SEC02-BP06 Manfaatkan grup dan atribut pengguna - Pilar Keamanan
Panduan implementasiSumber daya

SEC02-BP06 Manfaatkan grup dan atribut pengguna

Penentuan izin sesuai dengan grup pengguna dan atribut akan membantu Anda mengurangi jumlah dan kompleksitas kebijakan, sehingga prinsip hak akses paling rendah dapat Anda wujudkan dengan lebih sederhana. Anda dapat menggunakan grup pengguna untuk mengelola izin bagi banyak orang di satu tempat berdasarkan fungsi yang mereka lakukan di dalam organisasi Anda. Atribut, seperti departemen, proyek, atau lokasi, dapat menyediakan lapisan tambahan cakupan izin ketika ada orang yang melakukan fungsi serupa, tetapi untuk subset sumber daya yang berbeda.

Hasil yang diinginkan: Anda dapat menerapkan perubahan-perubahan izin berdasarkan fungsi untuk semua pengguna yang menjalankan fungsi tersebut. Keanggotaan grup dan atribut mengatur izin pengguna, sehingga hal itu akan mengurangi kebutuhan untuk mengelola izin di tingkat masing-masing pengguna. Grup dan atribut yang Anda tentukan di penyedia identitas (IdP) Anda disebarkan secara otomatis ke lingkungan AWS Anda.

Anti-pola umum:

  • Mengelola izin untuk pengguna individual dan menduplikasinya kepada banyak pengguna.

  • Menentukan grup pada tingkat yang terlalu tinggi, sehingga memberikan izin yang terlalu luas.

  • Menentukan grup pada tingkat yang terlalu terperinci, sehingga menghasilkan duplikasi dan kebingungan terkait keanggotaan.

  • Menggunakan grup dengan izin duplikat di seluruh subset sumber daya ketika atribut dapat digunakan sebagai gantinya.

  • Tidak mengelola grup, atribut, dan keanggotaan melalui penyedia identitas standar yang terintegrasi dengan lingkungan AWS Anda.

  • Menggunakan rantai peran saat menggunakan sesi Pusat Identitas AWS IAM

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Izin AWS didefinisikan dalam dokumen yang disebut kebijakan yang dikaitkan dengan principal, seperti pengguna, grup, peran, atau sumber daya. Anda dapat menskalakan manajemen izin dengan mengatur penetapan izin (grup, izin, akun) berdasarkan fungsi pekerjaan, beban kerja, dan lingkungan SDLC. Untuk tenaga kerja Anda, hal ini akan memungkinkan Anda menentukan grup berdasarkan fungsi yang dilakukan pengguna untuk organisasi Anda, bukan berdasarkan sumber daya yang diakses. Misalnya, grup WebAppDeveloper mungkin memiliki kebijakan yang dilampirkan untuk mengonfigurasi layanan seperti Amazon CloudFront dalam akun pengembangan. Grup AutomationDeveloper mungkin memiliki beberapa izin yang tumpang-tindih dengan grup WebAppDeveloper. Izin ini dapat direkam dalam kebijakan terpisah dan dikaitkan dengan kedua grup, daripada memasukkan pengguna dari kedua fungsi ke dalam sebuah grup CloudFrontAccess.

Selain grup, Anda dapat menggunakan atribut untuk menentukan cakupan akses lebih lanjut. Misalnya, Anda mungkin memiliki atribut Proyek untuk pengguna yang ada di grup WebAppDeveloper Anda guna menentukan cakupan akses ke sumber daya khusus untuk proyek mereka. Dengan teknik ini, tidak diperlukan grup yang berbeda untuk developer aplikasi yang bekerja di proyek yang berbeda jika izin mereka sama. Cara Anda merujuk ke atribut-atribut yang ada dalam kebijakan izin adalah berdasarkan pada sumbernya, apakah atribut tersebut ditentukan sebagai bagian dari protokol federasi Anda (seperti SAML, OIDC, atau SCIM), sebagai pernyataan SAML kustom, atau ditetapkan dalam Pusat Identitas IAM.

Langkah-langkah implementasi

  1. Tetapkan di mana Anda akan menentukan grup dan atribut:

    1. Dengan mengikuti panduan yang diuraikan di SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi, Anda dapat mengetahui apakah Anda perlu menentukan grup dan atribut dalam penyedia identitas Anda, dalam Pusat Identitas IAM, atau menggunakan grup pengguna IAM di akun tertentu.

  2. Tentukan grup:

    1. Tentukan grup Anda berdasarkan fungsi dan cakupan akses yang diperlukan. Pertimbangkan untuk menggunakan struktur hierarkis atau konvensi penamaan untuk menyusun grup secara efektif.

    2. Jika Anda menentukannya di dalam Pusat Identitas IAM, maka Anda harus membuat grup dan mengaitkan tingkat akses yang diinginkan dengan menggunakan kumpulan izin.

    3. Jika Anda menentukannya di dalam penyedia identitas eksternal, maka Anda harus menentukan apakah penyedia tersebut mendukung protokol SCIM dan Anda disarankan untuk mengaktifkan penyediaan otomatis dalam Pusat Identitas IAM. Kemampuan ini akan menyinkronkan pembuatan, keanggotaan, dan penghapusan grup antara penyedia Anda dan Pusat Identitas IAM.

  3. Tentukan atribut:

    1. Jika Anda menggunakan penyedia identitas eksternal, baik protokol SCIM maupun SAML 2.0 akan menyediakan atribut tertentu secara default. Atribut tambahan dapat didefinisikan dan diteruskan menggunakan pernyataan SAML dengan nama atribut https://aws.amazon.com/SAML/Attributes/PrincipalTag. Baca dokumentasi penyedia identitas Anda untuk mengetahui panduan dalam menentukan dan mengonfigurasi atribut kustom.

    2. Jika Anda menentukan peran dalam Pusat Identitas IAM, aktifkan fitur kontrol akses berbasis atribut (ABAC) dan tentukan atribut sesuai keinginan. Pertimbangkan atribut yang selaras dengan struktur organisasi atau strategi penandaan sumber daya.

Jika Anda memerlukan rantai peran IAM dari Peran IAM yang diambil melalui Pusat Identitas IAM, nilai seperti source-identity dan principal-tags tidak akan disebarkan. Untuk detail selengkapnya, lihat Aktifkan dan konfigurasi atribut untuk kontrol akses.

  1. Tentukan cakupan izin berdasarkan grup dan atribut:

    1. Sebaiknya Anda menyertakan kondisi dalam kebijakan izin Anda yang membandingkan atribut principal Anda dengan atribut sumber daya yang diakses. Misalnya, Anda dapat menentukan kondisi untuk mengizinkan akses ke sumber daya hanya jika nilai kunci kondisi PrincipalTag cocok dengan nilai kunci ResourceTag yang memiliki nama yang sama.

    2. Saat mendefinisikan kebijakan ABAC, ikuti panduan dalam praktik terbaik dan contoh otorisasi ABAC.

    3. Tinjau dan perbarui struktur grup dan Anda atribut secara berkala seiring dengan berkembangnya kebutuhan organisasi untuk memastikan pengelolaan izin yang optimal.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait: