Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengontrol akses konsol dengan kebijakan berbasis sumber daya dan kebijakan kontrol sumber daya
penting
Akses masuk konsol diaktifkan secara default. AWS Sign-In memungkinkan akses konsol tidak terbatas pada awalnya. Untuk menambahkan batasan, aktifkan konfigurasi otorisasi konsol untuk akun atau organisasi Anda. Pernyataan izin sumber daya yang Anda buat tidak berpengaruh hingga Anda mengaktifkan otorisasi konsol. Lihat Memulai kontrol akses konsol menggunakan kebijakan sumber daya.
AWS Sign-In mendukung kebijakan berbasis sumber daya dan kebijakan kontrol sumber daya (RCP) untuk mengontrol akses ke. AWS Sign-In Gunakan kebijakan ini untuk memverifikasi identitas pengguna dan lokasi jaringan di seluruh Konsol Manajemen AWS akses — sebelum, selama, dan setelah otentikasi. Untuk pengguna root, kebijakan ini memvalidasi lokasi jaringan dan identitas pengguna sebelum pengumpulan kredensi dimulai. Kredensil hanya dapat dimasukkan ketika akses berasal dari jaringan yang diharapkan.
AWS Sign-In kebijakan berbasis sumber daya:
-
Terapkan ke AWS akun individu.
-
Biarkan administrator akun membatasi akses konsol berdasarkan parameter jaringan dan identitas utama.
Kebijakan kontrol sumber daya (RCP):
-
Terapkan di seluruh organisasi melalui AWS Organizations.
-
Menyediakan tata kelola terpusat di semua akun anggota.
Kedua jenis kebijakan memverifikasi akses sebelum autentikasi. Ini memblokir prinsipal untuk mengakses halaman masuk dari jaringan yang tidak terduga.
Kebijakan ini tidak menggantikan kebijakan berbasis identitas IAM, yang terus berlaku.
catatan
Untuk dokumentasi lengkap tentang kebijakan kontrol sumber daya, termasuk konfigurasi dan manajemen tingkat organisasi, lihat Kebijakan kontrol sumber daya di Panduan Pengguna AWS Organizations. Bagian ini berfokus terutama pada kebijakan AWS Sign-In berbasis sumber daya.
AWS Sign-In Kebijakan dan RCP berbasis sumber daya berlaku untuk metode otentikasi berikut:
-
Konsol Manajemen AWS— Masuk langsung menggunakan halaman login konsol.
-
AWS IAM Identity Center — Masuk konsol menggunakan Pusat Identitas IAM.
-
Penyedia identitas federasi — Sign-in melalui federasi SAMP atau OIDC.
-
Aplikasi terintegrasi dengan AWS Sign-In — Amazon Connect, Amazon, Dasbor AWS Kesehatan QuickSight, Amazon AppStream, Amazon Lightsail, AWS IQ.
Kontrol ini tidak berlaku untuk akses terprogram menggunakan kunci akses (AWS SDK atau panggilan API yang ditandatangani dengan SigV4).
Bagaimana AWS Sign-In mengevaluasi kebijakan berbasis sumber daya
AWS Sign-In mengevaluasi kebijakan berbasis sumber daya atau kebijakan kontrol sumber daya (RCP) yang berlaku pada dua titik selama akses konsol: sebelum otentikasi (fase pra-otentikasi) dan setelah otentikasi berhasil (fase pasca-otentikasi). Setiap evaluasi memeriksa kunci kondisi yang ditentukan dalam kebijakan Anda. Kunci yang tersedia tergantung pada fase dan tindakan. Lihat perinciannya di Kunci kondisi yang didukung.
catatan
Untuk login pengguna root, upaya akses dari jaringan tak terduga diblokir sebelum prompt kata sandi muncul. Ini mencegah pengiriman kredensil dari jaringan yang tidak terduga.
Setelah otentikasi, evaluasi juga mempertimbangkan kebijakan berbasis identitas kepala sekolah. Kebijakan IAM yang menolak tindakan masuk yang relevan dapat mencegah sesi konsol diberikan, bahkan ketika kondisi jaringan terpenuhi.
Tindakan yang didukung
AWS Sign-In kebijakan sumber daya (kebijakan berbasis sumber daya dan RCP) mendukung tindakan berikut:
signin:Authenticate-
Ini adalah tindakan evaluasi saja (tidak dapat dipanggil) yang dinilai saat permintaan masuk diterima. Ini adalah pemeriksaan pra-otentikasi dan terjadi ketika prinsipal memasukkan kredensil pada halaman login (pengguna root, pengguna IAM) atau memulai login konsol menggunakan kredensil dari penyedia identitas atau AWS STS (pengguna federasi, peran).
Kunci kondisi yang didukung:
aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion,signin:PrincipalArn.Principal-based kunci kondisi global (
aws:PrincipalArn,aws:PrincipalAccount) tidak tersedia untuk tindakan ini karena identitas pengguna belum dikonfirmasi. signin:AuthorizeOAuth2Access-
Digunakan untuk pembuatan kode otorisasi OAuth. Setelah otentikasi berhasil, tindakan ini dipicu ketika sistem menghasilkan kode otorisasi OAuth. Pada titik ini, pengguna diautentikasi dan kunci kondisi berbasis prinsip tersedia.
Kunci kondisi yang didukung:
aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion,aws:PrincipalArn,aws:PrincipalAccount. signin:CreateOAuth2Token-
Tindakan pasca-otentikasi ini digunakan untuk pembuatan dan pertukaran token OAuth. Tindakan ini dipicu saat menukarkan kode otorisasi untuk token akses, menyegarkan token, atau melakukan operasi pertukaran token. Principal-based kunci kondisi tersedia selama fase ini.
Kunci kondisi yang didukung:
aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion,aws:PrincipalArn,aws:PrincipalAccount.
penting
Saat membuat AWS Sign-In kebijakan (kebijakan berbasis sumber daya atau RCP), tutupi ketiga tindakan di seluruh kebijakan Anda — signin:Authenticate dalam pernyataan pra-otentikasi, dan dalam pernyataan pasca-autentikasi. signin:AuthorizeOAuth2Access signin:CreateOAuth2Token Masuk konsol menggunakan OAuth 2.0, yang mengalir melalui ketiga tindakan secara berurutan. Jika kebijakan Anda menghilangkan tindakan, fase terkait tidak dilindungi. Untuk tindakan kebijakan titik akhir VPC termasuk, signin:CreateAccount lihat AWS Management Console Private Access.
Kunci kondisi yang didukung
AWS Sign-In mendukung kunci kondisi berikut dalam kebijakan berbasis sumber daya dan kebijakan kontrol sumber daya (RCP). Gunakan tombol ini untuk mengontrol akses konsol berdasarkan lokasi jaringan dan identitas utama:
-
Network-based (semua tindakan):
aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion. -
Identity-based (tindakan pasca-otentikasi):
aws:PrincipalArn,.aws:PrincipalAccount -
Service-specific (hanya pra-otentikasi):.
signin:PrincipalArn
Untuk aturan penggunaan terperinci, kompatibilitas operator, batasan kombinasi, dan matriks ketersediaan berdasarkan tindakan, lihatAWS Sign-In referensi kunci kondisi.
Memulai kontrol akses konsol menggunakan kebijakan sumber daya
Prasyarat
-
AWS CLI diinstal dan dikonfigurasi.
-
Izin IAM yang sesuai (lihatAWS kebijakan terkelola: AWSSignInResourcePolicyManagement).
-
Perimeter jaringan yang teridentifikasi (rentang IP, VPC, atau titik akhir VPC).
-
Prinsipal yang dikecualikan yang ditunjuk untuk mempertahankan akses (disarankan tetapi opsional).
-
Jika jaringan Anda menggunakan pemfilteran jalan keluar, izinkan daftar titik akhir bidang AWS Sign-In kontrol (lihat). AWS Sign-In domain administrasi untuk daftar yang diizinkan
penting
Sebelum mengaktifkan otorisasi konsol dalam produksi, AWS rekomendasikan untuk mengonfigurasi setidaknya satu prinsipal yang dikecualikan untuk mempertahankan akses pemulihan darurat. Semua prinsipal, termasuk pengguna root, tunduk pada kebijakan kecuali secara eksplisit dikecualikan. Prinsipal yang dikecualikan bersifat opsional, tetapi menghilangkannya meningkatkan risiko penguncian akun jika kondisi jaringan berubah secara tak terduga.
Tentukan --region us-east-1 untuk semua operasi penulisan pada AWS Sign-In kebijakan. AWS mereplikasi kebijakan secara global dari Wilayah ini. Operasi baca dapat menargetkan Wilayah mana pun.
Langkah 1: Buat pernyataan izin sumber daya
Buat pernyataan izin yang menentukan kontrol akses Anda. Semua operasi tulis memerlukan --region us-east-1 ( AWS Sign-In layanan hanya menerima perubahan kebijakan di Wilayah ini). Parameter yang tersisa (--source-vpc--source-ip,--requested-region,,--excluded-principal) menentukan kondisi dalam kebijakan Anda. Misalnya, --requested-region us-west-2 menambahkan kondisi yang membatasi proses masuk ke titik akhir masuk regional us-west-2.
