# Manajemen identitas dan akses
<a name="a-identity-and-access-management"></a>

**Topics**
+ [SEC 2 Bagaimana cara mengelola autentikasi untuk manusia dan mesin?](w2aac19b7b7b5.md)
+ [SEC 3 Bagaimana cara mengelola izin untuk manusia dan mesin?](w2aac19b7b7b7.md)

# SEC 2 Bagaimana cara mengelola autentikasi untuk manusia dan mesin?
<a name="w2aac19b7b7b5"></a>

 Ada dua jenis identitas yang harus Anda kelola ketika menentukan pendekatan terhadap pengoperasian beban kerja AWS yang aman. Pemahaman tentang jenis identitas yang harus Anda kelola dan berikan akses akan membantu Anda memastikan identitas yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat. 

Identitas Manusia: Administrator, developer, operator, dan pengguna akhir Anda memerlukan identitas untuk mengakses lingkungan dan aplikasi AWS Anda. Ini adalah anggota organisasi Anda, atau pengguna eksternal yang berkolaborasi dengan Anda, dan yang berinteraksi dengan sumber daya AWS Anda melalui browser web, aplikasi klien, atau alat baris perintah interaktif. 

Identitas Mesin: Aplikasi layanan, alat operasional, dan beban kerja Anda memerlukan identitas untuk membuat permintaan ke layanan AWS, misalnya, untuk membaca data. Identitas ini mencakup mesin yang dijalankan di lingkungan AWS Anda, seperti instans Amazon EC2 atau fungsi AWS Lambda. Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Selain itu, Anda mungkin juga memiliki mesin di luar AWS yang memerlukan akses ke lingkungan AWS Anda. 

**Topics**
+ [SEC02-BP01 Gunakan mekanisme masuk yang kuat](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC02-BP03 Menyimpan dan menggunakan secret secara aman](sec_identities_secrets.md)
+ [SEC02-BP04 Andalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
+ [SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala](sec_identities_audit.md)
+ [SEC02-BP06 Manfaatkan grup dan atribut pengguna](sec_identities_groups_attributes.md)

# SEC02-BP01 Gunakan mekanisme masuk yang kuat
<a name="sec_identities_enforce_mechanisms"></a>

 Berlakukan panjang minimum kata sandi, dan berikan edukasi bagi pengguna untuk menghindari kata sandi yang umum atau sudah pernah dibuat. Berlakukan autentikasi multi-faktor (MFA) dengan mekanisme perangkat lunak atau perangkat keras untuk memberikan lapisan verifikasi tambahan. Contohnya, ketika menggunakan IAM Identity Center sebagai sumber identitas, konfigurasikan pengaturan “sadar konteks” atau “selalu aktif” untuk MFA, dan izinkan pengguna memasukkan perangkat MFA mereka sendiri untuk mempercepat adopsi. Ketika menggunakan penyedia identitas (IdP) eksternal, konfigurasikan IdP Anda untuk MFA. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Buat kebijakan Identify and Access Management (IAM) untuk memberlakukan akses masuk MFA: Buat kebijakan IAM yang dikelola pelanggan yang melarang semua tindakan IAM kecuali yang memungkinkan pengguna untuk memegang peran, mengubah kredensial mereka sendiri, dan mengelola perangkat MFA mereka di [halaman Kredensial Keamanan Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Aktifkan MFA di penyedia identitas Anda: Aktifkan [MFA](https:/aws.amazon.com/iam/details/mfa) di penyedia identitas atau layanan single sign-on, seperti [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), yang Anda gunakan. 
+  Konfigurasikan kebijakan kata sandi yang kuat: Konfigurasikan [kebijakan kata sandi yang kuat](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) di IAM dan sistem identitas terfederasi untuk membantu melindungi dari serangan kejam. 
+  [Rotasikan kredensial secara teratur](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): Pastikan administrator beban kerja Anda mengubah kata sandi dan kunci akses mereka (jika digunakan) secara teratur. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Memulai dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Memulai dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP02 Menggunakan kredensial sementara
<a name="sec_identities_unique"></a>

 Wajibkan identitas untuk mendapatkan [kredensial sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)secara dinamis. Untuk identitas tenaga kerja, gunakan AWS IAM Identity Center, atau federasi dengan AWS Identity and Access Management (IAM) role, untuk mengakses Akun AWS. Untuk identitas mesin, seperti instans Amazon Elastic Compute Cloud (Amazon EC2) atau fungsi AWS Lambda, gunakan IAM role, bukan pengguna IAM dengan kunci akses jangka panjang. 

Untuk identitas manusia yang menggunakan Konsol Manajemen AWS, wajibkan pengguna untuk mendapatkan kredensial sementara dan bergabung ke dalam AWS. Anda dapat melakukannya menggunakan portal pengguna AWS IAM Identity Center. Untuk pengguna yang memerlukan akses CLI, pastikan mereka menggunakan [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), yang mendukung integrasi langsung dengan IAM Identity Center. Pengguna dapat membuat profil CLI yang ditautkan ke akun dan role Pusat Identitas IAM. CLI secara otomatis mengambil kredensial AWS dari IAM Identity Center dan menyegarkannya atas nama Anda. Ini menghilangkan kebutuhan untuk menyalin dan menempel kredensial AWS sementara dari konsol IAM Identity Center. Untuk SDK, pengguna harus mengandalkan AWS Security Token Service (AWS STS) untuk mengambil role guna menerima kredensial sementara. Pada kasus-kasus tertentu, kredensial sementara mungkin tidak praktis. Anda harus menyadari risiko menyimpan kunci akses, merotasikannya secara sering, dan mewajibkan autentikasi multi-faktor (MFA) sebagai syarat apabila memungkinkan. Gunakan informasi yang terakhir diakses untuk menentukan kapan harus merotasikan atau menghapus kunci akses.

