggung jawab pekerjaan yang berbeda dalam organisasi Anda. Tentukan IAM kebijakan dan izin yang sesuai untuk setiap set izin.

  6. Implementasikan peninjauan akses secara rutin, pencabutan akses yang cepat, dan peningkatan berkelanjutan terhadap proses siklus hidup manajemen akses.

  7. Berikan pelatihan dan pengetahuan kepada karyawan tentang praktik terbaik manajemen akses.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait: