Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Konfigurasi keamanan dan peran IAM **eb migrate**Perintah mengelola konfigurasi AWS keamanan melalui peran IAM, profil instance, dan peran layanan. Memahami komponen-komponen ini memastikan kontrol akses yang tepat dan kepatuhan keamanan selama migrasi. ## Konfigurasi profil instance Profil instans berfungsi sebagai wadah untuk peran IAM yang dilampirkan Elastic Beanstalk ke instans EC2 di lingkungan Anda. Saat mengeksekusi**eb migrate**, Anda dapat menentukan profil instance khusus: ``` PS C:\migrations_workspace> eb migrate --instance-profile "CustomInstanceProfile" ``` Jika Anda tidak menentukan profil **eb migrate** instance, buat profil default dengan izin berikut: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-*", "arn:aws:s3:::elasticbeanstalk-*/*" ] } ] } ``` ------ ## Manajemen peran layanan Peran layanan memungkinkan Elastic Beanstalk mengelola sumber daya atas nama AWS Anda. Tentukan peran layanan kustom selama migrasi dengan perintah berikut: ``` PS C:\migrations_workspace> eb migrate --service-role "CustomServiceRole" ``` Jika tidak ditentukan, **eb migrate** buat peran layanan default yang diberi nama `aws-elasticbeanstalk-service-role` dengan kebijakan kepercayaan yang memungkinkan Elastic Beanstalk untuk mengambil peran tersebut. Peran layanan ini sangat penting bagi Elastic Beanstalk untuk memantau kesehatan lingkungan Anda dan melakukan pembaruan platform terkelola. Peran layanan memerlukan dua kebijakan terkelola: + `AWSElasticBeanstalkEnhancedHealth`- Memungkinkan Elastic Beanstalk untuk memantau instans dan kesehatan lingkungan menggunakan sistem pelaporan kesehatan yang ditingkatkan + `AWSElasticBeanstalkManagedUpdates`- Memungkinkan Elastic Beanstalk untuk melakukan pembaruan platform terkelola, termasuk memperbarui sumber daya lingkungan saat versi platform baru tersedia Dengan kebijakan ini, peran layanan memiliki izin untuk: + Membuat dan mengelola grup Auto Scaling + Membuat dan mengelola Application Load Balancers + Unggah log ke Amazon CloudWatch + Kelola instans EC2 Untuk informasi selengkapnya tentang peran layanan, lihat [Peran layanan Elastic Beanstalk](concepts-roles-service.md) di Panduan Pengembang Elastic Beanstalk. ## Konfigurasi grup keamanan **eb migrate**Perintah secara otomatis mengkonfigurasi grup keamanan berdasarkan binding situs IIS Anda. Misalnya, jika lingkungan sumber Anda memiliki situs yang menggunakan port 80, 443, dan 8081 hasil konfigurasi berikut: ``` ``` Proses migrasi menyelesaikan tindakan berikut: + Membuat grup keamanan penyeimbang beban yang memungkinkan lalu lintas masuk pada port 80 dan 443 dari internet (0.0.0.0/0) + Membuat grup keamanan EC2 yang memungkinkan lalu lintas dari penyeimbang beban + Mengkonfigurasi port tambahan (seperti 8081) jika ditentukan `--copy-firewall-config` Secara default, Application Load Balancer dikonfigurasi dengan akses publik dari internet. Jika Anda perlu menyesuaikan perilaku ini, seperti membatasi akses ke rentang IP tertentu atau menggunakan penyeimbang beban pribadi, Anda dapat mengganti konfigurasi VPC dan grup keamanan default menggunakan parameter: `--vpc-config` ``` PS C:\migrations_workspace> eb migrate --vpc-config vpc-config.json ``` Misalnya, `vpc-config.json` konfigurasi berikut membuat penyeimbang beban pribadi di subnet pribadi: ``` { "id": "vpc-12345678", "publicip": "false", "elbscheme": "internal", "ec2subnets": ["subnet-private1", "subnet-private2"], "elbsubnets": ["subnet-private1", "subnet-private2"] } ``` Untuk informasi selengkapnya tentang opsi konfigurasi VPC, lihat. [Konfigurasi VPC](dotnet-migrating-applications-network.md#dotnet-migrating-applications-network-vpc) ## Integrasi sertifikat SSL Saat memigrasi situs dengan binding HTTPS, integrasikan sertifikat SSL melalui AWS Certificate Manager (ACM): ``` PS C:\migrations_workspace> eb migrate --ssl-certificates "arn:aws:acm:region:account:certificate/certificate-id" ``` Konfigurasi ini melengkapi tindakan berikut: + Mengaitkan sertifikat dengan Application Load Balancer + Mempertahankan penghentian HTTPS di penyeimbang beban + Mempertahankan komunikasi HTTP internal antara load balancer dan instans EC2 ## Otentikasi Windows Untuk aplikasi yang menggunakan Windows Authentication, **eb migrate** mempertahankan pengaturan otentikasi dalam aplikasi sebagai berikut: `web.config` ``` ``` **penting** **eb migrate**Perintah tidak menyalin profil pengguna atau akun dari lingkungan sumber Anda ke instance Elastic Beanstalk target. Akun atau grup pengguna kustom apa pun yang telah Anda buat di server sumber Anda perlu dibuat ulang di lingkungan target setelah migrasi. Akun Windows bawaan seperti `IUSR` dan grup seperti`IIS_IUSRS`, serta semua akun dan grup bawaan lainnya, disertakan secara default pada instance Windows Server target. Untuk informasi selengkapnya tentang akun dan grup IIS [bawaan, lihat Memahami Akun Pengguna dan Grup Bawaan di IIS](https://learn.microsoft.com/en-us/iis/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis) dalam dokumentasi Microsoft. Jika aplikasi Anda bergantung pada akun pengguna Windows kustom atau integrasi Active Directory, Anda perlu mengonfigurasi aspek-aspek ini secara terpisah setelah migrasi selesai. ## Praktik terbaik dan pemecahan masalah ### Manajemen peran Terapkan praktik terbaik AWS IAM saat mengelola peran untuk lingkungan Elastic Beanstalk Anda: Pembuatan dan manajemen peran + Buat peran menggunakan kebijakan AWS terkelola jika memungkinkan + Ikuti [Praktik Terbaik Keamanan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) + Gunakan [AWS Policy Generator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) untuk kebijakan kustom + Menerapkan [batas izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) untuk keamanan tambahan Pemantauan dan audit Aktifkan AWS CloudTrail untuk memantau penggunaan peran: + Ikuti [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) + Konfigurasikan integrasi CloudWatch Log untuk pemantauan waktu nyata + Menyiapkan peringatan untuk panggilan API yang tidak sah Proses peninjauan rutin Tetapkan siklus tinjauan triwulanan untuk melakukan tugas-tugas berikut: + Audit izin yang tidak digunakan menggunakan [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) Access Analyzer + Hapus izin yang sudah ketinggalan zaman + Perbarui peran berdasarkan prinsip hak istimewa paling sedikit ### Manajemen sertifikat Terapkan praktik ini untuk SSL/TLS sertifikat di lingkungan Elastic Beanstalk Anda: Siklus hidup sertifikat + Gunakan [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)untuk manajemen sertifikat + Aktifkan [perpanjangan otomatis untuk sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/check-certificate-renewal-status.html) yang dikeluarkan ACM + Siapkan pemberitahuan [kedaluwarsa](https://docs.aws.amazon.com/acm/latest/userguide/notifications-for-ACM.html) Standar keamanan + Gunakan TLS 1.2 atau yang lebih baru + Ikuti [kebijakan AWS keamanan](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html#describe-ssl-policies) untuk pendengar HTTPS + Menerapkan HTTP Strict Transport Security (HSTS) jika diperlukan ### Manajemen kelompok keamanan Terapkan praktik terbaik grup keamanan ini: Manajemen aturan + Dokumentasikan semua persyaratan port khusus + Gunakan [VPC Flow Logs untuk memantau lalu](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) lintas + Gunakan [aturan referensi Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) alih-alih rentang IP jika memungkinkan Audit reguler Tetapkan ulasan bulanan untuk melakukan tugas-tugas berikut: + Mengidentifikasi dan menghapus aturan yang tidak digunakan + Validasi persyaratan source/destination + Periksa aturan yang tumpang tindih ### Pencatatan log dan pemantauan Untuk pemantauan keamanan yang efektif, konfigurasikan log berikut: Log peristiwa Windows pada instans EC2 ``` # Review Security event log PS C:\migrations_workspace> Get-EventLog -LogName Security -Newest 50 # Check Application event log PS C:\migrations_workspace> Get-EventLog -LogName Application -Source "IIS*" ``` CloudWatch Integrasi log Konfigurasikan agen CloudWatch Log untuk mengalirkan log peristiwa Windows CloudWatch untuk pemantauan dan peringatan terpusat. Untuk masalah yang terus-menerus, kumpulkan log ini dan kontak AWS Dukungan dengan informasi berikut: + ID Lingkungan + ID Deployment (jika ada) + Pesan kesalahan yang relevan + Garis waktu perubahan keamanan