Untuk kasus-kasus di mana Anda perlu memberikan akses kepada konsumen ke sumber daya AWS Anda, gunakan pool identitas [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) dan beri mereka satu set kredensial istimewa terbatas sementara untuk mengakses sumber daya AWS Anda. Izin untuk setiap pengguna dikontrol melalui [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang Anda buat. Anda dapat menetapkan aturan untuk memilih role untuk setiap pengguna berdasarkan klaim dalam token ID pengguna. Anda dapat menetapkan role default untuk pengguna yang diautentikasi. Anda juga dapat menetapkan IAM role terpisah dengan izin terbatas untuk pengguna tamu yang tidak diautentikasi.

Untuk identitas mesin, Anda harus mengandalkan IAM role untuk memberikan akses ke AWS. Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), Anda dapat menggunakan [role untuk Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Anda dapat melampirkan IAM role ke instans Amazon EC2 Anda untuk memungkinkan aplikasi Anda yang berjalan di Amazon EC2 untuk menggunakan kredensial keamanan sementara yang dibuat, didistribusikan, dan dirotasi oleh AWS secara otomatis melalui Instance Metadata Service (IMDS). Versi [terbaru](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) IMDS membantu mencegah kerentanan yang mengancam kredensial sementara dan harus diimplementasikan. Untuk mengakses instans Amazon EC2 menggunakan kunci dan kata sandi, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) adalah cara yang lebih aman untuk mengakses dan mengelola instans Anda menggunakan agen yang diinstal sebelumnya tanpa secret tersimpan. Selain itu, layanan AWS lainnya, seperti AWS Lambda, memungkinkan Anda untuk mengonfigurasi role layanan IAM untuk memberikan izin layanan guna melakukan tindakan AWS menggunakan kredensial sementara. Pada situasi yang tidak memungkinkan Anda untuk menggunakan kredensial sementara, gunakan alat terprogram, seperti [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), untuk mengotomatiskan rotasi dan manajemen kredensial.

**Audit dan rotasikan kredensial secara berkala: **Validasi berkala, sebaiknya melalui alat otomatis, diperlukan untuk memverifikasi diterapkannya kontrol yang tepat. Untuk identitas manusia, Anda harus mewajibkan pengguna untuk mengubah kata sandi mereka secara berkala dan memensiunkan kunci akses dan digantikan dengan kredensial sementara. Saat beralih dari pengguna IAM ke identitas terpusat, Anda dapat [menghasilkan laporan kredensial ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)untuk mengaudit pengguna IAM Anda. Kami juga menyarankan Anda menerapkan pengaturan MFA pada penyedia identitas Anda. Anda dapat menyiapkan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) untuk memantau pengaturan tersebut. Untuk identitas mesin, Anda harus mengandalkan kredensial sementara menggunakan IAM role. Untuk situasi yang tidak memungkinkan hal ini, diperlukan audit dan rotasi kunci akses secara sering.

**Simpan dan gunakan secret dengan aman:** Untuk kredensial yang terkait dengan IAM dan tidak dapat memanfaatkan kredensial sementara, seperti login basis data, gunakan layanan yang dirancang untuk menangani manajemen secret, seperti [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager memudahkan pengelolaan, rotasi, dan penyimpanan secret terenkripsi secara aman menggunakan [layanan yang didukung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Panggilan untuk mengakses secret dicatatkan di AWS CloudTrail untuk tujuan audit, dan izin IAM dapat memberinya akses dengan hak paling rendah.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan kebijakan hak akses paling rendah: Tetapkan kebijakan akses dengan hak paling rendah ke grup dan role IAM untuk mencerminkan peran atau fungsi pengguna yang telah Anda tetapkan. 
  +  [Memberikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  Hapus izin yang tidak perlu: Implementasikan hak akses paling rendah dengan menghapus izin yang tidak diperlukan. 
  +  [Mengurangi cakupan kebijakan dengan melihat aktivitas pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
  +  [Melihat akses peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites) 
+  Pertimbangkan batasan izin: Batasan izin adalah fitur lanjutan untuk menggunakan kebijakan terkelola yang mengatur izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke sebuah entitas IAM. Batasan izin sebuah entitas memungkinkannya untuk melakukan tindakan hanya yang diizinkan oleh kebijakan berbasis identitas serta batasan izinnya. 
  +  [Lab: Batasan izin IAM yang mendelegasikan pembuatan peran](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 
+  Pertimbangkan tag sumber daya untuk izin: Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya AWS Anda yang mendukung pemberian tag. Anda juga dapat memberikan tag pada pengguna dan role IAM untuk mengontrol apa yang dapat mereka akses. 
  +  [Lab: Kontrol akses berbasis tag IAM untuk EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 
  +  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP03 Menyimpan dan menggunakan secret secara aman
<a name="sec_identities_secrets"></a>

 Untuk identitas tenaga kerja dan mesin yang memerlukan secret, seperti kata sandi ke aplikasi pihak ketiga, simpanlah dengan rotasi otomatis menggunakan standar industri terbaru dalam layanan yang dikhususkan, misalnya untuk kredensial yang tidak terkait dengan IAM dan tidak dapat memanfaatkan kredensial sementara, seperti login basis data, gunakan layanan yang didesain untuk menangani manajemen secret, seperti AWS Secrets Manager. Secrets Manager memudahkan Anda untuk mengelola, merotasi, dan secara aman menyimpan secret menggunakan layanan yang didukung. Panggilan untuk mengakses secret dicatat di dalam AWS CloudTrail untuk tujuan audit, dan izin IAM dapat diberikan kepada hak istimewa terendah untuk mengaksesnya. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Gunakan AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) adalah layanan AWS yang memudahkan Anda mengelola secret. Secret bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 

# SEC02-BP04 Andalkan penyedia identitas terpusat
<a name="sec_identities_identity_provider"></a>

 Untuk identitas tenaga kerja, serahkan kepada penyedia identitas sehingga Anda dapat mengelola identitas di tempat terpusat. Ini akan mempermudah pengelolaan akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Contohnya, jika seseorang meninggalkan organisasi Anda, Anda dapat mencabut akses untuk semua aplikasi dan layanan (termasuk AWS) dari satu lokasi. Hal ini akan mengurangi jumlah kredensial yang dibutuhkan dan memberikan peluang untuk berintegrasi dengan proses sumber daya manusia (HR) yang ada. 

