Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membatasi Akses Agen di AWS Akun
AWS DevOps Agen menggunakan peran IAM untuk menemukan dan mendeskripsikan AWS sumber daya selama investigasi insiden dan evaluasi pencegahan. Anda dapat mengontrol tingkat akses yang dimiliki agen dengan mengonfigurasi kebijakan IAM yang dilampirkan pada peran ini. Topologi aplikasi tidak menunjukkan semua yang dapat diakses agen — kebijakan IAM adalah satu-satunya cara untuk benar-benar membatasi AWS layanan APIs dan sumber daya apa yang dapat diakses agen.
Memahami peran IAM untuk Agen AWS DevOps
AWS DevOps Agen menggunakan peran IAM untuk mengakses sumber daya dalam dua jenis akun:
Peran akun utama — Memberikan agen akses ke sumber daya di AWS akun tempat Anda membuat Ruang Agen.
Peran akun sekunder — Memberikan agen akses ke sumber daya di AWS akun tambahan yang Anda sambungkan ke Ruang Agen.
Untuk kedua jenis akun, Anda dapat membatasi AWS layanan mana yang dapat diakses agen, membatasi akses ke sumber daya tertentu dalam layanan tersebut, dan mengontrol wilayah mana agen dapat beroperasi.
Memilih batas sumber daya Anda
Saat membatasi akses sumber daya, Anda perlu menyertakan izin yang cukup agar agen berhasil menyelidiki insiden aplikasi. Hal ini mencakup:
Semua sumber daya untuk aplikasi dalam ruang lingkup yang harus dipantau dan diselidiki oleh agen
Semua infrastruktur pendukung yang bergantung pada aplikasi tersebut
Infrastruktur pendukung dapat mencakup:
Komponen jaringan (VPCs, subnet, penyeimbang beban, gateway API)
Penyimpanan data (database, cache, penyimpanan objek)
Menghitung sumber daya (instans EC2, fungsi Lambda, wadah)
Layanan pemantauan dan pencatatan (CloudWatch, CloudTrail)
Sumber daya identitas dan manajemen akses yang diperlukan untuk memahami izin
Jika Anda membatasi akses terlalu sempit, agen mungkin tidak dapat mengidentifikasi akar penyebab yang berasal dari infrastruktur pendukung di luar batas yang Anda tetapkan.
Membatasi akses layanan
Anda dapat membatasi AWS layanan mana yang dapat diakses agen dengan memodifikasi kebijakan IAM yang melekat pada peran agen. Saat membuat kebijakan khusus, ikuti praktik terbaik berikut:
Berikan izin hanya-baca saja — Agen perlu membaca konfigurasi sumber daya, metrik, dan log selama penyelidikan. Hindari pemberian izin yang memungkinkan agen untuk memodifikasi atau menghapus sumber daya.
Batasi layanan yang diperlukan — Sertakan hanya AWS layanan yang berisi sumber daya yang relevan dengan aplikasi Anda. Misalnya, jika aplikasi Anda tidak menggunakan Amazon RDS, jangan sertakan izin RDS dalam kebijakan.
Gunakan tindakan spesifik alih-alih wildcard — Alih-alih memberikan
service:*izin, tentukan tindakan individual seperti atau.cloudwatch:GetMetricDataec2:DescribeInstances
Contoh kebijakan yang membatasi layanan tertentu:
json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarms", "logs:GetLogEvents", "logs:FilterLogEvents", "ec2:DescribeInstances", "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }
Membatasi akses sumber daya
Untuk membatasi agen ke sumber daya tertentu dalam layanan, gunakan izin tingkat sumber daya dalam kebijakan IAM Anda. Ini memungkinkan Anda memberikan akses hanya ke sumber daya yang cocok dengan pola tertentu.
Menggunakan pola ARN sumber daya:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*:*:function:production-*" } ] }
Contoh ini membatasi agen untuk hanya mengakses fungsi Lambda dengan nama yang dimulai dengan “produksi-”.
Menggunakan pembatasan berbasis tag:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "production" } } } ] }
Contoh ini membatasi agen untuk hanya mengakses instans EC2 yang ditandai. Environment=production
Membatasi akses regional
Untuk membatasi AWS wilayah mana yang dapat diakses agen, gunakan kunci aws:RequestedRegion kondisi dalam kebijakan IAM Anda:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:Describe*", "lambda:Get*", "cloudwatch:Get*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "us-east-1", "us-west-2" ] } } } ] }
Contoh ini membatasi agen untuk mengakses sumber daya hanya di wilayah us-east-1 dan us-west-2.
Membuat kebijakan IAM khusus
Saat membuat Ruang Agen atau menambahkan akun sekunder, Anda memiliki opsi untuk membuat peran IAM kustom menggunakan templat kebijakan. Ini memungkinkan Anda untuk menerapkan prinsip hak istimewa paling sedikit.
Saat membuat Ruang Agen
Dari konsol DevOps Agen di Konsol AWS Manajemen...
Pilih Buat peran DevOps Agen baru menggunakan dokumen kebijakan dan ikuti petunjuknya
Saat mengedit Ruang Agen
Dari konsol DevOps Agen di Konsol AWS Manajemen...
Pilih tab Kemampuan
Pilih akun sekunder yang ingin Anda edit dari bagian Cloud dan klik Edit
Pilih Buat kebijakan DevOps Agen baru menggunakan templat dan ikuti petunjuknya
Praktik terbaik kebijakan kustom
Berikan izin hanya-baca saja - Hindari izin yang memungkinkan modifikasi atau penghapusan sumber daya
Gunakan izin tingkat sumber daya bila memungkinkan — Batasi akses ke sumber daya tertentu menggunakan pola atau tag ARN
Tinjau dan audit izin secara berkala - Tinjau kebijakan IAM agen secara berkala untuk memastikan kebijakan tersebut tetap selaras dengan persyaratan keamanan Anda
