Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses
Anda dapat menggunakan informasi yang diakses terakhir untuk membuat keputusan tentang izin yang Anda berikan kepada entitas atau AWS Organizations entitas IAM Anda. Untuk informasi selengkapnya, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).
**catatan**
Sebelum Anda melihat informasi akses untuk entitas atau kebijakan di IAM atau AWS Organizations, pastikan Anda memahami periode pelaporan, entitas yang dilaporkan, dan jenis kebijakan yang dievaluasi untuk data Anda. Untuk lebih detailnya, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](access_policies_last-accessed.md#access_policies_last-accessed-know).
Sebagai administrator Anda bebas untuk menyeimbangkan ketersediaan akses dan hak istimewa terkecil untuk perusahaan Anda.
## Menggunakan informasi untuk mengurangi izin bagi grup IAM
Anda dapat menggunakan informasi yang terakhir diakses untuk mengurangi izin grup IAM hanya untuk menyertakan layanan yang dibutuhkan pengguna Anda. Metode ini merupakan langkah penting dalam [memberikan hak istimewa terkecil](best-practices.md#grant-least-privilege) pada tingkat layanan.
Sebagai contoh, Paulo Santos adalah administrator yang bertanggung jawab untuk mendefinisikan izin AWS pengguna untuk Contoh Corp. Perusahaan ini baru saja mulai menggunakan AWS, dan tim pengembangan perangkat lunak belum menentukan layanan apa yang AWS akan mereka gunakan. Paulo ingin memberikan izin kepada tim untuk hanya mengakses layanan yang mereka butuhkan, tetapi karena itu belum ditentukan, dia sementara memberikan izin penggunaan daya. Kemudian dia menggunakan informasi yang diakses terakhir untuk mengurangi izin kelompok.
Paulo membuat kebijakan terkelola bernama `ExampleDevelopment` menggunakan teks JSON berikut. Lalu ia melampirkannya ke kelompok bernama `Development` dan menambahkan semua developer ke kelompok.
**catatan**
Pengguna daya Paulo mungkin membutuhkan izin `iam:CreateServiceLinkedRole` untuk menggunakan beberapa layanan dan fitur. Dia mengerti bahwa dia menambahkan izin ini memungkinkan pengguna membuat peran terkait layanan apa pun. Dia menerima risiko ini untuk pengguna dayanya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccessToAllServicesExceptPeopleManagement",
"Effect": "Allow",
"NotAction": [
"iam:*",
"organizations:*"
],
"Resource": "*"
},
{
"Sid": "RequiredIamAndOrgsActions",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
Paulo memutuskan untuk menunggu selama 90 hari sebelum [melihat informasi yang terakhir diakses](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing) untuk `Development` menggunakan Konsol Manajemen AWS. Dia melihat daftar layanan yang diakses anggota grup. Dia mengetahui bahwa pengguna mengakses lima layanan dalam seminggu terakhir: AWS CloudTrail, Amazon CloudWatch Logs, Amazon EC2 AWS KMS,, dan Amazon S3. Mereka mengakses beberapa layanan lain ketika mereka pertama kali mengevaluasi AWS, tetapi tidak sejak saat itu.
Paulo memutuskan untuk mengurangi izin kebijakan untuk memasukkan hanya lima layanan tersebut dan IAM serta tindakan yang diperlukan. AWS Organizations Dia menyunting `ExampleDevelopment` menggunakan teks JSON berikut.
**catatan**
Pengguna daya Paulo mungkin membutuhkan izin `iam:CreateServiceLinkedRole` untuk menggunakan beberapa layanan dan fitur. Dia mengerti bahwa dia menambahkan izin ini memungkinkan pengguna membuat peran terkait layanan apa pun. Dia menerima risiko ini untuk pengguna dayanya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccessToListedServices",
"Effect": "Allow",
"Action": [
"s3:*",
"kms:*",
"cloudtrail:*",
"logs:*",
"ec2:*"
],
"Resource": "*"
},
{
"Sid": "RequiredIamAndOrgsActions",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
Untuk lebih mengurangi izin, Paulo dapat melihat kegiatan akun di AWS CloudTrail **Riwayat peristiwa**. Di sana, ia dapat melihat informasi kegiatan terperinci yang dapat ia gunakan untuk mengurangi izin kebijakan untuk hanya mencakup tindakan dan sumber daya yang dibutuhkan oleh developer. Untuk informasi selengkapnya, lihat [Melihat CloudTrail Acara di CloudTrail Konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) di *Panduan AWS CloudTrail Pengguna*.
## Menggunakan informasi untuk mengurangi izin bagi pengguna IAM
Anda dapat menggunakan informasi yang diakses terakhir untuk mengurangi izin bagi pengguna IAM secara individu.
Misalnya, Martha Rivera adalah administrator TI yang bertanggung jawab untuk memastikan bahwa orang-orang di perusahaannya tidak memiliki izin berlebih AWS . Sebagai bagian dari pemeriksaan keamanan berkala, dia meninjau izin semua pengguna IAM. Salah satu pengguna ini adalah developer aplikasi bernama Nikhil Jayashankar, yang sebelumnya telah memegang peran sebagai teknisi IT Karena perubahan dalam persyaratan pekerjaan, Nikhil adalah anggota baik grup `app-dev` maupun grup `security-team`. Grup `app-dev` sebagai pekerjaan barunya memberikan izin untuk beberapa layanan termasuk Amazon EC2 Amazon EBS Auto Scaling Amazon S3 Route 53, dan Elastic Transcoder. Grup `security-team` sebagai pekerjaan lama memberikan izin untuk IAM dan CloudTrail.
**Sebagai administrator, Martha masuk ke konsol IAM dan memilih **Pengguna**, memilih nama`nikhilj`, dan kemudian memilih tab Terakhir Diakses.**
Martha meninjau kolom **Terakhir Diakses** dan pemberitahuan bahwa Nikhil belum mengakses IAM,, Route 53 CloudTrail, Amazon Elastic Transcoder, dan sejumlah layanan lainnya. AWS Nikhil telah mengakses Amazon S3. Martha memilih **S3** dari daftar layanan dan mengetahui bahwa Nikhil telah melakukan beberapa tindakan Amazon S3 dalam dua minggu terakhir. `List` Di dalam perusahaannya, Martha menegaskan bahwa Nikhil tidak memiliki kebutuhan bisnis untuk mengakses IAM dan CloudTrail lagi karena dia tidak lagi menjadi anggota tim keamanan internal.
Martha sekarang siap bertindak atas layanan tersebut dan tindakan informasi yang terakhir diakses. Namun, tidak seperti grup pada contoh sebelumnya, pengguna IAM seperti `nikhilj` mungkin tunduk pada beberapa kebijakan dan menjadi anggota dari beberapa kelompok. Martha harus berhati-hati agar tidak mengganggu akses `nikhilj` atau anggota grup lainnya. Sebagai tambahan dalam hal untuk mempelajari apa akses yang harus dimiliki Nikhil, ia harus menentukan *cara* dia menerima izin ini.
Martha memilih tab **Izin**, tempatnya melihat kebijakan mana yang terkait secara langsung ke `nikhilj` dan yang terlampir di grup. Ia membuka lebih lanjut setiap kebijakan dan melihat ringkasan kebijakan untuk mempelajari kebijakan yang memungkinkan akses ke layanan yang tidak digunakan oleh Nikhil:
+ IAM — Kebijakan `IAMFullAccess` AWS terkelola dilampirkan langsung ke `nikhilj` dan dilampirkan ke `security-team` grup.
+ CloudTrail — Kebijakan `AWS CloudTrailReadOnlyAccess` AWS terkelola dilampirkan pada `security-team` grup.
+ Route 53 – Kebijakan terkelola pelanggan `App-Dev-Route53` dilampirkan pada grup `app-dev`.
+ Transkoder Elastis – Kebijakan terkelola pelanggan `App-Dev-ElasticTranscoder` terlampir pada grup `app-dev`.
Martha memutuskan untuk menghapus kebijakan `IAMFullAccess` AWS terkelola yang dilampirkan `nikhilj` langsung. Dia juga menghapus keanggotaan Nikhil ke grup `security-team`. Kedua tindakan ini menghapus akses yang tidak perlu ke IAM dan CloudTrail.
Izin Nikhil untuk mengakses Route 53 dan Transkoder Elastis diberikan oleh grup `app-dev`. Meskipun Nikhil tidak menggunakan layanan tersebut, anggota lain kelompok tersebut mungkin saja demikian. Martha meninjau informasi yang terakhir diakses untuk grup `app-dev` dan mempelajari bahwa beberapa anggota mengakses Route 53 dan Amazon S3 baru-baru ini. Namun, tidak ada anggota kelompok yang telah mengakses Transkoder Elastis tahun lalu. Dia menghapus kebijakan pengelolaan pelanggan `App-Dev-ElasticTranscoder` dari grup.
Martha kemudian meninjau informasi yang terakhir diakses untuk `App-Dev-ElasticTranscoder` kebijakan terkelola pelanggan. Dia belajar bahwa kebijakan tersebut tidak terkait dengan identitas IAM lainnya. Ia menginvestigasi dalam perusahaannya untuk memastikan bahwa kebijakan tersebut tidak diperlukan di waktu yang akan datang, kemudian ia menghapusnya.
## Menggunakan informasi sebelum menghapus sumber daya IAM
Anda dapat menggunakan informasi yang terakhir diakses sebelum Anda menghapus sumber daya IAM untuk memastikan bahwa sudah sekian lama sejak seseorang terakhir menggunakan sumber daya tersebut. Ini berlaku untuk pengguna, grup, peran, dan kebijakan. Untuk mempelajari lebih lanjut tentang tindakan ini, lihat topik berikut:
+ **Pengguna IAM** — [Hapus atau nonaktifkan pengguna IAM](id_users_remove.md)
+ **Grup** - [Hapus grup IAM](id_groups_manage_delete.md)
+ **Peran** - [Hapus peran atau profil contoh](id_roles_manage_delete.md)
+ **Kebijakan** — [Hapus kebijakan IAM (ini juga memisahkan kebijakan dari identitas](access_policies_manage-delete.md))
## Menggunakan informasi sebelum menyunting kebijakan IAM
Anda dapat meninjau informasi terakhir yang diakses untuk identitas IAM (pengguna, grup, atau peran), atau untuk kebijakan IAM sebelum menyunting kebijakan yang memengaruhi sumber daya tersebut. Ini penting karena Anda tidak ingin menghapus akses untuk orang yang menggunakannya.
Misalnya, Arnav Desai adalah pengembang dan AWS administrator untuk Example Corp. Ketika timnya mulai menggunakan AWS, mereka memberi semua pengembang akses power-user yang memungkinkan mereka akses penuh ke semua layanan kecuali IAM dan. AWS Organizations Sebagai langkah pertama untuk memberikan [hak istimewa paling rendah](best-practices.md#grant-least-privilege), Arnav ingin menggunakan AWS CLI untuk meninjau kebijakan yang dikelola dalam akunnya.
Untuk melakukannya, Arnav terlebih dahulu mencantumkan kebijakan izin yang dikelola pelanggan di akunnya yang terlampir ke suatu identitas, menggunakan perintah berikut:
```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```
Dari respons tersebut, dia mengambil ARN untuk setiap kebijakan. Arnav membuat laporan untuk informasi yang terakhir diakses bagi setiap kebijakan dengan menggunakan perintah berikut.
```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```
Dari respons tersebut, dia mengambil ID dari laporan yang dihasilkan dari bidang `JobId`. Arnav kemudian melakukan jajak pendapat perintah berikut sampai bidang `JobStatus` menghasilkan nilai `COMPLETED` atau `FAILED`. Jika tugas gagal, ia akan menangkap kesalahan.
```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```
Saat pekerjaan memiliki status `COMPLETED`, Arnav mengurai isi dari himpunan format JSON `ServicesLastAccessed`.
```
"ServicesLastAccessed": [
{
"TotalAuthenticatedEntities": 1,
"LastAuthenticated": 2018-11-01T21:24:33.222Z,
"ServiceNamespace": "dynamodb",
"LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
"ServiceName": "Amazon DynamoDB"
},
{
"TotalAuthenticatedEntities": 0,
"ServiceNamespace": "ec2",
"ServiceName": "Amazon EC2"
},
{
"TotalAuthenticatedEntities": 3,
"LastAuthenticated": 2018-08-25T15:29:51.156Z,
"ServiceNamespace": "s3",
"LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
"ServiceName": "Amazon S3"
}
]
```
Dari informasi ini, Arnav mengetahui bahwa `ExamplePolicy1` kebijakan tersebut memungkinkan akses ke tiga layanan, Amazon DynamoDB, Amazon S3, dan Amazon EC2. Pengguna IAM bernama `IAMExampleUser` terakhir mencoba mengakses DynamoDB pada 1 November, dan seseorang menggunakan `IAMExampleRole` peran tersebut untuk mencoba mengakses Amazon S3 pada 25 Agustus. Ada pula dua entitas lagi yang mencoba mengakses Amazon S3 tahun lalu. Namun, tidak ada yang telah mencoba mengakses Amazon EC2 tahun lalu.
Ini berarti bahwa Arnav dapat dengan aman menghapus tindakan Amazon EC2 dari kebijakan. Arnav ingin meninjau berkas JSON saat ini untuk kebijakan tersebut. Pertama, ia harus menentukan nomor versi kebijakan menggunakan perintah berikut.