Untuk federasi dengan akun AWS secara individu, Anda dapat menggunakan identitas terpusat untuk AWS dengan penyedia berbasis SAML 2.0 dengan AWS Identity and Access Management. Anda dapat menggunakan penyedia apa pun—baik yang di-hosting oleh Anda di AWS, eksternal terhadap AWS, atau dipasok oleh AWS Partner—yang kompatibel dengan [protokol SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Anda dapat menggunakan federasi antara akun AWS Anda dan penyedia pilihan Anda untuk memberikan akses aplikasi atau pengguna untuk memanggil operasi API AWS dengan menggunakan penegasan SAML guna mendapatkan kredensial keamanan sementara. Single sign-on berbasis web juga didukung, sehingga pengguna dapat masuk ke Konsol Manajemen AWS dari situs web masuk Anda.

Dari federasi ke beberapa akun di AWS Organizations Anda, Anda dapat mengonfigurasikan sumber identitas Anda di [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), dan menentukan lokasi penyimpanan grup dan pengguna Anda. Setelah dikonfigurasikan, penyedia identitas Anda adalah sumber kebenaran Anda, dan informasi dapat [disinkronkan](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) menggunakan protokol Sistem untuk Manajemen Identitas Antar Domain (SCIM) v2.0. Kemudian Anda dapat mencari pengguna atau grup dan memberikan kepada mereka akses IAM Identity Center ke akun AWS, aplikasi cloud, atau keduanya.

IAM Identity Center berintegrasi dengan AWS Organizations, yang memampukan Anda mengonfigurasikan penyedia identitas Anda satu kali kemudian [memberikan akses ke akun yang ada dan akun baru](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) yang dikelola di organisasi Anda. IAM Identity Center memberikan kepada Anda penyimpanan default, yang dapat Anda gunakan untuk mengelola grup dan pengguna Anda. Jika Anda memilih untuk menggunakan penyimpanan IAM Identity Center, buat pengguna dan grup Anda dan tetapkan bagi mereka tingkat akses ke aplikasi dan akun AWS Anda, sambil mengingat praktik terbaik hak akses paling rendah. Alternatifnya, Anda dapat memilih untuk [Terhubung ke Penyedia Identitas Eksternal Anda ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)menggunakan SAML 2.0, atau [Terhubung ke Direktori Microsoft AD Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) menggunakan AWS Directory Service. Setelah dikonfigurasikan, Anda dapat masuk ke Konsol Manajemen AWS, atau aplikasi seluler AWS, dengan mengautentikasi melalui penyedia identitas pusat Anda.

Untuk mengelola pengguna akhir atau konsumen beban kerja Anda, seperti aplikasi seluler, Anda dapat menggunakan [Amazon Cognito](http://aws.amazon.com/cognito/). Ini memberikan manajemen pengguna, otorisasi, dan autentikasi untuk aplikasi seluler dan web Anda. Pengguna Anda dapat masuk secara langsung dengan nama pengguna dan kata sandi, atau melalui pihak ketiga, seperti Amazon, Apple, Facebook, atau Google.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Pusatkan akses administrasi: Buat entitas penyedia identitas Identity and Access Management (IAM) untuk menetapkan hubungan tepercaya antara Akun AWS Anda dan penyedia identitas (IdP) Anda. IAM mendukung IdP yang kompatibel dengan OpenID Connect (OIDC) atau SAML 2.0 (Security Assertion Markup Language 2.0). 
  +  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Pusatkan akses aplikasi: Pertimbangkan Amazon Cognito untuk memusatkan akses aplikasi. Ini memungkinkan Anda untuk menambahkan kontrol akses, akses masuk, dan pendaftaran pengguna ke web dan aplikasi seluler Anda dengan cepat dan mudah. [Amazon Cognito](https://aws.amazon.com/cognito/) menskalakan jutaan pengguna dan mendukung akses masuk dengan penyedia identitas sosial, seperti Facebook, Google, dan Amazon, serta penyedia identitas perusahaan melalui SAML 2.0. 
+  Singkirkan grup dan pengguna IAM lama: Setelah Anda mulai menggunakan penyedia identitas (IdP), singkirkan grup dan pengguna IAM yang tidak lagi diperlukan. 
  +  [Menemukan kredensial yang tidak digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Menghapus grup IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala
<a name="sec_identities_audit"></a>

 Jika Anda tidak dapat mengandalkan kredensial sementara dan memerlukan kredensial jangka panjang, lakukan audit kredensial untuk memastikan kontrol yang ditentukan, misalnya autentikasi multi-faktor (MFA), telah diterapkan, dirotasi secara rutin, dan memiliki tingkat akses yang sesuai. Validasi berkala, diutamakan melalui alat otomatis, diperlukan untuk memverifikasikan bahwa kontrol yang sesuai telah diterapkan. Untuk identitas manusia, Anda perlu mewajibkan pengguna untuk mengubah kata sandi mereka secara berkala dan menonaktifkan kunci akses yang ditukar dengan kredensial sementara. Saat Anda beralih dari pengguna AWS Identity and Access Management (IAM) ke identitas yang dipusatkan, Anda dapat [membuat laporan kredensial ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)untuk mengaudit pengguna IAM Anda. Sebaiknya terapkan pengaturan MFA di penyedia identitas Anda. Anda dapat mengonfigurasikan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) untuk memantau pengaturan tersebut. Untuk identitas mesin, Anda harus mengandalkan kredensial sementara menggunakan IAM role. Jika dalam situasi tertentu hal ini tidak memungkinkan, merotasi dan mengaudit kunci akses secara sering adalah hal yang diperlukan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Lakukan audit kredensial secara rutin: Gunakan laporan kredensial, serta Identity and Access Management (IAM) Access Analyzer untuk mengaudit izin dan kredensial IAM. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Mendapatkan laporan kredensial](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Lab: Pembersihan pengguna IAM otomatis](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Gunakan Tingkat Akses untuk Meninjau Izin IAM: Untuk meningkatkan keamanan Akun AWS Anda, secara rutin tinjau dan pantau setiap kebijakan IAM Anda. Pastikan bahwa kebijakan Anda memberikan hak akses paling rendah yang dibutuhkan untuk menjalankan tindakan yang diperlukan saja. 
  +  [Gunakan tingkat akses untuk meninjau izin IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Pertimbangkan pengotomatisan pembuatan dan pembaruan sumber daya IAM: AWS CloudFormation dapat digunakan untuk mengotomatiskan deployment sumber daya IAM, termasuk peran dan kebijakan, untuk mengurangi kesalahan akibat kelalaian manusia, karena templat dapat diverifikasi dan yang dapat dikontrol. 
  +  [Lab: Deployment yang diotomatiskan grup dan peran IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP06 Manfaatkan grup dan atribut pengguna
<a name="sec_identities_groups_attributes"></a>

 Seiring meningkatnya jumlah pengguna yang dikelola, Anda perlu menentukan cara agar dapat mengelolanya dalam skala besar. Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut untuk mengontrol akses, bukan pengguna individual. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna dengan [seperangkat izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah. Anda dapat menggunakan AWS IAM Identity Center (IAM Identity Center) untuk mengelola grup dan atribut pengguna. IAM Identity Center mendukung atribut yang paling sering digunakan, baik dimasukkan secara manual selama pembuatan pengguna atau disediakan secara otomatis menggunakan mesin sinkronisasi, seperti yang ditetapkan dalam spesifikasi Sistem untuk Manajemen Identitas Lintas Domain (SCIM). 

Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut, bukan pengguna individual, untuk mengontrol akses. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna, daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Jika Anda menggunakan AWS IAM Identity Center (IAM Identity Center), konfigurasikan grup: IAM Identity Center memberikan kemampuan untuk mengonfigurasi grup pengguna dan menetapkan grup untuk tingkat izin yang diinginkan. 
  +  [AWS Masuk Tunggal - Kelola Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Pelajari lebih lanjut tentang kontrol akses berbasis atribut (ABAC): ABAC adalah strategi otorisasi yang menetapkan izin berdasarkan atribut. 
  +  [Apa Itu ABAC untuk AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Contoh terkait:** 
+  [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

# SEC 3 Bagaimana cara mengelola izin untuk manusia dan mesin?
<a name="w2aac19b7b7b7"></a>

 Kelola izin untuk mengontrol akses ke identitas manusia dan identitas mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin akan mengontrol siapa yang dapat mengakses hal tertentu, beserta kondisinya. 

**Topics**
+ [SEC03-BP01 Menetapkan persyaratan akses](sec_permissions_define.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Menerapkan proses akses darurat](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Mengurangi izin secara terus-menerus](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Mengelola akses berdasarkan siklus hidup](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Membagikan sumber daya secara aman](sec_permissions_share_securely.md)

# SEC03-BP01 Menetapkan persyaratan akses
<a name="sec_permissions_define"></a>

Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.

 **Antipola umum:** 
+ Hard-coding atau menyimpan rahasia di dalam aplikasi Anda. 
+ Memberikan izin kustom untuk tiap pengguna. 
+ Menggunakan kredensial berumur panjang. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.

Akses rutin ke Akun AWS di dalam organisasi harus disediakan menggunakan [akses gabungan](https://aws.amazon.com/identity/federation/) atau penyedia identitas terpusat. Anda juga sebaiknya memusatkan manajemen identitas Anda dan memastikan terdapat praktik yang matang untuk mengintegrasikan akses AWS ke siklus hidup akses karyawan Anda. Misalnya, saat seorang karyawan berganti peran pekerjaan dengan level akses berbeda, keanggotaan grupnya juga harus berubah agar sesuai dengan persyaratan akses barunya.

 Saat menetapkan persyaratan akses untuk identitas non-manusia, tentukan aplikasi dan komponen mana yang memerlukan akses dan bagaimana izin diberikan. Menggunakan IAM role yang dibangun dengan model akses hak akses paling rendah adalah pendekatan yang disarankan. [Kebijakan yang Dikelola AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) menyediakan kebijakan IAM yang telah ditetapkan sebelumnya yang mencakup kasus-kasus penggunaan paling umum.

Layanan AWS, seperti [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) dan [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), dan membantu memisahkan rahasia dari aplikasi atau beban kerja secara aman pada kasus-kasus yang tidak memungkinkan penggunaan IAM role. Di Secrets Manager, Anda dapat membuat rotasi otomatis untuk kredensial Anda. Anda dapat menggunakan Systems Manager untuk merujuk parameter di skrip, perintah, dokumen SSM, konfigurasi, dan alur kerja otomatisasi Anda menggunakan nama unik yang telah Anda tentukan saat membuat parameter tersebut.

Anda dapat menggunakan AWS Identity and Access Management Roles Anywhere untuk mendapatkan [kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) untuk beban kerja yang berjalan di luar AWS. Beban kerja Anda dapat menggunakan [kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dan [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang sama dengan yang Anda gunakan dengan aplikasi AWS untuk mengakses sumber daya AWS. 

 Jika memungkinkan, gunakan kredensial sementara jangka pendek, bukan kredensial statis jangka panjang. Untuk skenario di mana Anda memerlukan pengguna IAM dengan akses terprogram dan kredensial jangka panjang, gunakan [informasi yang terakhir digunakan kunci akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) untuk merotasi dan menghapus kunci akses. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 
+  [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) 
+  [Kebijakan yang dikelola AWS untuk IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 
+  [Ketentuan kebijakan AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [Kasus penggunaan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html) 
+  [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 
+  [Cara mengontrol akses ke sumber daya AWS berdasarkan Akun AWS, OU, atau organisasi](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/) 
+  [Identifikasi, atur, dan kelola rahasia secara mudah menggunakan pencarian yang ditingkatkan di AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 

 **Video terkait:** 
+  [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU) 
+  [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70) 
+  [Merampingkan manajemen identitas dan akses untuk inovasi](https://www.youtube.com/watch?v=3qK0b1UkaE8) 

# SEC03-BP02 Memberikan hak akses paling rendah
<a name="sec_permissions_least_privileges"></a>

Berikan hanya akses yang diperlukan identitas dengan mengizinkan akses ke tindakan tertentu pada sumber daya AWS tertentu dalam kondisi tertentu. Serahkan pada grup dan atribut identitas untuk menetapkan izin secara dinamis dalam skala besar, daripada menentukan izin sendiri-sendiri untuk masing-masing pengguna. Misalnya, Anda dapat memberi sebuah grup developer akses untuk mengelola sumber daya untuk proyek mereka saja. Dengan demikian, saat seorang developer dihapus dari grup, akses untuk developer tersebut akan dicabut di mana pun grup tersebut digunakan untuk kontrol akses, tanpa memerlukan perubahan apa pun pada kebijakan akses.

 **Antipola umum:** 
+ Memberikan izin administrator kepada para pengguna secara default. 
+ Menggunakan akun root untuk aktivitas harian. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

Pembuatan prinsip [hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) memastikan identitas hanya diizinkan untuk melakukan rangkaian fungsi paling rendah yang diperlukan untuk memenuhi tugas tertentu, sambil menyeimbangkan kegunaan dan efisiensi. Operasi dengan prinsip ini membatasi akses yang tidak diinginkan dan membantu memastikan Anda dapat mengaudit siapa yang memiliki akses ke sumber daya tertentu. Di AWS, identitas tidak memiliki izin secara default kecuali untuk pengguna root. Kredensial untuk pengguna root harus dikontrol secara ketat dan hanya digunakan untuk beberapa [tugas tertentu](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). 

Anda menggunakan kebijakan untuk memberikan izin secara eksplisit yang dilampirkan ke IAM atau entitas sumber daya, seperti IAM peran yang digunakan oleh identitas atau mesin yang difederasi, atau sumber daya (misalnya, bucket S3). Saat membuat dan melampirkan kebijakan, Anda dapat menentukan tindakan layanan, sumber daya, dan kondisi yang harus terpenuhi agar AWS dapat mengizinkan akses. AWS mendukung beragam kondisi untuk membantu Anda menyaring akses. Misalnya, menggunakan `kunci kondisi` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), pengidentifikasi AWS Organizations diverifikasi sehingga akses dapat diberikan di dalam Organisasi AWS Anda.

Anda juga dapat mengontrol permintaan yang dibuat oleh layanan AWS atas nama Anda, seperti AWS CloudFormation yang membuat fungsi AWS Lambda, dengan menggunakan `kunci kondisi` CalledVia. Anda harus membuat lapisan tipe-tipe kebijakan yang berbeda untuk membatasi keseluruhan izin secara efektif di dalam suatu akun. Misalnya, Anda dapat mengizinkan tim aplikasi Anda untuk membuat kebijakan IAM mereka sendiri, tetapi gunakan [Batasan Izin](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) untuk membatasi izin maksimum yang dapat mereka berikan. 

Terdapat sejumlah kemampuan AWS untuk membantu Anda menskalakan manajemen izin dan mematuhi prinsip hak akses paling rendah. [Kontrol Akses Berbasis Atribut](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) memungkinkan Anda membatasi izin berdasarkan *[tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* suatu sumber daya, untuk mengambil keputusan otorisasi berdasarkan tag yang diterapkan ke sumber daya tersebut dan memanggil principal IAM. Hal ini memungkinkan Anda menggabungkan kebijakan pemberian tag dan izin untuk mencapai akses sumber daya yang sangat mendetail tanpa memerlukan banyak kebijakan kustom.

Cara lain untuk mempercepat pembuatan kebijakan hak akses paling rendah adalah untuk melandaskan kebijakan Anda pada izin CloudTrail setelah aktivitas berjalan. [IAM Access Analyzer dapat menghasilkan kebijakan IAM secara otomatis berdasarkan aktivitas](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Anda juga dapat menggunakan IAM Access Advisor pada level akun Organisasi atau individu untuk [melacak informasi yang terakhir kali diakses untuk kebijakan tertentu](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).

Bangun rutinitas untuk meninjau detail-detail ini dan menghapus izin yang tidak diperlukan. Anda harus membuat pagar pembatas izin di dalam Organisasi AWS Anda guna mengontrol izin maksimum di dalam akun anggota mana pun. Layanan seperti [AWS Control Tower memiliki kontrol preventif terkelola preskriptif](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) dan memungkinkan Anda menetapkan kontrol Anda sendiri. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 
+  [Teknik untuk menulis kebijakan IAM hak akses paling rendah](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/) 
+  [IAM Access Analyzer mempermudah implementasi izin hak akses paling rendah dengan menghasilkan kebijakan IAM berdasarkan aktivitas akses](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) 
+  [Menyempurnakan Izin menggunakan informasi yang terakhir kali diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
+  [Tipe kebijakan IAM dan kapan harus digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 
+  [Menguji kebijakan IAM dengan simulator kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) 
+  [Pagar pembatas di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 
+  [Arsitektur Zero Trust: Sebuah perspektif AWS](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/) 
+  [Cara mengimplementasikan prinsip hak akses paling rendah dengan CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/) 

 **Video terkait:** 
+  [Manajemen izin generasi berikutnya](https://www.youtube.com/watch?v=8vsD_aTtuTo) 
+  [Zero Trust: Sebuah perspektif AWS](https://www.youtube.com/watch?v=1p5G1-4s1r0) 
+  [Bagaimana cara menggunakan batasan izin untuk membatasi pengguna dan peran IAM guna mencegah eskalasi hak akses paling rendah?](https://www.youtube.com/watch?v=omwq3r7poek) 

 **Contoh terkait:** 
+  [Lab: Batasan izin IAM yang mendelegasikan pembuatan peran](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 

# SEC03-BP03 Menerapkan proses akses darurat
<a name="sec_permissions_emergency_process"></a>

 Proses yang memungkinkan akses darurat ke beban kerja Anda dalam peristiwa proses otomatis yang tidak diharapkan atau masalah pipeline. Proses ini akan membantu Anda mengandalkan hak akses paling rendah, tetapi memastikan pengguna dapat memperoleh tingkat akses yang sesuai ketika mereka membutuhkannya. Misalnya, menerapkan proses bagi administrator untuk memverifikasi dan menyetujui permintaan pengguna, seperti peran lintas akun AWS darurat untuk akses, atau proses tertentu yang harus diikuti administrator untuk memvalidasi atau menyetujui permintaan darurat. 

 **Antipola umum:** 
+ Tidak ada proses darurat yang diterapkan untuk melakukan pemulihan dari pemadaman dengan konfigurasi identitas yang Anda miliki.
+ Memberikan peningkatan izin jangka panjang untuk tujuan pemecahan masalah atau pemulihan.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Membangun akses darurat dapat memiliki sejumlah bentuk yang harus Anda siapkan. Pertama adalah kegagalan penyedia identitas utama Anda. Pada kasus ini, Anda harus mengandalkan metode akses kedua dengan izin yang diperlukan untuk pulih. Metode ini bisa berupa penyedia identitas cadangan atau pengguna IAM. Metode kedua ini harus [secara ketat dikontrol, dipantau, dan diberitahukan](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) apabila digunakan. Identitas akses darurat harus berasal dari akun yang dibuat khusus untuk tujuan ini dan hanya memiliki izin untuk mengambil peran yang dirancang secara khusus untuk pemulihan. 

 Anda juga harus siap dengan akses darurat di mana peningkatan akses administratif sementara diperlukan. Skenario umumnya adalah membatasi mutasi izin ke proses otomatis yang digunakan untuk men-deploy perubahan. Apabila proses ini memiliki masalah, pengguna mungkin perlu meminta peningkatan izin untuk memulihkan fungsionalitas. Pada kasus ini, bangun sebuah proses di mana pengguna dapat meminta peningkatan akses dan administrator dapat memvalidasi dan menyetujuinya. Rencana implementasi yang mengurai panduan praktik terbaik untuk menyediakan akses di awal dan menyiapkan peran darurat dan *mendesak (break-glass)*disediakan sebagai bagian dari [SEC10-BP05 Menyediakan akses di awal](sec_incident_response_pre_provision_access.md). 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [Memantau dan Memberi Notifikasi di AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity) 
+ [Mengelola peningkatan akses sementara](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 

 **Video terkait:** 
+  [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU) 

# SEC03-BP04 Mengurangi izin secara terus-menerus
<a name="sec_permissions_continuous_reduction"></a>

 Jika tim dan beban kerja telah menentukan akses yang diperlukan, hapus izin yang tidak lagi digunakan dan tetapkan proses peninjauan untuk mendapatkan izin hak akses paling rendah. Memantau dan mengurangi secara terus-menerus identitas serta izin yang tidak digunakan. 

Terkadang, saat tim dan proyek baru dimulai, Anda mungkin memilih memberikan akses yang luas (di lingkungan pengembangan atau pengujian) guna menginspirasi inovasi dan ketangkasan. Sebaiknya evaluasikan akses secara terus-menerus, khususnya di lingkungan produksi, dan batasi akses untuk izin yang diperlukan saja serta capai hak akses paling rendah. AWS menyediakan kemampuan analisis akses untuk membantu mengidentifikasi akses yang tidak digunakan. Untuk membantu Anda mengidentifikasi pengguna, peran, izin, dan kredensial yang tidak digunakan, AWS menganalisis akses aktivitas dan menyediakan kunci akses sera peran yang terakhir digunakan informasi. Anda dapat menggunakan [stempel waktu yang terakhir diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) untuk [mengidentifikasi pengguna dan peran yang tidak digunakan](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/), dan menghapusnya. Selain itu, Anda dapat meninjau informasi layanan dan tindakan yang terakhir diakses guna mengidentifikasi dan [memperketat izin untuk pengguna dan peran tertentu.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Misalnya, Anda dapat menggunakan informasi yang terakhir diakses untuk mengidentifikasi tindakan Amazon Simple Storage Service(Amazon S3) tertentu yang diperlukan peran aplikasi dan membatasi akses hanya untuk mereka. Fitur ini tersedia di Konsol Manajemen AWS dan secara terprogram agar Anda dapat menyertakannya ke dalam alur kerja infrastruktur dan alat otomatis.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Konfigurasikan AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM, yang dibagikan dengan entitas eksternal. 
  + [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Berikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Video terkait:** 
+  [Menjadi Master Kebijakan IAM dalam 60 Menit atau Lebih Cepat](https://youtu.be/YQsK4MtsELU) 
+  [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda
<a name="sec_permissions_define_guardrails"></a>

 Tetapkan kontrol umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses untuk Wilayah AWS tertentu, atau mencegah operator Anda menghapus dari sumber daya umum, seperti IAM role yang digunakan untuk tim keamanan pusat Anda. 

 **Antipola umum:** 
+ Menjalankan beban kerja di akun administrator Organisasi Anda. 
+ Menjalankan beban kerja produksi dan non-produksi di akun yang sama. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Seiring Anda menumbuhkan dan mengelola beban kerja tambahan di AWS, Anda harus memisahkan semua beban kerja ini menggunakan akun dan mengelola akun-akun tersebut menggunakan AWS Organizations. Kami menyarankan Anda membuat pagar pembatas izin umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses ke Wilayah AWS tertentu, atau mencegah tim Anda menghapus sumber daya umum, seperti IAM role yang digunakan oleh tim keamanan pusat Anda. 

 Anda dapat memulainya dengan mengimplementasikan contoh kebijakan kontrol layanan, seperti mencegah pengguna menonaktifkan layanan utama. SCP menggunakan bahasa kebijakan IAM dan memungkinkan Anda untuk menerapkan kontrol yang dipatuhi semua principal (pengguna dan peran). Anda dapat membatasi akses ke tindakan atau sumber daya layanan tertentu, dan berdasarkan kondisi tertentu untuk memenuhi kebutuhan kontrol akses organisasi Anda. Jika perlu, Anda dapat menetapkan pengecualian pada pagar pembatas Anda. Misalnya, Anda dapat membatasi tindakan layanan untuk semua entitas IAM di dalam akun kecuali untuk peran administrator tertentu. 

 Kami menyarankan Anda untuk tidak menjalankan beban kerja di akun manajemen Anda. Akun manajemen sebaiknya digunakan untuk menata kelola dan men-deploy pagar pembatas keamanan yang akan memengaruhi akun-akun anggota. Beberapa layanan AWS mendukung penggunaan akun administrator yang didelegasikan. Saat tersedia, Anda harus menggunakan akun delegasi ini sebagai pengganti akun manajemen. Anda harus membatasi secara ketat akses ke akun administrator Organisasi. 

Menggunakan strategi multi-akun memungkinkan Anda untuk memiliki fleksibilitas yang lebih besar dalam menerapkan pagar pembatas ke beban kerja Anda. Arsitektur Rujukan Keamanan AWS memberikan panduan preskriptif tentang cara merancang struktur akun Anda. Layanan AWS seperti AWS Control Tower menyediakan kemampuan untuk mengelola kontrol preventif serta detektif secara terpusat di seluruh organisasi Anda. Tetapkan tujuan yang jelas untuk tiap akun atau OU di dalam organisasi dan batasi kontrol yang sejalan dengan tujuan tersebut. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [AWS Organizations](https://aws.amazon.com/organizations/) 
+ [Kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 
+ [Dapatkan hasil maksimal dari kebijakan kontrol layanan di lingkungan multi-akun](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/) 
+ [Arsitektur Referensi Keamanan AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 

 **Video terkait:** 
+ [Tegakkan Pagar Pembatas Preventif menggunakan Kebijakan Kontrol Layanan](https://www.youtube.com/watch?v=mEO05mmbSms) 
+  [Membangun tata kelola pada skala besar dengan AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk) 
+  [Mendalami AWS Identity and Access Management](https://www.youtube.com/watch?v=YMj33ToS8cI) 

# SEC03-BP06 Mengelola akses berdasarkan siklus hidup
<a name="sec_permissions_lifecycle"></a>

 Integrasikan kontrol akses dengan siklus hidup operator dan aplikasi serta penyedia federasi terpusat. Misalnya, hapus akses pengguna saat mereka keluar dari organisasi atau berganti peran. 

Saat Anda mengelola beban kerja menggunakan akun terpisah, akan ada kasus saat Anda perlu membagikan sumber daya kepada akun-akun tersebut. Sebaiknya bagikan sumber menggunakan [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Layanan ini memungkinkan Anda untuk membagikan sumber daya AWS di dalam Unit Organisasi dan AWS Organizations Anda. Menggunakan AWS RAM, akses ke sumber daya bersama secara otomatis diberikan atau dicabut ketika akun dimasukkan atau dikeluarkan dari Organisasi atau Unit Organisasi mereka. Hal ini memastikan bahwa sumber daya hanya dibagikan dengan akun yang Anda maksudkan saja.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Siklus hidup akses pengguna mengimplementasikan kebijakan siklus hidup akses pengguna untuk pengguna yang baru bergabung, perubahan fungsi tugas, serta pengguna yang keluar, sehingga hanya pengguna saat ini yang memiliki akses. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Berikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
+  [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Video terkait:** 
+  [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP07 Menganalisis akses lintas akun dan publik
<a name="sec_permissions_analyze_cross_account"></a>

Pantau secara kontinu temuan yang menyoroti akses lintas akun dan publik. Kurangi akses publik dan akses lintas akun ke sumber daya yang memerlukan jenis akses ini saja. 

 **Antipola umum:** 
+  Tidak mengikuti proses untuk mengatur akses untuk akses lintas akun dan publik ke sumber daya. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

Di AWS, Anda dapat memberikan akses kepada sumber daya di akun lain. Anda memberikan akses lintas akun langsung menggunakan kebijakan yang dilampirkan ke sumber daya (misalnya, [kebijakan bucket Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) atau dengan mengizinkan identitas untuk mengambil peran IAM di akun yang lain. Ketika menggunakan kebijakan sumber daya, pastikan akses diberikan kepada identitas di organisasi Anda dan Anda memang berniat menjadikan sumber daya dapat diakses oleh publik. Tentukan proses untuk menyetujui semua sumber daya yang diperlukan untuk tersedia secara publik. 

 [IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) menggunakan [keamanan yang dapat dibuktikan](https://aws.amazon.com/security/provable-security/) untuk mengidentifikasi semua jalur akses ke sumber daya dari luar akun tersebut. Dengan ini, kebijakan sumber daya Anda akan ditinjau secara kontinu, dan melaporkan temuan akses lintas akun dan publik untuk memudahkan Anda menganalisis potensi akses yang luas. Pertimbangkan untuk mengonfigurasi IAM Access Analyzer dengan AWS Organizations untuk memastikan Anda memiliki visibilitas tentang semua akun Anda. IAM Access Analyzer juga memungkinkan Anda untuk [melakukan pratinjau temuan Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), sebelum men-deploy izin sumber daya. Hal ini memungkinkan Anda untuk memvalidasi bahwa perubahan kebijakan hanya memberikan akses lintas akun dan publik yang benar-benar diinginkan ke sumber daya Anda. Saat merancang untuk akses multiakun, Anda dapat menggunakan [kebijakan kepercayaan untuk mengontrol dalam kasus apa peran dapat diambil](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Misalnya, Anda dapat membatasi pengambilan peran pada rentang IP sumber tertentu. 

 Anda juga dapat menggunakan [AWS Config untuk melaporkan dan memperbaiki sumber daya](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) untuk segala konfigurasi akses publik yang tidak disengaja, melalui pemeriksaan kebijakan AWS Config. Layanan seperti [AWS Control Tower](https://aws.amazon.com/controltower) dan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) menyederhanakan deployment pemeriksaan dan pagar pembatas di AWS Organizations untuk mengidentifikasi dan memperbaiki sumber daya yang terpapar publik. Misalnya, AWS Control Tower memiliki pagar pembatas terkelola yang dapat mendeteksi jika terdapat [snapshot Amazon EBS yang dapat dipulihkan oleh semua akun AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Menggunakan AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Pagar Pembatas di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [Standar Praktik Terbaik Keamanan Dasar AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [Aturan Terkelola AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [Referensi pemeriksaan AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Video terkait:** 
+ [Praktik Terbaik untuk mengamankan lingkungan multiakun Anda](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Memahami Lebih Dalam tentang IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)

# SEC03-BP08 Membagikan sumber daya secara aman
<a name="sec_permissions_share_securely"></a>

 Kelola pemakaian sumber daya yang dibagikan di seluruh akun atau di dalam AWS Organizations Anda. Pantau sumber daya bersama dan tinjau akses sumber daya bersama. 

 **Antipola umum:** 
+  Menggunakan kebijakan kepercayaan IAM default ketika memberikan akses lintas akun kepada pihak ketiga. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Jika Anda mengelola beban kerja Anda menggunakan beberapa akun AWS, Anda mungkin perlu membagikan sumber daya antar akun. Sering kali, ini dilakukan dengan berbagi antar akun dalam AWS Organizations. Beberapa layanan AWS, seperti [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html), dan [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) memiliki fitur lintas akun yang terintegrasi dengan Organizations. Anda dapat menggunakan [AWS Resource Access Manager](https://aws.amazon.com/ram/) untuk berbagi sumber daya umum lainnya, seperti [Subnet VPC atau lampiran Gateway Transit](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall), atau [pipeline Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Jika Anda ingin memastikan bahwa akun Anda hanya membagikan sumber daya di Organizations Anda, sebaiknya gunakan [Kebijakan Kontrol Layanan (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) untuk mencegah akses ke principal eksternal.

 Ketika membagikan sumber daya, Anda harus melakukan tindakan untuk mencehah akses yang tidak diinginkan. Sebaiknya gabungkan kontrol berbasis identitas dan kontrol jaringan untuk [membuat perimeter data bagi organisasi Anda.](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Kontrol ini harus menetapkan batas ketat terkait sumber daya apa yang dapat dibagikan dan mencegah berbagi atau memaparkan sumber daya yang tidak diizinkan. Misalnya, sebagai bagian dari perimeter data Anda, Anda dapat menggunakan kebijakan titik akhir VPC dan persyaratan `aws:PrincipalOrgId` untuk memastikan identitas yang mengakses bucket Amazon S3 Anda adalah milik organisasi Anda. 

 Dalam beberapa kasus, Anda mungkin ingin mengizinkan berbagi sumber daya di luar Organizations Anda atau memberikan akses ke akun Anda kepada pihak ketiga. Misalnya, seorang partner mungkin menyediakan solusi pemantauan yang perlu mengakses sumber daya di akun Anda. Dalam kasus tersebut, Anda harus membuat peran lintas akun IAM hanya dengan hak akses yang dibutuhkan oleh pihak ketiga tersebut. Anda juga harus membuat kebijakan kepercayaan menggunakan [persyaratan ID eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Ketika menggunakan ID eksternal, Anda harus membuat ID unik untuk setiap pihak ketiga. ID unik tidak boleh disediakan atau dikontrol oleh pihak ketiga. Jika pihak ketiga sudah tidak memerlukan akses ke lingkungan Anda, Anda harus menghapus peran. Bagaimana pun juga, Anda juga harus menghindari menyediakan kredensial IAM jangka panjang kepada pihak ketiga. Selalu waspadai tentang layanan AWS lain yang secara native mendukung fitur berbagi. Misalnya, AWS Well-Architected Tool mengizinkan [berbagi beban kerja](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) dengan akun AWS lain. 

 Ketika menggunakan layanan seperti Amazon S3, direkomendasikan untuk [menonaktifkan ACL untuk bucket Amazon S3 Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) dan menggunakan kebijakan IAM untuk menetapkan kontrol akses. [Untuk membatasi akses ke asal Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dari [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migrasikan dari identitas akses asal (OAI) ke kontrol akses asal (OAC) yang mendukung fitur tambahan termasuk enkripsi di sisi server dengan [AWS KMS](https://aws.amazon.com/kms/).

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [Pemilik bucket yang memberikan izin lintas akun ke objek yang tidak dimilikinya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Cara menggunakan Kebijakan Kepercayaan dengan IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Membangun Perimeter Data di AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Cara menggunakan ID eksternal saat memberikan akses ke sumber daya AWS Anda kepada pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)

 **Video terkait:** 
+ [Akses Terperinci dengan AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Mengamankan perimeter data Anda dengan titik akhir VPC](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Membuat perimeter data di AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)