SEC03-BP08 Bagikan sumber daya dengan aman di dalam organisasi Anda - AWS Kerangka Well-Architected
Panduan implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC03-BP08 Bagikan sumber daya dengan aman di dalam organisasi Anda

Seiring dengan meningkatnya jumlah beban kerja, Anda mungkin perlu membagikan akses ke sumber daya dalam beban kerja tersebut atau berulang kali menyediakan sumber daya itu di seluruh akun. Anda mungkin memiliki konsep untuk membagi lingkungan Anda dalam beberapa kelompok, seperti lingkungan pengembangan, pengujian, dan lingkungan produksi. Namun demikian, konsep pemisahan ini tidak akan membatasi Anda untuk berbagi secara aman. Dengan membagikan komponen-komponen yang tumpang tindih, Anda dapat mengurangi overhead operasional dan memungkinkan pengalaman yang konsisten tanpa harus menebak-nebak mengenai apa yang terlewatkan sekaligus membuat sumber daya yang sama berulang kali.

Hasil yang diinginkan: Mengurangi akses yang tidak diinginkan sekecil hingga sekecil mungkin dengan menggunakan metode yang aman untuk berbagi sumber daya dalam organisasi Anda, dan membantu inisiatif pencegahan kehilangan data Anda. Mengurangi overhead operasional daripada mengelola komponen satu per satu, akan mengurangi kesalahan yang diakibatkan oleh pembuatan komponen yang sama secara manual berulang kali, serta meningkatkan skalabilitas beban kerja. Anda dapat memperoleh manfaat dari pengurangan waktu hingga resolusi di skenario kegagalan multi-titik, dan meningkatkan keyakinan Anda dalam menentukan kapan sebuah komponen tidak diperlukan lagi. Untuk panduan preskriptif tentang cara melakukan analisis sumber daya bersama secara eksternal, silakan lihat SEC03-BP07 Menganalisis akses publik dan lintas akun.

Anti-pola umum:

  • Tidak ada proses untuk melakukan pemantauan secara terus-menerus dan dan memberikan peringatan otomatis mengenai pembagian secara eksternal yang tidak terduga.

  • Tidak ada acuan terkait apa yang boleh dan tidak boleh dibagikan.

  • Kebijakan terbuka luas secara default, bukannya berbagi secara eksplisit ketika diperlukan.

  • Membuat sumber daya dasar yang tumpang tindih secara manual, saat diperlukan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Rancang arsitektur pola dan kontrol akses Anda untuk mengelola penggunaan sumber daya yang dibagikan secara aman dan hanya dengan entitas-entitas yang tepercaya. Lakukan pemantauan terhadap sumber daya yang dibagikan dan peninjauan terhadap akses sumber daya yang dibagikan secara terus-menerus serta tetap waspada terhadap adanya pembagian yang tidak terduga atau tidak tepat. Tinjau Analisis akses publik dan akses lintas akun untuk membantu Anda menetapkan tata kelola untuk mengurangi akses eksternal hanya ke sumber daya yang memerlukannya, dan untuk membuat proses untuk melakukan pemantauan secara terus menerus dan memberi peringatan secara otomatis.

Berbagi lintas akun di dalamnya AWS Organizations didukung oleh sejumlah AWS layanan, seperti AWS Security Hub, Amazon GuardDuty, dan AWS Backup. Layanan-layanan ini akan memungkinkan data untuk dibagikan ke akun pusat, dapat diakses dari akun pusat, atau mengelola sumber daya dan data dari akun pusat. Misalnya, AWS Security Hub dapat mentransfer temuan dari akun individu ke akun pusat tempat Anda dapat melihat semua temuan. AWS Backup dapat mengambil cadangan untuk sumber daya dan membagikannya di seluruh akun. Anda dapat menggunakan AWS Resource Access Manager(AWS RAM) untuk berbagi sumber daya umum lainnya, seperti VPCsubnet dan lampiran Transit Gateway AWS Network Firewall, atau pipeline Amazon SageMaker .

Untuk membatasi akun Anda agar hanya berbagi sumber daya dalam organisasi Anda, gunakan kebijakan kontrol layanan (SCPs) untuk mencegah akses ke prinsipal eksternal. Saat berbagi sumber daya, gabungkan kontrol berbasis identitas dan kontrol jaringan untuk membuat perimeter data bagi organisasi Anda guna membantu Anda melindungi dari akses yang tidak diinginkan. Perimeter data adalah kumpulan pagar pembatas preventif untuk membantu Anda memverifikasi bahwa hanya identitas yang Anda percaya saja yang mengakses sumber daya tepercaya dari jaringan yang dikenal. Kontrol ini akan menetapkan batas yang sesuai terkait sumber daya apa yang dapat dibagikan, serta mencegah dibagikannya atau bocornya sumber daya yang tidak semestinya terjadi. Misalnya, sebagai bagian dari perimeter data, Anda dapat menggunakan kebijakan VPC titik akhir dan AWS:PrincipalOrgId kondisi untuk memastikan identitas yang mengakses bucket Amazon S3 milik organisasi Anda. Penting untuk dicatat bahwa SCPstidak berlaku untuk peran terkait layanan atau prinsip AWS layanan.

Saat menggunakan Amazon S3, matikan ACLs bucket Amazon S3 Anda dan IAM gunakan kebijakan untuk menentukan kontrol akses. Untuk membatasi akses ke Amazon S3 asal dari CloudFrontAmazon, bermigrasi dari origin access identity OAI () ke origin access control OAC () yang mendukung fitur tambahan termasuk enkripsi sisi server dengan. AWS Key Management Service

Dalam beberapa kasus, Anda mungkin ingin mengizinkan pembagian sumber daya ke luar organisasi Anda atau memberikan pihak ketiga akses ke sumber daya Anda. Untuk panduan preskriptif tentang cara mengelola izin untuk berbagi sumber daya secara eksternal, lihat Manajemen izin.

