Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Pantau aktivitas pengguna root IAM *JJ Sung dan Mostefa Brougui, Amazon Web Services* ## Ringkasan Setiap akun Amazon Web Services (AWS) memiliki pengguna root. Sebagai [praktik keamanan terbaik](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) untuk AWS Identity and Access Management (IAM), kami menyarankan Anda menggunakan pengguna root untuk menyelesaikan tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar lengkapnya, lihat [Tugas yang memerlukan kredensil pengguna root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) di Panduan *Referensi Manajemen Akun AWS*. Karena pengguna root memiliki akses penuh ke semua sumber daya AWS dan informasi penagihan Anda, sebaiknya Anda tidak menggunakan akun ini dan memantaunya untuk aktivitas apa pun, yang mungkin menunjukkan bahwa kredensil pengguna root telah disusupi. Dengan menggunakan pola ini, Anda menyiapkan [arsitektur berbasis peristiwa](https://aws.amazon.com/event-driven-architecture/) yang memantau pengguna root IAM. Pola ini menyiapkan hub-and-spoke solusi yang memantau beberapa akun AWS, akun *spoke*, dan memusatkan manajemen dan pelaporan dalam satu akun, akun *hub*. Saat kredensi pengguna root IAM digunakan, Amazon dan CloudWatch AWS CloudTrail masing-masing merekam aktivitas di log dan jejak. Di akun spoke, EventBridge aturan Amazon mengirimkan acara ke [bus acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pusat di akun hub. Di akun hub, EventBridge aturan mengirimkan acara ke fungsi AWS Lambda. Fungsi ini menggunakan topik Amazon Simple Notification Service (Amazon SNS) yang memberi tahu Anda tentang aktivitas pengguna root. Dalam pola ini, Anda menggunakan CloudFormation templat AWS untuk menerapkan layanan pemantauan dan penanganan peristiwa di akun spoke. Anda menggunakan templat HashiCorp Terraform untuk menerapkan manajemen acara dan layanan notifikasi di akun hub. ## Prasyarat dan batasan **Prasyarat** 1. Izin untuk menerapkan sumber daya AWS di lingkungan AWS Anda. 1. Izin untuk menyebarkan set CloudFormation tumpukan. Untuk informasi selengkapnya, lihat [Prasyarat untuk operasi set tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html) (dokumentasi). CloudFormation 1. Terraform diinstal dan siap digunakan. Untuk informasi selengkapnya, lihat [Memulai — AWS](https://learn.hashicorp.com/collections/terraform/aws-get-started) (dokumentasi Terraform). 1. Jejak yang ada di setiap akun bicara. Untuk informasi selengkapnya, lihat [Memulai AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) (CloudTrail dokumentasi). 1. Jejak dikonfigurasi untuk mengirim acara ke CloudWatch Log. Untuk informasi selengkapnya, lihat [Mengirim peristiwa ke CloudWatch Log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) (CloudTrail dokumentasi). 1. Akun hub dan spoke Anda harus dikelola oleh AWS Organizations. ## Arsitektur Diagram berikut menggambarkan blok bangunan implementasi. ![Peristiwa di akun bicara yang membuat notifikasi email di akun hub](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/175f356b-f9df-4d33-82fc-fe33b2c88b05/images/6147e5b5-616e-49a4-b330-dbb7e3381fe7.png) 1. Saat kredensil pengguna root IAM digunakan, CloudWatch dan CloudTrail rekam aktivitas di log dan jejak, masing-masing. 1. Di akun spoke, EventBridge aturan mengirimkan acara ke [bus acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pusat di akun hub. 1. Di akun hub, EventBridge aturan mengirimkan acara ke fungsi Lambda. 1. Fungsi Lambda menggunakan topik Amazon SNS yang memberi tahu Anda tentang aktivitas pengguna root. ## Alat **Layanan AWS** + [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) membantu Anda menyiapkan sumber daya AWS, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya di seluruh akun dan Wilayah AWS. + [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) membantu Anda mengaudit tata kelola, kepatuhan, dan risiko operasional akun AWS Anda. + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) membantu Anda memusatkan log dari semua sistem, aplikasi, dan layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman. + [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, fungsi AWS Lambda, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di akun AWS lainnya. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan. + [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email. **Alat dan layanan lainnya** + [Terraform](https://www.terraform.io/docs) adalah aplikasi CLI untuk menyediakan dan mengelola infrastruktur dan sumber daya cloud dengan menggunakan kode, dalam bentuk file konfigurasi. **Repositori kode** Kode sumber dan template untuk pola ini tersedia di [GitHub repositori](https://github.com/aws-samples/aws-iam-root-user-activity-monitor). Pola ini menyediakan dua template: + Template Terraform yang berisi sumber daya yang Anda terapkan di akun hub + CloudFormation Template yang Anda terapkan sebagai instance set tumpukan di akun spoke Repositori memiliki struktur keseluruhan berikut. ``` . |__README.md |__spoke-stackset.yaml |__hub.tf |__root-activity-monitor-module |__main.tf # contains Terraform code to deploy resources in the Hub account |__iam # contains IAM policies JSON files |__ lambda-assume-policy.json # contains trust policy of the IAM role used by the Lambda function |__ lambda-policy.json # contains the IAM policy attached to the IAM role used by the Lambda function |__outputs # contains Lambda function zip code ``` Bagian *Epics* memberikan step-by-step instruksi untuk menyebarkan template. ## Epik ### Menyebarkan sumber daya ke akun hub | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Kloning repositori kode sampel. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS Umum | | Perbarui template Terraform. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS Umum | | Menerapkan sumber daya ke akun hub AWS. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS Umum | ### Menerapkan sumber daya ke akun bicara Anda | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Menyebarkan CloudFormation template. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)Untuk informasi dan petunjuk selengkapnya, lihat [Membuat kumpulan tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) (CloudFormation dokumentasi). | AWS Umum | ### (Opsional) Uji notifikasi | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Gunakan kredensil pengguna root. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS Umum | ## Sumber daya terkait + [Praktik terbaik keamanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (dokumentasi IAM) + [Bekerja dengan StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) (CloudFormation dokumentasi) + [Memulai](https://learn.hashicorp.com/collections/terraform/aws-get-started) (dokumentasi Terraform) ## Informasi tambahan [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) adalah layanan pemantauan keamanan berkelanjutan yang menganalisis dan memproses log untuk mengidentifikasi aktivitas tak terduga dan berpotensi tidak sah di lingkungan AWS Anda. Sebagai alternatif untuk solusi ini, jika Anda telah mengaktifkan GuardDuty, itu dapat mengingatkan Anda ketika kredenial pengguna root telah digunakan. GuardDuty Temuannya adalah`Policy:IAMUser/RootCredentialUsage`, dan tingkat keparahan defaultnya **Rendah**. Untuk informasi selengkapnya, lihat [Mengelola GuardDuty temuan Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/findings_management.html).