Contoh - Batasi akses ke VPC perusahaan:
aws signin put-resource-permission-statement \ --source-vpc vpc-0abc123def456789 \ --requested-region us-west-2 \ --excluded-principal "arn:aws:iam::123456789012:user/EmergencyAdmin" \ --client-token unique-request-id-12345 \ --region us-east-1
Contoh - Batasi akses ke rentang IP tertentu:
aws signin put-resource-permission-statement \ --source-ip "IP_ADDRESS" \ --excluded-principal "arn:aws:iam::123456789012:role/BreakGlassRole" \ --region us-east-1
catatan
--excluded-principalParameter menunjuk prinsipal yang dikecualikan yang melewati batasan jaringan, menjaga akses darurat jika kondisi jaringan berubah.
Langkah 2: Aktifkan konfigurasi otorisasi konsol
Langkah berikut mengaktifkan penegakan kebijakan untuk proses login konsol di akun atau organisasi Anda. Pernyataan izin sumber daya dapat dibuat kapan saja, tetapi tidak dievaluasi sampai otorisasi konsol diaktifkan.
Awas
Mengaktifkan otorisasi konsol dapat mengunci prinsipal jika kondisi jaringan Anda salah dikonfigurasi, atau jika kebijakan kontrol layanan (SCP) atau kebijakan kontrol sumber daya (RCP) yang ada menolak tindakan tersebut. AWS Sign-In Sebelum Anda mengaktifkan otorisasi konsol, konfirmasikan pernyataan izin Anda sudah benar, dan hapus atau sesuaikan SCP atau RCP yang menolaksignin:Authenticate,, atau. signin:AuthorizeOAuth2Access signin:CreateOAuth2Token
Untuk akun mandiri:
aws signin put-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1
Untuk AWS Organizations:
aws signin put-console-authorization-configuration \ --target-id <your-aws-organization-id> \ --region us-east-1
Verifikasi konfigurasi:
aws signin get-console-authorization-configuration \ --target-id <your-target-id> \ --region <your-region>
Hapus konfigurasi otorisasi konsol:
aws signin delete-console-authorization-configuration \ --target-id <your-target-id> \ --region us-east-1
Langkah 3: Verifikasi kebijakan Anda
Daftar semua pernyataan izin:
aws signin list-resource-permission-statements \ --max-results 50 \ --region <your-region>
Ambil kebijakan konsolidasi lengkap:
aws signin get-resource-policy \ --region <your-region>
get-resource-policyPerintah mengembalikan kebijakan berbasis sumber daya lengkap yang terdiri dari semua pernyataan izin Anda. Tinjau kebijakan ini untuk mengonfirmasi bahwa kebijakan tersebut mencerminkan kontrol akses yang Anda inginkan sebelum menguji akses konsol.
Ketersediaan wilayah
API otorisasi konsol tersedia di semua Wilayah AWS komersial. Anda dapat memanggil API ini dari Wilayah mana pun tempat Anda beroperasi.
penting
Operasi tulis (put-console-authorization-configurationput-resource-permission-statement,delete-console-authorization-configuration,,delete-resource-permission-statement) harus dilakukan di us-east-1 Wilayah. Kebijakan yang dibuat secara us-east-1 otomatis mereplikasi secara global. Operasi baca (get-console-authorization-configuration,list-resource-permission-statements,get-resource-policy) dapat dilakukan dari Wilayah mana pun.
Memahami struktur kebijakan
AWS Sign-In kebijakan berisi dua pernyataan yang melindungi fase alur masuk konsol yang berbeda:
-
Pre-authentication pernyataan (Tindakan:
signin:Authenticate): Dievaluasi saat permintaan masuk diterima, sebelum otentikasi selesai. Kunci global tidakaws:PrincipalArntersedia pada fase ini karena identitas kepala sekolah belum dikonfirmasi. Dalam fase inisignin:PrincipalArntersedia untuk membebaskan prinsip-prinsip tertentu dari pembatasan jaringan. Network-based kunci kondisi tersedia untuk evaluasi dalam fase ini. -
Post-authentication pernyataan (Tindakan:
signin:AuthorizeOAuth2Access,signin:CreateOAuth2Token): Dievaluasi setelah otentikasi, selama pertukaran token OAuth. Digunakanaws:PrincipalArnuntuk membebaskan prinsipal tertentu. Semua kunci kondisi berbasis jaringan dan berbasis identitas tersedia untuk evaluasi dalam fase ini.
Kedua pernyataan diperlukan karena login konsol menggunakan OAuth 2.0, yang mengalir melalui ketiga tindakan secara berurutan. Kebijakan dengan hanya satu pernyataan membuat fase lainnya tidak terlindungi. signin:PrincipalArnmendukung pengguna root, pengguna IAM, dan tipe utama peran. aws:PrincipalArnmendukung semua tipe utama (pengguna root, pengguna IAM, pengguna federasi, peran).
Contoh kebijakan
Contoh 1: RCP dengan perimeter jaringan dan prinsipal yang dikecualikan
Kebijakan kontrol sumber daya (RCP) berikut menolak Konsol Manajemen AWS login dari luar jaringan perusahaan Anda di semua akun di organisasi Anda. Prinsipal yang dikecualikan yang ditunjuk dibebaskan untuk akses darurat. Karena ID VPC hanya unik di dalam Wilayah, kebijakan tersebut mencakup pernyataan ketiga yang menyematkan VPC-based akses ke Wilayah yang diharapkan.
EnforceNetworkPerimeterPreAuthPernyataan tersebut digunakan signin:PrincipalArn untuk membebaskan prinsipal yang dikecualikan selama fase pra-otentikasi. EnforceNetworkPerimeterPostAuthPernyataan tersebut digunakan aws:PrincipalArn untuk membebaskan prinsipal yang dikecualikan setelah otentikasi. EnforceSourceVPCRegionPernyataan tersebut memastikan Wilayah permintaan cocok dengan Wilayah VPC, membatasi akses ke Wilayah yang diharapkan untuk VPC yang ditentukan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceNetworkPerimeterPreAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceNetworkPerimeterPostAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceSourceVPCRegion", "Effect": "Deny", "Principal": "*", "Action": [ "signin:Authenticate", "signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "<my-vpc>" }, "StringNotEqualsIfExists": { "aws:RequestedRegion": "<my-vpc-region>" } } } ] }
Kebijakan ini:
-
Menolak akses ke halaman masuk kecuali permintaan tersebut berasal dari rentang IP perusahaan atau VPC perusahaan. Akun root yang dikecualikan dan pengguna IAM dikecualikan melalui
signin:PrincipalArn(pra-otentikasi). -
Menolak pertukaran token OAuth kecuali dari rentang IP perusahaan atau VPC. Akun root yang dikecualikan, pengguna IAM, dan peran dikecualikan melalui
aws:PrincipalArn(kunci global pasca-otentikasi). -
Jika permintaan berasal dari VPC yang ditentukan tetapi Wilayah tidak cocok, akses ditolak. AWS ID VPC unik dalam suatu Wilayah, dan ID VPC yang sama dapat ada di Wilayah yang berbeda.
-
Berlaku secara global di seluruh AWS Organization Anda saat dikonfigurasi sebagai RCP.
Contoh 2: Resource-based kebijakan untuk IP-based akses dengan prinsipal yang dikecualikan
Kebijakan berbasis sumber daya berikut menolak akses konsol ke semua prinsipal yang membuat permintaan dari luar rentang IP yang ditentukan, dengan prinsipal yang dikecualikan dikecualikan. Kebijakan ini berisi dua pernyataan: pernyataan pra-otentikasi yang menggunakan signin:PrincipalArn kunci khusus layanan, dan pernyataan pasca-otentikasi yang menggunakan kunci global. aws:PrincipalArn
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } } ] }
Kebijakan ini:
-
Menolak akses ke semua prinsipal kecuali mereka terhubung dari rentang IP.
<my-corporate-cidr> -
Mengecualikan prinsipal yang dikecualikan dari pembatasan jaringan menggunakan
signin:PrincipalArn(pra-otentikasi) danaws:PrincipalArn(pasca-otentikasi). -
Hanya berlaku untuk akun tertentu di mana kebijakan berbasis sumber daya dikonfigurasi (diidentifikasi oleh).
<my-aws-account-id>
Praktik terbaik
Konfigurasikan prinsip yang dikecualikan untuk akses pemulihan darurat
AWS merekomendasikan untuk mengonfigurasi setidaknya satu pengguna yang dikecualikan sebelum menerapkan kebijakan otorisasi konsol dalam produksi. Pada tahap pra-otentikasi, kunci signin:PrincipalArn kondisi mengecualikan pengguna root, pengguna IAM, dan prinsip peran. Pada tahap pasca-otentikasi, kunci aws:PrincipalArn kondisi mengecualikan semua jenis utama (pengguna root, pengguna IAM, pengguna federasi, peran).
Prinsipal yang dikecualikan bersifat opsional, tetapi menghilangkannya meningkatkan risiko penguncian akun jika kondisi jaringan berubah secara tidak terduga atau jika kebijakan salah dikonfigurasi.
Direkomendasikan langkah-langkah konfigurasi utama yang dikecualikan:
-
Buat peran IAM yang dikecualikan (misalnya,
BreakGlassRole). -
Untuk peran yang dikecualikan, mewajibkan MFA dalam kebijakan kepercayaan peran.
-
Berikan identitas yang dikecualikan hanya izin minimum yang diperlukan untuk pemulihan darurat.
-
Sertakan ARN utama yang dikecualikan dalam pernyataan kebijakan pra-otentikasi (
signin:PrincipalArn) dan pasca-otentikasi ().aws:PrincipalArn -
Dokumentasikan prosedur pemulihan dan simpan dengan aman di luar AWS.
-
Uji akses utama yang dikecualikan secara berkala untuk mengonfirmasi bahwa itu berfungsi bila diperlukan.
Pertahankan jalur akses pemulihan
Selain prinsip yang dikecualikan yang dijelaskan di atas, pastikan metode akses alternatif tersedia jika kebijakan otorisasi konsol memblokir proses masuk secara tidak terduga:
-
Role-based akses terprogram: Kebijakan otorisasi konsol hanya berlaku untuk login konsol interaktif. Mereka tidak berlaku untuk permintaan API yang ditandatangani dengan SiGv4. Jika Anda memiliki akses terprogram (misalnya, kunci akses yang ada, peran lintas akun), gunakan untuk memanggil
signin:DeleteConsoleAuthorizationConfigurationdan menghapus kebijakan pembatasan. Kredensi harus menyertakansignin:DeleteConsoleAuthorizationConfigurationizin (termasuk dalam kebijakanAWSSignInResourcePolicyManagementterkelola). AWS merekomendasikan kredensi sementara atas kunci akses pengguna IAM jangka panjang. Untuk akun anggota, administrator akun manajemen dapat berasumsiOrganizationAccountAccessRoledi akun anggota (aws sts assume-role) untuk mendapatkan kredensi sementara ini. -
AWS pemulihan dukungan: Jaga agar email akun pengguna root dan nomor telepon Anda tetap terkini. Jika akses prinsipal dan program yang dikecualikan tidak tersedia, AWS Support dapat menyediakan tautan portal pemulihan setelah verifikasi identitas. Lihat Saya terkunci dari akun saya setelah mengaktifkan otorisasi konsol untuk proses pemulihan penuh.
Uji sebelum penyebaran produksi
AWS merekomendasikan agar Anda tidak melampirkan RCP yang membatasi ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap akun. Sebagai gantinya, buat OU yang dapat Anda pindahkan akun Anda menjadi satu per satu, atau setidaknya dalam jumlah kecil, untuk memastikan bahwa Anda tidak secara tidak sengaja mengunci pengguna dari akun utama.
Menguji alur kerja:
-
Buat pernyataan izin tunggal dengan batasan jaringan utama Anda.
-
Aktifkan otorisasi konsol di akun non-produksi.
-
Uji akses konsol dari jaringan yang diizinkan dan ditolak.
-
Tinjau CloudTrail log Amazon untuk mengonfirmasi perilaku evaluasi kebijakan.
-
Uji akses menggunakan prinsipal Anda yang dikecualikan.
-
Secara bertahap memperluas ke jaringan dan akun tambahan.
-
Pantau sebelum ditegakkan di akun produksi.
Desain dengan defense-in-depth
Gunakan kebijakan AWS Sign-In berbasis sumber daya dan kebijakan kontrol sumber daya sebagai satu lapisan dalam strategi keamanan yang lebih luas. AWS Sign-In kebijakan membatasi akses konsol berdasarkan lokasi jaringan dan identitas utama. Gabungkan mereka dengan jenis kebijakan lain untuk membuat kontrol akses yang komprehensif:
-
AWS Sign-In kebijakan (kebijakan berbasis sumber daya dan RCP): Membatasi akses konsol berdasarkan lokasi jaringan dan identitas utama sebelum, selama, dan setelah otentikasi.
-
Kebijakan IAM: Kontrol tindakan apa yang dapat dilakukan pengguna setelah masuk.
-
Kebijakan kontrol layanan (SCP): Menerapkan pagar pembatas izin di seluruh organisasi di semua kepala sekolah.
-
Kebijakan titik akhir VPC: Kontrol layanan dan akun mana yang dapat diakses melalui titik akhir VPC.
Memantau dan mengaudit secara terus menerus
AWS CloudTrail secara otomatis mencatat semua evaluasi AWS Sign-In kebijakan dan perubahan konfigurasi. Lihat peristiwa ini di Riwayat CloudTrail acara hingga 90 hari. Untuk retensi yang lebih lama, kirimkan peristiwa ke Amazon S3 dengan membuat jejak (lihat Membuat jejak). Untuk peringatan waktu nyata, buat EventBridge aturan Amazon yang cocok dengan AWS Sign-In peristiwa, konfigurasikan jejak Anda untuk dikirimkan ke grup CloudWatch log Log untuk alarm berbasis filter metrik, atau teruskan peristiwa ke solusi SIEM yang ada.
Kasus penggunaan
- Penegakan perimeter jaringan
-
Batasi akses konsol ke VPC perusahaan atau rentang IP yang disetujui. Gunakan kebijakan berbasis sumber daya untuk akun individu atau kebijakan kontrol sumber daya (RCP) untuk penegakan hukum di seluruh organisasi guna memastikan bahwa pengguna hanya dapat masuk dari lokasi jaringan tepercaya, mencegah akses tidak sah dari jaringan publik atau tidak tepercaya.
Contoh skenario: Sebuah perusahaan membutuhkan semua akses konsol untuk berasal dari jaringan perusahaan mereka atau AWS VPC yang disetujui. Mereka mengonfigurasi kebijakan berbasis sumber daya untuk satu akun, atau RCP di seluruh organisasi mereka, yang menolak akses dari semua jaringan lain sambil mempertahankan akses pemulihan darurat untuk administrator darurat.
- Persyaratan kepatuhan
-
Memenuhi persyaratan peraturan untuk kontrol akses berbasis jaringan. Banyak kerangka kerja kepatuhan mengharuskan organisasi untuk membatasi akses ke sistem sensitif berdasarkan lokasi jaringan. AWS Sign-In kebijakan menyediakan kontrol yang dapat diaudit dan dapat ditegakkan yang menunjukkan kepatuhan terhadap persyaratan ini.
Contoh skenario: Perusahaan jasa keuangan harus mematuhi peraturan yang mewajibkan akses konsol hanya dari jaringan yang disetujui. Mereka menggunakan RCP untuk menegakkan pembatasan jaringan di seluruh organisasi dan memelihara AWS CloudTrail log sebagai bukti kepatuhan.
- Multi-account tata kelola
-
Menerapkan kebijakan akses konsol yang konsisten di seluruh AWS Organizations. Gunakan RCP untuk memberlakukan pembatasan jaringan standar di semua akun anggota, memastikan postur keamanan yang konsisten tanpa memerlukan konfigurasi tingkat akun individual.
Contoh skenario: Perusahaan dengan 100+ AWS akun menggunakan RCP untuk menerapkan kebijakan yang mengharuskan semua akses konsol berasal dari titik akhir VPC dalam organisasinya, mengonfirmasi kontrol jaringan yang konsisten di semua akun.
- Third-party kontrol akses
-
Berikan akses konsol sementara ke mitra atau kontraktor dari jaringan tertentu. Organizations dapat membuat akses konsol terbatas waktu dan dibatasi jaringan untuk pihak eksternal tanpa mengorbankan postur keamanan secara keseluruhan.
Contoh skenario: Perusahaan perlu memberikan akses konsol sementara perusahaan konsultan. Mereka membuat kebijakan berbasis sumber daya yang memungkinkan akses hanya dari rentang IP perusahaan konsultan yang diketahui dan hanya untuk peran IAM yang ditugaskan ke konsultan.
- Batasi akses konsol ke prinsipal tertentu
-
Izinkan hanya satu set prinsip yang ditentukan untuk masuk ke Konsol Manajemen AWS, dan tolak semua yang lain, terlepas dari lokasi jaringan. Ini berguna bagi pelanggan yang tidak menggunakan titik akhir VPC dan menginginkan pembatasan konsol berbasis identitas. Prinsipal yang ditolak masuk konsol mempertahankan akses programatiknya; AWS Sign-In kebijakan hanya masuk ke konsol, dan hanya prinsipal yang Anda kecualikan yang dapat masuk.
Contoh skenario: Perusahaan hanya ingin administratornya menggunakan konsol. Mereka mengonfigurasi RCP yang menolak masuk konsol untuk semua prinsipal kecuali ARN utama administrator. Peran instans Amazon EC2 dengan kredensi yang valid tidak dapat masuk ke konsol, karena ini bukan prinsipal yang dikecualikan, meskipun tetap mempertahankan izin terprogramnya. Ini membahas kasus umum kredensil peran instance yang digunakan untuk login konsol.
Memecahkan masalah kontrol akses konsol
Saya tidak dapat masuk karena kondisi jaringan dalam kebijakan berbasis Sign-in sumber daya
Anda mungkin melihat salah satu pesan galat berikut ketika akses ditolak oleh AWS Sign-In kebijakan:
-
“Informasi otentikasi Anda salah. Silakan coba lagi.” (penolakan pra-otentikasi berdasarkan kebijakan berbasis sumber daya)
-
“Otentikasi gagal Permintaan tidak valid” (penolakan pra-otentikasi oleh RCP)
-
“Otentikasi gagal: Untuk mengakses akun ini, masuk dari jaringan lain, atau hubungi administrator Anda untuk informasi lebih lanjut” (penolakan pasca-autentikasi)
Jika Anda melihat salah satu kesalahan ini dan yakin akses Anda harus diizinkan, hubungi AWS administrator Anda. Mereka dapat meninjau CloudTrail log untuk ConsoleLogin peristiwa dengan errorMessage “Otorisasi ditolak karena kebijakan berbasis sumber daya” atau “Otorisasi ditolak karena kebijakan kontrol sumber daya” untuk mengidentifikasi pernyataan kebijakan mana yang ditolak aksesnya.
Kemungkinan penyebabnya:
-
Alamat IP sumber Anda tidak dalam kisaran CIDR yang diizinkan.
-
Anda tidak terhubung ke titik akhir VPC atau VPC yang diperlukan.
-
Anda mengakses titik akhir masuk regional yang tidak sesuai dengan Wilayah yang diharapkan dalam kebijakan.
-
ARN utama Anda tidak tercantum dengan benar dalam prinsipal yang dikecualikan kebijakan.
-
Kebijakan ini baru-baru ini diperbarui, dan perubahan tersebut belum direplikasi secara global.
Resolusi:
-
Pastikan Anda terhubung ke jaringan perusahaan atau VPN Anda.
-
Konfirmasikan bahwa Anda mengakses melalui titik akhir VPC yang benar jika pembatasan berbasis titik akhir VPC dikonfigurasi.
-
Hubungi AWS administrator Anda untuk memverifikasi konfigurasi kebijakan dan mengonfirmasi jaringan mana yang diotorisasi.
-
Jika Anda dikonfigurasi sebagai prinsipal yang dikecualikan, verifikasi bahwa ARN utama Anda dikonfigurasi dengan benar dalam daftar prinsipal yang dikecualikan.
-
Jika perubahan kebijakan baru-baru ini dibuat, tunggu beberapa menit hingga replikasi global selesai.
Untuk administrator yang mendiagnosis masalah ini:
-
Tinjau AWS CloudTrail log untuk peristiwa evaluasi kebijakan guna mengidentifikasi pernyataan kebijakan mana yang ditolak aksesnya.
-
Gunakan
aws signin get-resource-policyuntuk meninjau konfigurasi kebijakan saat ini. -
Pastikan lokasi jaringan pengguna cocok dengan kondisi dalam kebijakan.
-
Konfirmasikan bahwa prinsipal yang dikecualikan dikonfigurasi dengan benar jika pengguna harus dibebaskan dari pembatasan jaringan.
Saya terkunci dari akun saya setelah mengaktifkan otorisasi konsol
Jika Anda mengonfigurasi otorisasi konsol dan tidak dapat lagi mengakses akun Anda, Anda mungkin belum mengonfigurasi prinsip yang dikecualikan sebelum menerapkan kebijakan.
Ada beberapa jalur untuk mendapatkan kembali akses, tergantung pada jenis akun Anda dan kredensi yang tersedia.