```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```
Dari respons tersebut, Arnav mengumpulkan nomor versi default saat ini dari himpunan `Versions`. Kemudian dia menggunakan nomor versi tersebut (`v2`) meminta berkas kebijakan JSON dengan menggunakan perintah berikut.
```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```
Arnav menyimpan dokumen kebijakan JSON yang dikembalikan di `Document` bidang himpunan `PolicyVersion`. Dalam dokumen kebijakan, Arnav mencari tindakan yang dalam namespace `ec2`. Jika tidak ada tindakan dari namespace lain yang tersisa dalam kebijakan, maka dia memisahkan kebijakan dari identitas yang terdampak (pengguna, grup, dan peran). Kemudian, dia menghapus kebijakan tersebut. Dalam hal ini, kebijakan tersebut mencakup layanan Amazon DynamoDB dan Amazon S3. Jadi Arnav menghapus tindakan Amazon EC2 dari dokumen dan menyimpan perubahannya. Kemudian, ia menggunakan perintah berikut untuk memperbarui kebijakan dengan menggunakan versi baru berkas tersebut dan menetapkan versi tersebut sebagai versi kebijakan standar.
```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```
`ExamplePolicy1` kebijakan ini diperbarui untuk menghapus akses ke layanan Amazon EC2 yang tidak perlu.
## Skenario IAM lainnya
Informasi tentang ketika sumber daya IAM (pengguna, grup, peran, atau kebijakan) yang terakhir kali diupayakan untuk mengakses layanan dapat membantu Anda setelah menyelesaikan tugas berikut:
+ **Kebijakan** – [Menyunting kebijakan yang dikelola pelanggan atau kebijakan selaras yang sudah ada untuk menghapus izin](access_policies_manage-edit.md)
+ **Kebijakan** – [Mengonversi kebijakan selaras ke kebijakan terkelola dan kemudian menghapusnya](access_policies-convert-inline-to-managed.md)
+ **Kebijakan** – [Menambahkan penolakan secara eksplisit ke kebijakan yang sudah ada](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **Policies** – [Melepas kebijakan terkelola dari suatu identitas (pengguna, grup, atau peran)](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **Entitas** – [Atur batas izin untuk mengendalikan perizinan maksimum yang dapat dimiliki oleh entitas (pengguna atau peran)](access_policies_manage-attach-detach.md)
+ **Kelompok** – [Menghapus pengguna dari grup](id_groups_manage_add-remove-users.md)
## Menggunakan informasi untuk memperbaiki izin unit organisasi.
Anda dapat menggunakan informasi yang diakses terakhir untuk memperbaiki izin unit organisasi (OU) di AWS Organizations.
Misalnya, John Stiles adalah seorang AWS Organizations administrator. Dia bertanggung jawab untuk memastikan bahwa orang-orang di perusahaan Akun AWS tidak memiliki izin berlebih. Sebagai bagian dari audit keamanan berkala, ia meninjau izin dari organisasinya. OU `Development`-nya berisikan akun yang sering digunakan untuk menguji layanan AWS baru. John memutuskan untuk secara berkala meninjau laporan bagi layanan yang belum diakses dalam lebih dari 180 hari. Kemudian, ia menghapus izin bagi anggota OU untuk mengakses layanan tersebut.
John masuk ke konsol IAM menggunakan kredensial akun manajemennya. Di konsol IAM, ia menemukan AWS Organizations data untuk OU. `Development` Dia meninjau tabel **laporan akses Layanan** dan melihat dua AWS layanan yang belum diakses lebih dari periode yang diinginkannya selama 180 hari. Dia ingat menambahkan izin untuk tim pengembangan untuk mengakses Amazon Lex dan. AWS Database Migration Service John menghubungi tim pengembangan dan mengonfirmasi bahwa mereka tidak lagi memiliki kepentingan bisnis untuk menguji layanan ini.
John sekarang siap bertindak atas informasi yang terakhir diakses. Dia memilih **Edit di AWS Organizations** dan diingatkan bahwa SCP melekat pada beberapa entitas. Dia memilih **Lanjutkan**. Pada tahun AWS Organizations, ia meninjau target untuk mempelajari AWS Organizations entitas mana yang dilampirkan SCP. Semua entitas berada dalam OU `Development`.
John memutuskan untuk menolak akses ke Amazon Lex dan AWS Database Migration Service tindakan di `NewServiceTest` SCP. Tindakan ini menghapus akses yang tidak perlu ke layanan.