SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda - Pilar Keamanan
Panduan implementasiSumber daya

SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda

Gunakan pagar pembatas izin untuk mengurangi cakupan izin-izin yang tersedia yang dapat diberikan kepada principal. Rantai evaluasi kebijakan izin mencakup pagar pembatas yang digunakan untuk menentukan izin efektif principal saat membuat keputusan otorisasi.  Anda dapat menentukan pagar pembatas dengan menggunakan pendekatan berbasis lapisan. Terapkan beberapa pagar pembatas secara meluas di seluruh organisasi Anda dan terapkan pagar pembatas lainnya secara terperinci ke sesi akses sementara.

Hasil yang diinginkan: Anda memiliki isolasi lingkungan yang jelas menggunakan Akun AWS terpisah.  Kebijakan kontrol layanan (SCP) digunakan untuk menentukan pagar pembatas izin di tingkat organisasi. Pagar pembatas yang lebih meluas ditetapkan pada tingkat hierarki yang paling dekat dengan root organisasi Anda, dan pagar pembatas yang lebih ketat ditetapkan lebih dekat ke tingkat akun individual.

Jika didukung, kebijakan sumber daya akan menentukan kondisi yang harus dipenuhi oleh principal untuk mendapatkan akses ke sebuah sumber daya. Kebijakan sumber daya juga mengurangi cakupan dari serangkaian tindakan yang diizinkan, jika sesuai. Batasan izin diterapkan pada principal yang mengelola izin beban kerja, dengan mendelegasikan manajemen izin kepada pemilik beban kerja individual.

Anti-pola umum:

  • Membuat Akun AWS anggota dalam suatu Organisasi AWS, tetapi tidak menggunakan SCP untuk membatasi penggunaan dan izin yang tersedia untuk kredensial root-nya.

  • Menetapkan izin berdasarkan hak akses paling rendah, tetapi tidak menerapkan pagar pembatas pada kumpulan izin maksimum yang dapat diberikan.

  • Mengandalkan fondasi penolakan implisit AWS IAM untuk membatasi izin, yang meyakini bahwa kebijakan tidak akan memberikan izin eksplisit yang tidak diinginkan.

  • Menjalankan beberapa lingkungan beban kerja dalam lingkungan Akun AWS yang sama, dan kemudian mengandalkan berbagai mekanisme, seperti VPC, tanda, atau kebijakan sumber daya untuk memberlakukan batasan izin.

Manfaat menjalankan praktik terbaik ini: Pagar pembatas izin akan membantu Anda untuk membangun keyakinan bahwa izin yang tidak diinginkan tidak dapat diberikan, bahkan ketika kebijakan izin mencoba melakukannya.  Hal ini dapat menyederhanakan penentuan dan pengelolaan izin dengan mengurangi cakupan maksimum izin yang perlu dipertimbangkan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Sebaiknya Anda gunakan pendekatan berbasis lapisan untuk menentukan pagar pembatas izin bagi organisasi Anda. Pendekatan ini secara sistematis akan mengurangi izin maksimum yang mungkin digunakan saat lapisan tambahan diterapkan. Hal ini akan membantu Anda memberikan akses berdasarkan prinsip hak akses paling rendah, sehingga itu akan mengurangi risiko akses yang tidak diinginkan karena terjadinya kesalahan konfigurasi kebijakan.

Langkah pertama untuk membuat pagar pembatas izin adalah mengisolasi beban kerja dan lingkungan Anda ke dalam Akun AWS terpisah. Principal dari satu akun tidak dapat mengakses sumber daya yang ada di akun lain tanpa izin eksplisit untuk melakukannya, bahkan ketika kedua akun berada di organisasi AWS yang sama atau di bawah unit organisasi (OU) yang sama. Anda dapat menggunakan OU untuk mengelompokkan akun-akun yang ingin Anda kelola sebagai satu unit tunggal.   

Langkah selanjutnya adalah mengurangi izin maksimum yang dapat Anda berikan kepada principal yang ada dalam akun anggota di organisasi Anda. Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk tujuan ini, yang dapat Anda terapkan pada sebuah OU atau akun. SCP dapat memberlakukan kontrol akses umum, seperti membatasi akses ke Wilayah AWS tertentu, dan hal ini akan membantu mencegah sumber daya agar tidak dihapus, atau menonaktifkan tindakan layanan yang berpotensi berisiko. SCP yang Anda terapkan ke root organisasi Anda hanya akan memengaruhi akun-akun anggotanya saja, dan tidak akan berpengaruh pada akun manajemen.  SCP hanya mengatur principal yang ada dalam organisasi Anda. SCP Anda tidak mengatur principal yang ada di luar organisasi Anda yang mengakses sumber daya Anda.

Jika Anda menggunakan AWS Control Tower, Anda dapat memanfaatkan kontrol dan zona landasannya sebagai dasar untuk pagar pembatas izin dan lingkungan multi-akun Anda. Zona landasan menyediakan lingkungan dasar yang telah dikonfigurasi sebelumnya dan aman dengan akun terpisah untuk beban kerja dan aplikasi yang berbeda-beda. Pagar pembatas memberlakukan kontrol wajib seputar keamanan, operasi, dan kepatuhan melalui kombinasi Kebijakan Kontrol Layanan (SCP), aturan AWS Config, dan konfigurasi lainnya. Namun, saat menggunakan pagar pembatas dan zona landasan Control Tower bersama SCP Organisasi kustom, sangat penting untuk mengikuti praktik terbaik yang diuraikan dalam dokumentasi AWS untuk menghindari konflik dan memastikan tata kelola yang tepat. Lihat panduan AWS Control Tower untuk AWS Organizations guna mengetahui rekomendasi terperinci tentang pengelolaan SCP, akun, dan unit organisasi (OU) dalam lingkungan Control Tower.

Dengan mematuhi pedoman ini, Anda dapat secara efektif memanfaatkan pagar pembatas, zona landasan, dan SCP kustom Control Tower sambil mengurangi potensi konflik serta memastikan tata kelola dan kontrol yang tepat atas lingkungan AWS multi-akun Anda.

Langkah selanjutnya adalah menggunakan kebijakan sumber daya IAM untuk mencakup tindakan-tindakan yang tersedia yang dapat diambil pada sumber daya yang mereka atur, bersama dengan kondisi apa pun yang harus dipenuhi oleh principal. Ini bisa berupa memungkinkan semua tindakan selama principal adalah bagian dari organisasi Anda (menggunakan kunci kondisi PrincipalOrgId), atau sedetail hanya mengizinkan tindakan tertentu dengan peran IAM tertentu. Anda dapat mengambil pendekatan serupa terhadap kondisi dalam kebijakan kepercayaan peran IAM.  Jika kebijakan kepercayaan sumber daya atau peran secara eksplisit menyebutkan suatu principal di akun yang sama sebagai peran atau sumber daya yang diaturnya, principal tersebut tidak perlu dilampiri dengan kebijakan IAM yang memberikan izin yang sama.  Jika principal berada di akun yang berbeda dari sumber daya, maka principal memang perlu dilampiri dengan kebijakan IAM yang memberikan izin tersebut.

Sering kali, sebuah tim beban kerja ingin mengelola izin yang dibutuhkan beban oleh kerja mereka.  Hal ini mungkin mengharuskan mereka membuat peran IAM dan kebijakan izin IAM yang baru.  Anda dapat merekam cakupan maksimum izin yang boleh diberikan tim dalam batasan izin IAM, dan mengaitkan dokumen ini ke peran IAM yang kemudian dapat digunakan tim untuk mengelola peran IAM dan izin mereka.  Pendekatan ini dapat memberi mereka fleksibilitas untuk menyelesaikan pekerjaan mereka sambil memitigasi risiko yang timbul karena memiliki akses administratif.

Langkah yang lebih terperinci adalah menerapkan teknik manajemen akses istimewa (PAM) dan manajemen akses tinggi sementara (TEAM).  Salah satu contoh PAM adalah mewajibkan principal untuk melakukan autentikasi multi-faktor sebelum mengambil tindakan yang memerlukan hak akses istimewa.  Untuk informasi selengkapnya, lihat Mengonfigurasi akses API yang dilindungi MFA. TEAM memerlukan sebuah solusi yang mengelola persetujuan dan jangka waktu dari dan hingga kapan principal diizinkan memiliki akses yang ditingkatkan.  Salah satu pendekatannya adalah menambahkan principal untuk sementara ke kebijakan kepercayaan peran untuk peran IAM yang memiliki akses yang ditingkatkan.  Pendekatan lain adalah, dalam operasi normal, mengurangi izin yang diberikan kepada principal oleh peran IAM dengan menggunakan kebijakan sesi, dan kemudian mencabut sementara pembatasan ini selama jendela waktu yang disetujui. Untuk mempelajari lebih lanjut tentang solusi yang divalidasi oleh AWS dan mitra terpilih, lihat Akses yang ditingkatkan sementara.

Langkah-langkah implementasi

  1. Isolasikan beban kerja dan lingkungan Anda ke dalam Akun AWS terpisah.

  2. Gunakan SCP untuk mengurangi izin maksimum yang dapat diberikan kepada principal yang ada dalam akun anggota di organisasi Anda.

    1. Saat mendefinisikan SCP untuk mengurangi kumpulan izin maksimum yang dapat diberikan kepada pengguna utama dalam akun anggota organisasi Anda, Anda dapat memilih antara pendekatan daftar izinkan atau daftar tolak. Strategi daftar izinkan secara eksplisit menentukan akses yang diizinkan dan secara implisit memblokir semua akses lainnya. Strategi daftar tolak secara eksplisit menentukan akses yang tidak diizinkan dan mengizinkan semua akses lainnya secara default. Kedua strategi ini memiliki kelebihan dan kompromi masing-masing, dan pilihan yang tepat akan tergantung pada persyaratan dan model risiko spesifik organisasi Anda. Untuk detail selengkapnya, lihat Strategi untuk menggunakan SCP.

    2. Selain itu, tinjau contoh kebijakan kontrol layanan untuk memahami cara menyusun SCP secara efektif.

  3. Gunakan kebijakan sumber daya IAM untuk mengurangi cakupan dan menentukan kondisi untuk tindakan yang diizinkan pada sumber daya.  Gunakan kondisi dalam kebijakan kepercayaan peran IAM untuk membuat batasan pada pengambilan peran.

  4. Tetapkan batasan izin IAM ke peran IAM yang kemudian dapat digunakan tim beban kerja untuk mengelola peran IAM dan izin IAM beban kerja mereka sendiri.

  5. Evaluasi solusi PAM dan TEAM berdasarkan kebutuhan Anda.

Sumber daya

Dokumen terkait:

Contoh terkait:

Alat terkait: