Apa itu Manajemen Akses Identitas di AWS?
Diterbitkan: 2019-08-09Amazon Web Services (AWS) adalah bagian besar dari infrastruktur Internet. Perkiraan yang dilaporkan oleh TheVerge mengatakan bahwa sekitar 40% dari semua lalu lintas Internet berjalan di AWS. Layanan Internet paling populer yang digunakan oleh jutaan orang dapat ditemukan berjalan di AWS termasuk Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify, dan banyak lagi. Seluruh situs web dan layanan online populer tidak hanya berjalan di AWS; banyak situs web menggunakan AWS sebagai dukungan untuk bagian dari kehadiran online mereka.
Ketika AWS turun, seperti yang terjadi sesekali, bagian-bagian besar dari apa yang dikenal sebagai Internet berhenti berfungsi. Masalah teknis dan pelanggaran keamanan dapat menyebabkan kegagalan ini. Ini berarti bahwa Amazon menangani masalah keamanan dengan sangat serius. AWS melindungi jaringan dan kliennya dari akses tidak sah dengan menggunakan manajemen akses identitas yang kuat.
Apa itu Manajemen Akses Identitas?
Manajemen akses identitas (IAM) adalah program perangkat lunak atau layanan berbasis web yang digunakan untuk mengontrol akses ke sumber daya jaringan secara aman. Sistem IAM pertama-tama mengautentikasi pengguna melalui proses masuk yang dilindungi kata sandi dan kemudian mengizinkan pengguna mengakses sumber daya jaringan sesuai dengan izin resmi mereka untuk menggunakannya.
Untuk layanan berbasis cloud, manajemen akses pengguna cloud menggunakan sistem otentikasi berbasis cloud untuk menentukan identitas pengguna dan kemudian mengizinkan akses resmi. Amazon Web Services (AWS) memiliki sistem manajemen akses identitas yang bekerja dengan sistem cloud AWS.
Identitas AWS dan Manajemen Akses
Manajemen akses dan identitas AWS dimulai dengan pembuatan akun AWS. Pada awalnya, pengguna memiliki identitas masuk unik yang membuat pengguna root yang memiliki akses penuh ke layanan AWS untuk akun tersebut. Akun pengguna root menggunakan alamat email seseorang dan kata sandi yang mereka buat untuk otentikasi.
Pengguna AWS harus menjaga informasi akun pengguna root ini dengan sangat hati-hati karena akunlah yang dapat mengakses semuanya. Lihat bagian praktik terbaik di bawah ini untuk mempelajari cara terbaik mengamankan informasi ini.
Beberapa fitur AWS IAM meliputi:
- Akses Bersama — Ini memungkinkan pengguna lain memiliki akses ke akun AWS dengan menggunakan kredensial masuk mereka.
- Izin Resmi Granular — Pengguna dapat diberikan akses sesuai dengan izin yang dipilih secara khusus, mulai dari akses penuh hingga akses grup hingga akses aplikasi hingga akses file khusus yang dilindungi kata sandi dan semua yang ada di antaranya.
- Otentikasi Dua Faktor — Pilihan keamanan opsional ini mengharuskan pengguna yang berwenang untuk menggunakan kata sandi/kunci akses yang benar dan menanggapi kode pesan teks yang dikirim ke perangkat atau alamat email, seperti ponsel cerdas atau akun email pengguna.
- API Aman — Antarmuka pemrograman aplikasi yang aman memberi program perangkat lunak kemampuan untuk terhubung ke data dan layanan pada sistem AWS yang diperlukan untuk menjalankan fungsinya.
- Federasi Identitas — Ini memungkinkan kata sandi pengguna yang berwenang untuk disimpan di tempat lain di sistem lain yang digunakan untuk identifikasi.
- Audit Penggunaan — Dengan menggunakan layanan AWS CloudTrial, log lengkap aktivitas akses akun pengguna dicatat untuk audit keamanan TI.
Memahami Cara Kerja AIM di AWS
Manajemen akses identitas Amazon didasarkan pada prinsip-prinsip struktur izin berjenjang yang mencakup sumber daya, identitas, entitas, dan prinsipal.
#Sumber daya
Sumber daya dapat ditambahkan, diedit, atau dihapus dari sistem AWS IAM. Sumber daya adalah pengguna, grup, peran, kebijakan, dan objek untuk penyedia identitas yang disimpan oleh sistem.
#Identitas
Ini adalah objek sumber daya AWS IAM yang menghubungkan kebijakan dengan identitas untuk menentukan pengguna, peran, dan grup.
#Entitas
Inilah yang digunakan sistem AWS IAM sebagai objek sumber daya untuk tujuan autentikasi. Pada sistem AWS, mereka adalah pengguna dan peran resmi mereka. Sebagai opsi, mereka dapat berasal dari sistem identifikasi gabungan atau SAML yang menyediakan verifikasi identitas berbasis web.
#Kepala Sekolah
Ini dapat berupa pengguna individu atau aplikasi perangkat lunak resmi yang dikenali sebagai pengguna AWS IAM atau peran IAM yang berwenang untuk masuk dan meminta akses ke data dan layanan.
Praktik Terbaik untuk Administrasi AWS
Berikut adalah beberapa praktik terbaik yang harus diikuti untuk administrasi AWS.
1. Keamanan Akun Pengguna Root
Akun pengguna root yang dibuat saat pertama kali menggunakan AWS memiliki kekuatan paling besar dan merupakan “kunci utama” untuk akun AWS. Seharusnya hanya digunakan untuk mengatur akun dan hanya untuk beberapa operasi manajemen akun dan layanan yang diperlukan. Log-on awal memerlukan alamat email dan kata sandi.
Praktik terbaik untuk melindungi akun root ini adalah dengan menggunakan alamat email sekali pakai yang sangat kompleks dengan minimal 8 karakter (dengan simbol, huruf besar, huruf kecil, dan angka) sebelum tanda “@”. Selain itu, gunakan kata sandi yang unik, berbeda dengan alamat email yang juga panjangnya minimal 8 karakter, yang meliputi simbol, angka, huruf kapital, dan huruf kecil. Kata sandi yang lebih panjang lebih baik.
Setelah akun AWS sepenuhnya disiapkan dan dibuat, akun administratif lainnya dibuat untuk penggunaan reguler.
Setelah kebutuhan akun pengguna root untuk memulai semuanya selesai, simpan informasi akses akun root pada drive USB dengan menguncinya dengan enkripsi dan kemudian pisahkan kunci enkripsi. Letakkan drive USB secara offline di brankas yang terkunci, di mana dapat disimpan dengan aman sampai dibutuhkan di masa mendatang.
2. Batasi Izin
Berikan pengguna dan aplikasi hanya izin yang tepat yang mereka butuhkan untuk melakukan pekerjaan mereka. Berhati-hatilah dalam memberikan akses ke informasi rahasia dan layanan yang sangat penting.
3. Masalah Keamanan
Keamanan adalah masalah yang sedang berlangsung. Ini dimulai dengan struktur desain akses pengguna yang solid dan kemudian menggunakan audit berkelanjutan untuk mendeteksi upaya akses yang tidak sah serta mengelola kata sandi pengguna untuk kompleksitas yang cukup dan perubahan kata sandi secara teratur. Penting untuk segera menghentikan akses pengguna ketika tidak lagi dibutuhkan atau diinginkan. Sangat disarankan menggunakan AWS CloudTrial untuk tujuan audit.
4. Enkripsi
Saat memberikan akses ke AWS dari perangkat yang menggunakan Internet, pastikan untuk menggunakan enkripsi titik-ke-titik, seperti SSL, untuk memastikan data tidak terganggu saat transit.
5. FAQ Tentang AWS Identity Access Management
Pertanyaan yang sering diajukan tentang manajemen akses identitas AWS mencakup beberapa kuesioner untuk menangani masalah yang membantu Anda untuk manajemen akses AWS.
Detail Teknis dari AWS Access Management
Manajemen akses AWS memiliki bagan yang menunjukkan bagaimana protokol IAM berinteraksi dengan sistem berbasis cloud AWS lengkap. Protokol IAM mencakup kebijakan berbasis identitas, kebijakan berbasis sumber daya, dan kebijakan lain yang digunakan untuk otorisasi.
Selama proses otorisasi, sistem AWS memeriksa kebijakan untuk memutuskan tentang mengizinkan atau menolak akses.
Struktur kebijakan secara keseluruhan didasarkan pada serangkaian prinsip utama yang berjenjang yang meliputi:
- Hanya pengguna akun root yang memiliki akses penuh. Secara default, semua permintaan akses lainnya ditolak.
- Hanya identitas eksplisit atau kebijakan sumber daya yang dapat menggantikan default sistem.
- Batas izin untuk sesi atau berdasarkan kebijakan struktural organisasi (SCP) dapat menimpa akses yang diberikan oleh kebijakan berbasis identitas atau berbasis sumber daya.
- Aturan penolakan khusus menimpa semua akses yang diizinkan di bawah parameter lain.
Tutorial AWS IAM
Amazon menawarkan tutorial bagi mereka yang ingin mempelajari lebih lanjut tentang pengaturan identitas dan manajemen akses di AWS.
Masalah seputar penyiapan AWS IAM dan menggunakannya dengan benar sangatlah kompleks. Untuk memastikan lebih mudah bagi pelanggan baru untuk menggunakan sistem, Amazon menghasilkan banyak tutorial bermanfaat yang meliputi:
- Delegasikan Akses Konsol Penagihan ke Konsol Penagihan
- Gunakan Peran IAM untuk Akun AWS untuk Mendelegasikan Akses
- Buat Kebijakan yang Dikelola Pelanggan Pertama
- Aktifkan Pengguna untuk Mengonfigurasi Kredensial dan Pengaturan MFA
AWS adalah pemimpin industri karena berbagai alasan. Amazon membutuhkan layanan cloud ini untuk operasinya. Menjadi jelas bahwa menawarkan layanan ini kepada orang lain adalah peluang bisnis bagi Amazon dengan potensi tinggi. Sekarang, apa yang dimulai sebagai bisnis sampingan untuk Amazon telah menjadi bagian utama dari infrastruktur Internet di seluruh dunia.
Menggunakan sistem AWS hampir di mana-mana dengan menggunakan Internet secara keseluruhan. Luangkan waktu untuk menyiapkan kebijakan IAM guna melindungi keamanan dengan memperhatikan detail. Mengelola sistem IAM adalah prioritas tinggi bagi administrator jaringan. Gabungkan ini dengan audit keamanan TI reguler untuk mengungkap potensi masalah.