Opsi 1: Gunakan akses terprogram (AWS CLI atau SDK)
Kebijakan otorisasi konsol hanya berlaku untuk login konsol interaktif. Mereka tidak berlaku untuk permintaan API yang ditandatangani dengan SiGv4. Jika Anda memiliki akses terprogram (misalnya, kunci akses yang ada, peran lintas akun), gunakan untuk memanggil signin:DeleteConsoleAuthorizationConfiguration dan menghapus kebijakan pembatasan. Kredensi yang Anda gunakan harus memiliki izin untuk menelepon. signin:DeleteConsoleAuthorizationConfiguration Kebijakan AWSSignInResourcePolicyManagement terkelola mencakup izin ini. AWS merekomendasikan kredensi sementara atas kunci akses pengguna IAM jangka panjang. Untuk akun anggota, administrator akun manajemen dapat berasumsi OrganizationAccountAccessRole di akun anggota untuk mendapatkan kredensi sementara. Peran ini tidak secara otomatis dibuat di akun yang diundang untuk bergabung dengan organisasi.
aws signin delete-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1
Atau hapus pernyataan izin tertentu:
# First, list statements to get the statement ID aws signin list-resource-permission-statements \ --region us-east-1 # Then delete the problematic statement aws signin delete-resource-permission-statement \ --statement-id <statement-id> \ --region us-east-1
Opsi 2: Hubungi AWS Support
Jika Anda tidak memiliki akses terprogram dan tidak dapat menggunakan akses akun OrganizationAccountAccessRole for, hubungi AWS Support untuk memulai proses pemulihan lockout.
Proses pemulihan bekerja sebagai berikut:
-
Jika Anda tidak dapat menyelesaikan masalah menggunakan opsi di atas, buka kasus dukungan di Pusat AWS Dukungan. AWS Support akan memverifikasi identitas Anda sebelum memeriksa akun Anda. Metode verifikasi mungkin termasuk mengonfirmasi alamat email akun pengguna root, menanggapi panggilan verifikasi telepon, atau menjawab pertanyaan keamanan akun.
-
AWS Support mengonfirmasi bahwa masalah akses konsol disebabkan oleh penguncian kebijakan berbasis sumber daya.
-
AWS Support membagikan tautan portal pemulihan. Gunakan tautan ini untuk masuk dengan prinsipal IAM di akun yang memiliki
signin:DeleteConsoleAuthorizationConfigurationizin. Izin ini memungkinkan kepala sekolah untuk menghapus konfigurasi otorisasi konsol yang menyebabkan penguncian.
penting
Portal pemulihan menghapus seluruh konfigurasi otorisasi konsol untuk akun, termasuk semua pernyataan izin sumber daya. Portal pemulihan tidak mengizinkan konfigurasi ulang kebijakan berbasis AWS Sign-In sumber daya.
Tautan portal pemulihan kedaluwarsa 72 jam setelah AWS Support membagikannya. Jika Anda tidak menyelesaikan pemulihan dalam jendela itu, hubungi AWS Support untuk memulai kembali proses.
Setelah mendapatkan kembali akses:
-
Tinjau dan perbarui pernyataan izin sumber daya Anda untuk menyertakan prinsipal yang dikecualikan yang dikonfigurasi dengan benar.
-
Uji akses konsol dari jaringan yang diharapkan sebelum mengaktifkan kembali otorisasi konsol.
-
Dokumentasikan prosedur pemulihan Anda untuk referensi future.
Perubahan yang saya buat tidak selalu langsung terlihat
Perubahan kebijakan mereplikasi secara global, tetapi replikasi mungkin memakan waktu beberapa menit.
Resolusi:
-
Tunggu beberapa menit setelah membuat perubahan kebijakan agar replikasi global selesai.
-
Verifikasi perubahan Anda menggunakan
get-resource-policyperintah:
aws signin get-resource-policy --region <your-region>
-
Periksa AWS CloudTrail log untuk peristiwa evaluasi kebijakan untuk mengonfirmasi kebijakan baru sedang dievaluasi.
-
Konfirmasikan bahwa Anda menggunakan Wilayah yang benar untuk operasi Anda (operasi tulis harus digunakan
us-east-1). -
Jika menggunakan kondisi berbasis titik akhir VPC, verifikasi bahwa kebijakan titik akhir VPC juga dikonfigurasi dengan benar.
Masalah replikasi kebijakan umum:
-
Halaman masuk yang di-cache: Browser dapat menyimpan halaman masuk ke cache. Kosongkan cache browser Anda atau gunakan jendela penyamaran untuk menguji perubahan kebijakan.
-
Pernyataan yang bertentangan: Jika Anda memiliki beberapa pernyataan izin, konfirmasikan bahwa pernyataan tersebut tidak bertentangan satu sama lain. Gunakan
get-resource-policyuntuk meninjau kebijakan konsolidasi. -
Kebijakan titik akhir VPC: kebijakan bekerja bersama dengan AWS Sign-In kebijakan titik akhir VPC. Keduanya harus memungkinkan akses yang diinginkan.