Langkah-langkah implementasi

  1. Gunakan AWS Organizations.

    AWS Organizations adalah layanan manajemen akun yang memungkinkan Anda untuk mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Anda dapat mengelompokkan akun Anda ke dalam unit organisasi (OUs) dan melampirkan kebijakan yang berbeda ke setiap OU untuk membantu Anda memenuhi kebutuhan anggaran, keamanan, dan kepatuhan Anda. Anda juga dapat mengontrol bagaimana kecerdasan AWS buatan (AI) dan layanan pembelajaran mesin (ML) dapat mengumpulkan dan menyimpan data, dan menggunakan manajemen multi-akun dari AWS layanan yang terintegrasi dengan Organizations.

  2. Integrasikan AWS Organizations dengan AWS layanan.

    Saat Anda menggunakan AWS layanan untuk melakukan tugas atas nama Anda di akun anggota organisasi Anda, AWS Organizations buat peran IAM terkait layanan (SLR) untuk layanan tersebut di setiap akun anggota. Anda harus mengelola akses tepercaya menggunakan AWS APIs,, atau AWS CLI. AWS Management Console Untuk panduan preskriptif tentang mengaktifkan akses tepercaya, lihat Menggunakan AWS Organizations dengan AWS layanan dan AWS layanan lain yang dapat Anda gunakan dengan Organizations.

  3. Membuat perimeter data.

    AWS Perimeter biasanya direpresentasikan sebagai organisasi yang dikelola oleh AWS Organizations. Seiring dengan jaringan dan sistem lokal, mengakses AWS sumber daya adalah apa yang banyak dianggap sebagai perimeter My. AWS Perimeter bertujuan untuk memverifikasi bahwa akses diizinkan jika identitasnya dipercaya, sumber dayanya dipercaya, dan jaringannya dikenal.

    1. Menentukan dan mengimplementasikan perimeter.

      Ikuti langkah-langkah yang dijelaskan dalam implementasi Perimeter dalam Membangun Perimeter pada AWS whitepaper untuk setiap kondisi otorisasi. Untuk panduan preskriptif tentang cara melindungi lapisan jaringan, lihat Melindungi jaringan.

    2. Tetap pantau dan waspada.

      AWS Identity and Access Management Access Analyzer dapat membantu Anda mengidentifikasi sumber daya di akun dan organisasi Anda yang dibagi dengan entitas eksternal. Anda dapat mengintegrasikan IAMAccess Analyzer AWS Security Hub untuk mengirim dan mengumpulkan temuan untuk sumber daya dari IAM Access Analyzer ke Security Hub untuk membantu menganalisis postur keamanan lingkungan Anda. Untuk mengintegrasikan, aktifkan IAM Access Analyzer dan Security Hub di setiap Wilayah di setiap akun. Anda juga dapat menggunakan Aturan AWS Config untuk mengaudit konfigurasi dan memperingatkan pihak yang sesuai menggunakan AWS Chatbot dengan AWS Security Hub. Anda kemudian dapat menggunakan dokumen Otomasi AWS Systems Manager untuk memulihkan sumber daya yang tidak sesuai.

    3. Untuk panduan preskriptif tentang pemantauan dan peringatan berkelanjutan tentang sumber daya yang dibagikan secara eksternal, lihat Menganalisis akses publik dan akses lintas akun.

  4. Gunakan berbagi sumber daya dalam AWS layanan dan batasi yang sesuai.

    Banyak AWS layanan memungkinkan Anda berbagi sumber daya dengan akun lain, atau menargetkan sumber daya di akun lain, seperti Amazon Machine Images (AMIs) dan AWS Resource Access Manager (AWS RAM). Batasi ModifyImageAttribute API untuk menentukan akun tepercaya untuk berbagi AMI dengan. Tentukan ram:RequestedAllowsExternalPrincipals kondisi saat menggunakan AWS RAM untuk membatasi berbagi ke organisasi Anda saja, untuk membantu mencegah akses dari identitas yang tidak tepercaya. Untuk panduan dan pertimbangan preskriptif, lihat Berbagi sumber daya dan target eksternal.

  5. Gunakan AWS RAM untuk berbagi dengan aman di akun atau dengan yang lain Akun AWS.

    AWS RAM akan membantu Anda secara aman membagikan sumber daya yang Anda buat kepada peran dan pengguna di akun Anda, serta dengan Akun AWS lainnya. Dalam lingkungan multi-akun, AWS RAM memungkinkan Anda membuat sumber daya sekali dan membagikannya dengan akun lain. Pendekatan ini membantu mengurangi overhead operasional Anda sekaligus memberikan konsistensi, visibilitas, dan auditabilitas melalui integrasi dengan CloudWatch Amazon AWS CloudTrail dan, yang tidak Anda terima saat menggunakan akses lintas akun.

    Jika Anda memiliki sumber daya yang Anda bagikan sebelumnya menggunakan kebijakan berbasis sumber daya, Anda dapat menggunakan PromoteResourceShareCreatedFromPolicyAPIatau yang setara untuk mempromosikan pembagian sumber daya ke pembagian sumber daya penuh. AWS RAM

    Dalam beberapa kasus, Anda mungkin memerlukan beberapa langkah tambahan yang harus dilakukan untuk berbagi sumber daya. Misalnya, untuk membagikan snapshot terenkripsi, Anda perlu membagikan kunci. AWS KMS

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait:

Alat terkait: